VX2 - Unterhaltungsspass... Date Friday, January 21 @ 00:40:38 Topic Allgemeines Ich habe keine Ahnung wie ausgerechnet mir paranoiden Person das passieren konnte - aber ich habe mir einen hinterhältigen Virus eingefangen - eine neue VX2 Variante. Da die Virenscanner und Spamtools das Ding noch nicht kennen und schon gar nicht beseitigen können - anbei die dafür notwendigen Tools und Erklärungen! http://www.valki.com/filez/vx2-tools.zip runterladen - und hier ist die Anleitung: Okay... das ist zu tun: ACHTUNG: Mein System ist auf Laufwerk F: installiert... bei euch werden die Pfade eher auf C: sein - ansonsten ist aber alles analog zu machen! 1. Mit CompareDll scannen o Runterladen und Starten o "Run Locate.com" o "Compare" o "Make a Log of what was found" -> irgendwo abspeichern! Beispielsoutput: * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! F:\WINDOWS\SYSTEM32\enrol1~1.dll Thu 20 Jan 2005 22:50:36 ..S.R 222.903 217,68 K F:\WINDOWS\SYSTEM32\fpj403~1.dll Thu 20 Jan 2005 8:12:24 ..S.R 224.982 219,71 K F:\WINDOWS\SYSTEM32\ir62l5~1.dll Wed 19 Jan 2005 13:28:58 ..S.R 223.212 217,98 K F:\WINDOWS\SYSTEM32\irrsl5~1.dll Thu 20 Jan 2005 10:42:26 ..S.R 225.515 220,23 K F:\WINDOWS\SYSTEM32\j0j6la~1.dll Thu 20 Jan 2005 20:34:04 ..S.R 225.432 220,15 K F:\WINDOWS\SYSTEM32\k626lg~1.dll Tue 18 Jan 2005 16:45:20 ..S.R 224.858 219,59 K F:\WINDOWS\SYSTEM32\oye2disp.dll Thu 20 Jan 2005 22:50:36 ..S.R 225.432 220,15 K F:\WINDOWS\SYSTEM32\q6860g~1.dll Wed 19 Jan 2005 18:35:38 ..S.R 223.629 218,39 K 1.342 items found: 1.342 files (8 H/S), 0 directories. Total of file sizes: 280.429.490 bytes 267,44 M Administrator Account = Wahr --------------------End log--------------------- Diese "bösen" DLLs ändern bei jedem Reboot ihren Namen - also jetzt NICHT rebooten! 2. Killbox o Runterladen und starten o Die Pfade einer jeder der bösen DLLs (ACHTUNG! Nicht jede muss böse sein!!! Datum kontrollieren und Dateinamen!!) ins Killbox kopieren o "Replace on Reboot" aktivieren o "Use dummy" aktivieren - dann auf das rote X oben klicken o "JA" o "NEIN" bei der Neustart - Abfrage... - erst müssen alle DLLs so eingegeben werden o Zuletzt noch "F:\WINDOWS\SYSTEM32\Guard.tmp eingeben wie die dlls - dann bei der Abfrage rebooten! 3. Kontrolle o Nochmal mit DLLCompare scannen - sollte nichts mehr da sein. Notfalls Prozedur wiederholen. o Guard.tmp kann noch da sein - aber diesmal nicht geschützt durch den Virus und kann normal gekillt werden. 4. Aufräumen, System reparieren o Killbox öffenen und mit dem Standart File Kill den Ordner F:\RECYCLER löschen (Papierkorb) o VX2Finder runterladen und starten o Mit "Restore Policy" die Adminrechte wieder reparieren o "Click to Find VX2..." klicken o Mittels "User Agent$" den Useragent Entry killen o Dann mit "Open Regedit" in die Registry und den DLL - Aufruf löschen... Dieser befindet sich in dem Ordner, in dem das Tool richtig reinspringt... Sucht in den 5, 6 Unterordner nach einem Key "DllName" der auf eine der dlls linkt, welche im CompareDll - Log stehen! -> Den Eintrag rauslöschen! o Hostdatei cleanen: in der Datei C:\WINDOWS\system32\drivers\etc\hosts alle Einträge killen bis auf: 127.0.0.1 localhost This article comes from Valki.com - nie mehr Mr. Niceguy http://www.valki.com The URL for this story is: http://www.valki.com/article.php?sid=4035