Plattform: WINXP SP2
Beseitigung von RKIT/Agent.DU
Infizierte Datei: WinNt32.dll im Ordner C:\windows\system32
WinNt32.dll gehört nicht zum Windows XP Betriebssystem
Netzwerkverbindung trennen!
Systemwiederherstellung abschalten.
Weiter im Abgesicherten Modus:
Mit GMER auf Rootkits prüfen (http://www.gmer.net/index.php)
Rechner herunterfahren und von Boot-CD starten.
Reparaturmodus wählen.
Schreibschutz entfernen:
attrib -R c:\windows\system32\WinNt32.dll
attrib -R c:\windows\system32\drivers\Rda74.sys
Im Verzeichnis c:\windows\system32\drivers\ die Datei Rda74.sys löschen
Im Verzeichnis c:\windows\system32\ die Datei WinNt32.dll löschen
Abgesicherter Modus:
In Registry alle Schlüssel zu Rda74.sys löschen.
Nach Schlüsseln zu WinNt32.dll suchen und falls vorhanden löschen.
Herunterfahren und Booten von CD:
Bootsektor überprüfen. (fixmbr)
Eventuell Bootsektor reparieren mit:
fixmbr \Device\Harddisk0\Partition1
Falls der Bootsektor auf einer anderen Partition liegt, suchen mit:
C:\WINDOWS>map