12.6.08

Remove RKIT/Agent.DU

Plattform: WINXP SP2
Beseitigung von RKIT/Agent.DU
Infizierte Datei: WinNt32.dll im Ordner C:\windows\system32
WinNt32.dll gehört nicht zum Windows XP Betriebssystem

Netzwerkverbindung trennen!

Systemwiederherstellung abschalten.

Weiter im Abgesicherten Modus:
Mit GMER auf Rootkits prüfen (http://www.gmer.net/index.php)

Rechner herunterfahren und von Boot-CD starten.
Reparaturmodus wählen.
Schreibschutz entfernen:
attrib -R c:\windows\system32\WinNt32.dll
attrib -R c:\windows\system32\drivers\Rda74.sys

Im Verzeichnis c:\windows\system32\drivers\ die Datei Rda74.sys löschen
Im Verzeichnis c:\windows\system32\ die Datei WinNt32.dll löschen

Abgesicherter Modus:
In Registry alle Schlüssel zu Rda74.sys löschen.
Nach Schlüsseln zu WinNt32.dll suchen und falls vorhanden löschen.

Herunterfahren und Booten von CD:
Bootsektor überprüfen. (fixmbr)
Eventuell Bootsektor reparieren mit:

fixmbr \Device\Harddisk0\Partition1

Falls der Bootsektor auf einer anderen Partition liegt, suchen mit:

C:\WINDOWS>map