ldr64.dll , m_hook.sys , temp.zip , Bagle.fy

startseite Gastbuch Kontakt
ldr64.dll
m_hook.sys temp.zip Bagle.fy
ldr64.dll, m_hook.sys, temp.zip, Bagle.fy

ldr64.dll, m_hook.sys, temp.zip, Bagle.fy


Bagle-Würmer
Name Win32.Bagle.fy
Type Worm
How it spreads Email attachments


[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64]
"LdCount"=dword:00000000
"prevt"=dword:00000000
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"="ldr64.dll"
"Startup"="Startup"


HKCU\Software\FirstRuxzx



* wintems.exe
* drvsyskit
* german.exe
* key000s01
* key000s02
* key000s03
* key000s04
* key000s05


The first time it is run, it drops the clean file C:\error.gif and opens it. This is an image of the word "Error".

It drops the file C:\temp.zip which contains an encrypted zip of itself.

It copies itself to the file \hidn\hidn.exe and drops the file \hidn\m_hook.sys



HijackThis

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll


datfindbat

Verzeichnis von C:\

26.06.2006 23:00 84.730 temp.zip

Verzeichnis von C:\WINDOWS\system32

26.06.2006 23:00 281 edlm2.exe
26.06.2006 23:00 1.635 edlm.exe


Anwendungsdaten\hidn

f-secure.com/blacklight

06/27/06 11:07:41 [Info]: Hidden process: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys

Anwendungsdaten\hidires

RootkitRevealer
http://technet.microsoft.com/de-de/sysinternals/bb897445(en-us).aspx

D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\m_hook.sys

D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\m_hook.sys
D:\WINNT\system32\wintems.exe


HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "%System%\hidr.exe"


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
; Contents of value: ; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]


Avenger

Drivers to disable:
m_hook

Drivers to delete:
m_hook

registry keys to delete:
HKEY_CURRENT_USER\Software\FirstRuxzx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mloader32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook

Files to delete:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
%System%\hidr.exe
C:\WINDOWS\system32\edlm2.exe
C:\WINDOWS\system32\edlm.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\temp.zip
C:\error.gif

Folders to delete:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidn


alle temporären Dateien löschen:

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\jdv4F.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\f6e4D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\luo4C.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\tfg47.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5wa44.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\sg542.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\fwa3D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ijm3C.tmp

Windows-Dienste abschalten!
http://www.dingens.org





Valid HTML 4.01 Ranking-Hits