ldr64.dll




ldr64.dll, m_hook.sys, temp.zip, Bagle.fy

Bagle-Würmer
Name Win32.Bagle.fy
Type Worm
How it spreads Email attachments

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64]
"LdCount"=dword:00000000
"prevt"=dword:00000000
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"="ldr64.dll"
"Startup"="Startup"

HKCU\Software\FirstRuxzx

* wintems.exe
* drvsyskit
* german.exe
* key000s01
* key000s02
* key000s03
* key000s04
* key000s05

The first time it is run, it drops the clean file C:\error.gif and opens it. This is an image of the word "Error".

It drops the file C:\temp.zip which contains an encrypted zip of itself.

It copies itself to the file \hidn\hidn.exe and drops the file \hidn\m_hook.sys

weiter HijackThis

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

weiter datfindbat

Verzeichnis von C:\

26.06.2006 23:00 84.730 temp.zip

Verzeichnis von C:\WINDOWS\system32

26.06.2006 23:00 281 edlm2.exe
26.06.2006 23:00 1.635 edlm.exe

Anwendungsdaten\hidn

weiter Blacklight

06/27/06 11:07:41 [Info]: Hidden process: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys

Anwendungsdaten\hidires

weiter RootkitRevealer

D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\m_hook.sys

D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\m_hook.sys
D:\WINNT\system32\wintems.exe

HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "%System%\hidr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
; Contents of value: ; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]

weiter Avenger

Drivers to disable:
m_hook

Drivers to delete:
m_hook

registry keys to delete:
HKEY_CURRENT_USER\Software\FirstRuxzx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mloader32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook

Files to delete:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
%System%\hidr.exe
C:\WINDOWS\system32\edlm2.exe
C:\WINDOWS\system32\edlm.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\temp.zip
C:\error.gif

Folders to delete:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidn

alle temporären Dateien löschen:

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\jdv4F.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\f6e4D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\luo4C.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\tfg47.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5wa44.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\sg542.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\fwa3D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ijm3C.tmp

weiter Windows-Dienste abschalten! http://www.dingens.org


startseite
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits