ldr64.dll
|
ldr64.dll, m_hook.sys, temp.zip, Bagle.fyBagle-WürmerName Win32.Bagle.fy Type Worm How it spreads Email attachments [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64] "LdCount"=dword:00000000 "prevt"=dword:00000000 "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"="ldr64.dll" "Startup"="Startup" HKCU\Software\FirstRuxzx * wintems.exe * drvsyskit * german.exe * key000s01 * key000s02 * key000s03 * key000s04 * key000s05 The first time it is run, it drops the clean file C:\error.gif and opens it. This is an image of the word "Error". It drops the file C:\temp.zip which contains an encrypted zip of itself. It copies itself to the file \hidn\hidn.exe and drops the file \hidn\m_hook.sys 
HijackThis
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
datfindbat
Verzeichnis von C:\ 26.06.2006 23:00 84.730 temp.zip Verzeichnis von C:\WINDOWS\system32 26.06.2006 23:00 281 edlm2.exe 26.06.2006 23:00 1.635 edlm.exe Anwendungsdaten\hidn
Blacklight
06/27/06 11:07:41 [Info]: Hidden process: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe 06/27/06 11:07:42 [Info]: Hidden file: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe 06/27/06 11:07:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys Anwendungsdaten\hidires
RootkitRevealer
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\m_hook.sys D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\hidr.exe D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\m_hook.sys D:\WINNT\system32\wintems.exe HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvsyskit" = "%System%\hidr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager] ; Contents of value: ; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] ; Contents of value: ; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]
Avenger
alle temporären Dateien löschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\jdv4F.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\f6e4D.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\luo4C.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\tfg47.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5wa44.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\sg542.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\fwa3D.tmp C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ijm3C.tmp
Windows-Dienste abschalten!
http://www.dingens.org
|
