|
|
|
Win32.Beagle - hldrrr.exe - mdelk.exe - srosa.sys - wintems.exe , Bagle
Beispiel:
Link: bagle
C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm
Win32.Beagle - mdelk.exe - wintems.exe - srosa.sys - HLDRRR.EXE
C:\WINDOWS\system32\mdelk.exe
Infiziert: Win32.Beagle.FQ
C:\WINDOWS\system32\wintems.exe
Infiziert: Win32.Beagle.FQ
|
EliBaglA.exe und Combofix
|
Geh zu dieser Seite
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 10.92"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen
Nach den ersten Durchlauf und posten von C:\InfoSat.txt Rechner neu starten und "EliBaglA" nochmal scannen lassen
Und wieder C:\InfoSat.txt posten lassen
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado
C:\Muestras\M_HOOK.SYS
C:\Muestras\HIDR.EXE
Restaurada Clave: "SafeBoot\Minimal y Network"
Meistens geht dann Combofix auch wieder
dann sollte man die Combofix.exe umbenennen in Combo-fix.com oder entfernen.com ....so erkennt die Schadware nicht, dass Combofix angewendet wird
|
Comboscan
R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys
-- Files created between 2007-12-28 and 2008-01-28 -----------------------------
2008-01-27 19:28:21 71172 --a------ C:\WINDOWS\system32\mdelk.exe
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
F-Secure BlackLight
"I accept the agreement".
"Next"
"Scan"
fsbl.xxxxxxx.log
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
c:\Windows\System32\wintems.exe,Hidden File
Man muss diese Dateien im Dateiauswahlfenster, welches der Blacklight Eliminator vorschlägt mit der Option "Umbenennen (d.h. Rename)" anwählen, also für die Umbenennung aktivieren.
Nachdem man alle oben betreffenden Dateien in der Liste ausgewählt hat, kann man das abschliessende Renaming mit dem Blacklight Eliminator auslösen.
anderer PC
02/25/07 17:38:33 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\HIDR.EXE.VIR
02/25/07 09:07:39 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe
02/25/07 09:04:52 [Info]: Hidden process: C:\Documents and Settings\User\Application Data\hidires\hidr.exe
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\m_hook.sys
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\flec003.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
AVG Anti-Spyware
C:\Documents and Settings\User\Local Settings\Temp\~11.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~113.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~13.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~18.exe -> Downloader.Bagle.br : Cleaned.
C:\WINDOWS\exefld\106828.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\126296.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\14593500.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\16281109.exe -> Worm.Bagle.hw : Cleaned.
Comboscan
2007-01-28 22:24:34 0 d-------- C:\WINDOWS\exefld
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------
3R m_hook (Empty) - C:\Documents and Settings\User\Application Data\hidires\m_hook.sys
Start - Ausführen - cmd
reinkopieren:
regedit /e look.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"
start notepad look.txt
|
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
Running processes
Windows Registry
Local Hard Drives
Start - Ausführen - reinkopieren: %temp%\sarscan.log
http://www.virus-protect.org/catchme.html
file zipped: C:\WINDOWS\system32\drivers\down\807234.exe -> catchme.zip -> 807234.exe ( 1621 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\832125.exe -> catchme.zip -> 832125.exe ( 873 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\833343.exe -> catchme.zip -> 833343.exe ( 632 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\837859.exe -> catchme.zip -> 837859.exe ( 9919 bytes )
file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 116912 bytes )
file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71172 bytes )
file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 783496 bytes )
1.
IE:
gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen
2.
Extras - Internetoptionen - Erweitert - Sicherheit - Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.
3.
|
falls du nicht in den abgesicherten Modus kommst:
|
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
4.
deaktiviere den Dienst:
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"
srosa (Megadrv3)
3R m_hook
5.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.
sc delete srosa
sc 3R m_hook
|
UnHackMe findet und löscht Rootkits
|
http://virus-protect.org/artikel/tools/unhackme.html
löschen:
C:\WINDOWS\system32\jgdw400d.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
|
Kaspersky - VirusRemoval Tool
|
http://virus-protect.org/artikel/tools/kaspersky.html
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\608765.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
http://www.virus-protect.org/artikel/tools/avz.html
hake vor allem die Rootkits an + scanne
http://virus-protect.org/artikel/tools/icesword.html
klicke: Processes - was rot angezeigt wird - "Terminate Process"
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\down
Klick: File
klicke dich durch zu folgenden Files und lösche:
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\down
C:\Muestras
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
Klick Registry
lösche:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa
Start - Ausführen - sfc /scannow
anderer PC
C:\WINXP\system32\drivers\down\98109.exe
C:\WINXP\system32\drivers\down\99453.exe
C:\WINXP\system32\drivers\hldrrr.exe
C:\WINXP\system32\drivers\srosa.sys
C:\WINXP\system32\mdelk.exe
C:\WINXP\system32\wintems.exe
-------\LEGACY_IPRIP
-------\LEGACY_MSUPDATE
-------\LEGACY_SROSA
-------\Iprip
-------\msupdate
-------\srosa
anderer PC
downld -> neu
C:\WINDOWS\system32\drivers\downld\608765.exe
C:\WINDOWS\system32\drivers\downld\621109.exe
««
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
Combofix - Combofix.exe umbenennen in "entfernen.com"
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\1249015.exe
C:\WINDOWS\system32\drivers\downld\1256500.exe
C:\WINDOWS\system32\drivers\downld\1316781.exe
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\Legacy_SROSA
verseuchte USB:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a60ab003-b15f-11dc-9f82-00308423932e}]
\Shell\AutoRun\command - H:\nideiect.com
\Shell\explore\Command - H:\nideiect.com
\Shell\open\Command - H:\nideiect.com
----------
'TR/Dldr.Bagle.MN [TR/Dldr.Bagle.MN]'
[AutoRun]
open=nideiect.com
;shell\open=Open
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager
shell\explore\Command=nideiect.com
catchme 0.2 W2K/XP/Vista
scanning hidden files ...
C:\WINDOWS\system32\drivers\srosa.sys 94208 bytes
Bitdefender-Onlinescan
C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Tue Apr 15 16:21:55 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
otmoveIt
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
Files moved on Reboot...
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
kaspersky
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1206093.exe
deleted: virus Email-Worm.Win32.Bagle.vr File: C:\WINDOWS\system32\drivers\downld\1215468.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1218421.exe
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\15367687.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\15376125.exe
anderer PC
C:\WINDOWS\system32\drivers\down
2008-04-04 04:24 . 2008-04-04 14:01 REP d-------- C:\WINDOWS\system32\drivers\downld
2008-04-04 04:24 . 2006-06-11 02:10 688,128 --a------ C:\WINDOWS\system32\drivers\mdelk.exe - TR/Dldr.Bagle.MN
http://virus-protect.org/antivirus.html
C:\WINDOWS\system32\drivers\mdelk.exe
[DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN
[INFO] The file was deleted!
|
Panda - Bagle - Entfernungstool
|
pandasecurity - Panda QuickRemover
man muss sich registrieren:
If you are not a registered user click here
http://www.pandasecurity.com/homeusers/downloads/repair-utilities/?
Bagle.A
Bagle.AA
Bagle.AB
Bagle.AH
Bagle.AM
Bagle.B
Bagle.BC
Bagle.BK
Bagle.BL
Bagle.C
Bagle.D
Bagle.E
Bagle.J
Bagle.N
Bagle.O
Bagle.Q
Bagle.U
|
|