Win32.Beagle
|
Win32.Beagle, hldrrr.exe, mdelk.exe, srosa.sys, wintems.exe• Link: BagleC:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe Infected with: Win32.Bagle.SVM@mm Win32.Beagle - mdelk.exe - wintems.exe - srosa.sys - HLDRRR.EXE C:\WINDOWS\system32\mdelk.exe Infiziert: Win32.Beagle.FQ C:\WINDOWS\system32\wintems.exe Infiziert: Win32.Beagle.FQ
• Geh zu dieser Seite http://www.zonavirus.com Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA" Download EliBaglA.exe zum Desktop Doppelklick EliBaglA.exe um das Program zu starten Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\ Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist Klicke jetzt den Knopf "Explorar" um das Program zu starten Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread Klicke nachher "Salir" um das Program zu schliessen
• Comboscan R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys -- Files created between 2007-12-28 and 2008-01-28 ----------------------------- 2008-01-27 19:28:21 71172 --a------ C:\WINDOWS\system32\mdelk.exe
• fsbl.exe "I accept the agreement". "Next" "Scan" fsbl.xxxxxxx.log 09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe 09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys c:\Windows\System32\wintems.exe,Hidden File Man muss diese Dateien im Dateiauswahlfenster, welches der Blacklight Eliminator vorschlägt mit der Option "Umbenennen (d.h. Rename)" anwählen, also für die Umbenennung aktivieren. Nachdem man alle oben betreffenden Dateien in der Liste ausgewählt hat, kann man das abschliessende Renaming mit dem Blacklight Eliminator auslösen. anderer PC 02/25/07 17:38:33 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\HIDR.EXE.VIR 02/25/07 09:07:39 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe 02/25/07 09:04:52 [Info]: Hidden process: C:\Documents and Settings\User\Application Data\hidires\hidr.exe 02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\m_hook.sys 02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\flec003.exe C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
• AVG Anti-Spyware C:\Documents and Settings\User\Local Settings\Temp\~11.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~113.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~13.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~18.exe -> Downloader.Bagle.br : Cleaned. C:\WINDOWS\exefld\106828.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\126296.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\14593500.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\16281109.exe -> Worm.Bagle.hw : Cleaned. • Comboscan 2007-01-28 22:24:34 0 d-------- C:\WINDOWS\exefld -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------- 3R m_hook (Empty) - C:\Documents and Settings\User\Application Data\hidires\m_hook.sys • Start - Ausführen - cmd • reinkopieren:
• Sophos-Anti-Rootkit Running processes Windows Registry Local Hard Drives Start - Ausführen - reinkopieren: %temp%\sarscan.log
• Catchme file zipped: C:\WINDOWS\system32\drivers\down\807234.exe -> catchme.zip -> 807234.exe ( 1621 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\832125.exe -> catchme.zip -> 832125.exe ( 873 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\833343.exe -> catchme.zip -> 833343.exe ( 632 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\837859.exe -> catchme.zip -> 837859.exe ( 9919 bytes ) file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 116912 bytes ) file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71172 bytes ) file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 783496 bytes ) 1. IE: gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen 2. Extras - Internetoptionen - Erweitert - Sicherheit - Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. 3.
• Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. SafeBoot.zip 4. deaktiviere den Dienst: klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" srosa (Megadrv3) 3R m_hook 5. Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K. sc delete srosa sc 3R m_hook
• Unhackme löschen: C:\WINDOWS\system32\jgdw400d.dll C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\exefld C:\WINDOWS\system32\drivers\down C:\WINDOWS\system32\drivers\downld
• Kaspersky deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\608765.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
• AVZ-Scanner hake vor allem die Rootkits an + scanne
• Icesword • klicke: Processes - was rot angezeigt wird - "Terminate Process" C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\windows\system32\drivers\srosa.sys C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\down • Klick: File • klicke dich durch zu folgenden Files und lösche: C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\windows\system32\drivers\srosa.sys C:\WINDOWS\system32\drivers\down C:\Muestras C:\WINDOWS\SYSTEM32\BAN_LIST.TXT • Klick Registry • lösche: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa • Start - Ausführen - sfc /scannow anderer PC C:\WINXP\system32\drivers\down\98109.exe C:\WINXP\system32\drivers\down\99453.exe C:\WINXP\system32\drivers\hldrrr.exe C:\WINXP\system32\drivers\srosa.sys C:\WINXP\system32\mdelk.exe C:\WINXP\system32\wintems.exe -------\LEGACY_IPRIP -------\LEGACY_MSUPDATE -------\LEGACY_SROSA -------\Iprip -------\msupdate -------\srosa anderer PC downld -> neu C:\WINDOWS\system32\drivers\downld\608765.exe C:\WINDOWS\system32\drivers\downld\621109.exe • Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. SafeBoot.zip • Combofix - Combofix.exe umbenennen in "entfernen.com" C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\drivers\downld C:\WINDOWS\system32\drivers\downld\1249015.exe C:\WINDOWS\system32\drivers\downld\1256500.exe C:\WINDOWS\system32\drivers\downld\1316781.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\Legacy_SROSA verseuchte USB: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a60ab003-b15f-11dc-9f82-00308423932e}] \Shell\AutoRun\command - H:\nideiect.com \Shell\explore\Command - H:\nideiect.com \Shell\open\Command - H:\nideiect.com ---------- 'TR/Dldr.Bagle.MN [TR/Dldr.Bagle.MN]' [AutoRun] open=nideiect.com ;shell\open=Open shell\open\Command=nideiect.com shell\open\Default=1 ;shell\explore=Manager shell\explore\Command=nideiect.com Catchme scanning hidden files ... C:\WINDOWS\system32\drivers\srosa.sys 94208 bytes
• Bitdefender-Onlinescan C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe Infected with: Win32.Bagle.SVM@mm • Elibagla Tue Apr 15 16:21:55 2008 EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L. ------------------------ Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. Reinicie para Completar la Limpieza.
• OtmoveIt File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. Files moved on Reboot... File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. • Kaspersky deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1206093.exe deleted: virus Email-Worm.Win32.Bagle.vr File: C:\WINDOWS\system32\drivers\downld\1215468.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1218421.exe deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\15367687.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\15376125.exe anderer PC C:\WINDOWS\system32\drivers\down 2008-04-04 04:24 . 2008-04-04 14:01 REP d-------- C:\WINDOWS\system32\drivers\downld 2008-04-04 04:24 . 2006-06-11 02:10 688,128 --a------ C:\WINDOWS\system32\drivers\mdelk.exe - TR/Dldr.Bagle.MN
• Antivirus C:\WINDOWS\system32\drivers\mdelk.exe [DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN [INFO] The file was deleted!
• pandasecurity - Panda QuickRemover • man muss sich registrieren: • If you are not a registered user click here http://www.pandasecurity.com Bagle.A Bagle.AA Bagle.AB Bagle.AH Bagle.AM Bagle.B Bagle.BC Bagle.BK Bagle.BL Bagle.C Bagle.D Bagle.E Bagle.J Bagle.N Bagle.O Bagle.Q Bagle.U Counter-Box.de |