Win32.Beagle

Win32.Beagle, hldrrr.exe, mdelk.exe, srosa.sys, wintems.exe

Link: Bagle

C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm

Win32.Beagle - mdelk.exe - wintems.exe - srosa.sys - HLDRRR.EXE

C:\WINDOWS\system32\mdelk.exe
Infiziert: Win32.Beagle.FQ

C:\WINDOWS\system32\wintems.exe
Infiziert: Win32.Beagle.FQ

EliBaglA.exe und Combofix

weiter Geh zu dieser Seite http://www.zonavirus.com

Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen

Nach den ersten Durchlauf und posten von C:\InfoSat.txt Rechner neu starten und "EliBaglA" nochmal scannen lassen Und wieder C:\InfoSat.txt posten lassen

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado

C:\Muestras\M_HOOK.SYS
C:\Muestras\HIDR.EXE

Restaurada Clave: "SafeBoot\Minimal y Network"

weiter Meistens geht dann Combofix auch wieder

dann sollte man die Combofix.exe umbenennen in Combo-fix.com oder entfernen.com .... so erkennt die Schadware nicht, dass Combofix angewendet wird

Comboscan

weiter Comboscan

R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys

-- Files created between 2007-12-28 and 2008-01-28 -----------------------------

2008-01-27 19:28:21 71172 --a------ C:\WINDOWS\system32\mdelk.exe

F-Secure BlackLight

weiter fsbl.exe

"I accept the agreement".
"Next"
"Scan"

fsbl.xxxxxxx.log

09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
c:\Windows\System32\wintems.exe,Hidden File

Man muss diese Dateien im Dateiauswahlfenster, welches der Blacklight Eliminator vorschlägt mit der Option "Umbenennen (d.h. Rename)" anwählen, also für die Umbenennung aktivieren. Nachdem man alle oben betreffenden Dateien in der Liste ausgewählt hat, kann man das abschliessende Renaming mit dem Blacklight Eliminator auslösen.


anderer PC

02/25/07 17:38:33 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\HIDR.EXE.VIR
02/25/07 09:07:39 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe

02/25/07 09:04:52 [Info]: Hidden process: C:\Documents and Settings\User\Application Data\hidires\hidr.exe
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\m_hook.sys
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\flec003.exe

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

AVG Anti-Spyware - Ewido

weiter AVG Anti-Spyware

C:\Documents and Settings\User\Local Settings\Temp\~11.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~113.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~13.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~18.exe -> Downloader.Bagle.br : Cleaned.

C:\WINDOWS\exefld\106828.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\126296.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\14593500.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\16281109.exe -> Worm.Bagle.hw : Cleaned.

weiter Comboscan

2007-01-28 22:24:34 0 d-------- C:\WINDOWS\exefld

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

3R m_hook (Empty) - C:\Documents and Settings\User\Application Data\hidires\m_hook.sys

Start - Ausführen - cmd

• reinkopieren:
regedit /e look.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"
start notepad look.txt

Sophos Anti-Rootkit

weiter Sophos-Anti-Rootkit

Running processes
Windows Registry
Local Hard Drives

Start - Ausführen - reinkopieren: %temp%\sarscan.log

CatchMe

weiter Catchme

file zipped: C:\WINDOWS\system32\drivers\down\807234.exe -> catchme.zip -> 807234.exe ( 1621 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\832125.exe -> catchme.zip -> 832125.exe ( 873 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\833343.exe -> catchme.zip -> 833343.exe ( 632 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\837859.exe -> catchme.zip -> 837859.exe ( 9919 bytes )
file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 116912 bytes )
file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71172 bytes )
file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 783496 bytes )

1.
IE:
gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen

2.
Extras - Internetoptionen - Erweitert - Sicherheit - Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

3.
falls du nicht in den abgesicherten Modus kommst:

weiter Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. SafeBoot.zip

4.
deaktiviere den Dienst:

klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

srosa (Megadrv3)
3R m_hook

5.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete srosa

sc 3R m_hook

UnHackMe findet und löscht Rootkits

weiter Unhackme

löschen:

C:\WINDOWS\system32\jgdw400d.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld

Kaspersky - VirusRemoval Tool

weiter Kaspersky

deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe

deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\608765.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe

AVZ

weiter AVZ-Scanner hake vor allem die Rootkits an + scanne

Icesword

weiter Icesword

• klicke: Processes - was rot angezeigt wird - "Terminate Process"

C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\down

• Klick: File

klicke dich durch zu folgenden Files und lösche:

C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\down
C:\Muestras
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

• Klick Registry

lösche:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa

• Start - Ausführen - sfc /scannow


anderer PC

C:\WINXP\system32\drivers\down\98109.exe
C:\WINXP\system32\drivers\down\99453.exe
C:\WINXP\system32\drivers\hldrrr.exe
C:\WINXP\system32\drivers\srosa.sys
C:\WINXP\system32\mdelk.exe
C:\WINXP\system32\wintems.exe

-------\LEGACY_IPRIP
-------\LEGACY_MSUPDATE
-------\LEGACY_SROSA
-------\Iprip
-------\msupdate
-------\srosa


anderer PC

downld -> neu

C:\WINDOWS\system32\drivers\downld\608765.exe

C:\WINDOWS\system32\drivers\downld\621109.exe

weiter Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. SafeBoot.zip

weiter Combofix - Combofix.exe umbenennen in "entfernen.com"

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\1249015.exe
C:\WINDOWS\system32\drivers\downld\1256500.exe
C:\WINDOWS\system32\drivers\downld\1316781.exe

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\Legacy_SROSA

verseuchte USB:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a60ab003-b15f-11dc-9f82-00308423932e}]
\Shell\AutoRun\command - H:\nideiect.com
\Shell\explore\Command - H:\nideiect.com
\Shell\open\Command - H:\nideiect.com

----------

'TR/Dldr.Bagle.MN [TR/Dldr.Bagle.MN]'

[AutoRun]
open=nideiect.com
;shell\open=Open
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager
shell\explore\Command=nideiect.com

weiter Catchme

scanning hidden files ...
C:\WINDOWS\system32\drivers\srosa.sys 94208 bytes

Bitdefender-Onlinescan

weiter Bitdefender-Onlinescan

C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm

weiter Elibagla

Tue Apr 15 16:21:55 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.

------------------------

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

OtmoveIt

weiter OtmoveIt

File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.

weiter Kaspersky

deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe

deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1206093.exe
deleted: virus Email-Worm.Win32.Bagle.vr File: C:\WINDOWS\system32\drivers\downld\1215468.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1218421.exe
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\15367687.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\15376125.exe


anderer PC

C:\WINDOWS\system32\drivers\down
2008-04-04 04:24 . 2008-04-04 14:01 REP d-------- C:\WINDOWS\system32\drivers\downld
2008-04-04 04:24 . 2006-06-11 02:10 688,128 --a------ C:\WINDOWS\system32\drivers\mdelk.exe - TR/Dldr.Bagle.MN

Antivirus/Avira

weiter Antivirus

C:\WINDOWS\system32\drivers\mdelk.exe
[DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN
[INFO] The file was deleted!

Panda - Bagle - Entfernungstool

pandasecurity - Panda QuickRemover
• man muss sich registrieren:
If you are not a registered user click here http://www.pandasecurity.com

Bagle.A Bagle.AA Bagle.AB Bagle.AH Bagle.AM Bagle.B Bagle.BC Bagle.BK Bagle.BL Bagle.C Bagle.D Bagle.E Bagle.J Bagle.N Bagle.O Bagle.Q Bagle.U






virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam