Win32.Beagle, hldrrr.exe, mdelk.exe, srosa.sys, wintems.exe

startseite Gastbuch Kontakt
Win32.Beagle
Win32.Beagle

Win32.Beagle - hldrrr.exe - mdelk.exe - srosa.sys - wintems.exe , Bagle




Beispiel:

Link: bagle

C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm


Win32.Beagle - mdelk.exe - wintems.exe - srosa.sys - HLDRRR.EXE

C:\WINDOWS\system32\mdelk.exe
Infiziert: Win32.Beagle.FQ

C:\WINDOWS\system32\wintems.exe
Infiziert: Win32.Beagle.FQ

EliBaglA.exe und Combofix

Geh zu dieser Seite
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 10.92"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen

Nach den ersten Durchlauf und posten von C:\InfoSat.txt Rechner neu starten und "EliBaglA" nochmal scannen lassen Und wieder C:\InfoSat.txt posten lassen

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado

C:\Muestras\M_HOOK.SYS
C:\Muestras\HIDR.EXE

Restaurada Clave: "SafeBoot\Minimal y Network"


Meistens geht dann Combofix auch wieder

dann sollte man die Combofix.exe umbenennen in Combo-fix.com oder entfernen.com ....so erkennt die Schadware nicht, dass Combofix angewendet wird





Comboscan

Comboscan

R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys

-- Files created between 2007-12-28 and 2008-01-28 -----------------------------

2008-01-27 19:28:21 71172 --a------ C:\WINDOWS\system32\mdelk.exe


F-Secure BlackLight

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
F-Secure BlackLight

"I accept the agreement".
"Next"
"Scan"

fsbl.xxxxxxx.log

09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
c:\Windows\System32\wintems.exe,Hidden File

Man muss diese Dateien im Dateiauswahlfenster, welches der Blacklight Eliminator vorschlägt mit der Option "Umbenennen (d.h. Rename)" anwählen, also für die Umbenennung aktivieren. Nachdem man alle oben betreffenden Dateien in der Liste ausgewählt hat, kann man das abschliessende Renaming mit dem Blacklight Eliminator auslösen.



anderer PC

02/25/07 17:38:33 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\HIDR.EXE.VIR
02/25/07 09:07:39 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe

02/25/07 09:04:52 [Info]: Hidden process: C:\Documents and Settings\User\Application Data\hidires\hidr.exe
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\m_hook.sys
02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\flec003.exe

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

AVG Anti-Spyware - Ewido

AVG Anti-Spyware

C:\Documents and Settings\User\Local Settings\Temp\~11.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~113.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~13.exe -> Downloader.Bagle.br : Cleaned.
C:\Documents and Settings\User\Local Settings\Temp\~18.exe -> Downloader.Bagle.br : Cleaned.

C:\WINDOWS\exefld\106828.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\126296.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\14593500.exe -> Worm.Bagle.hw : Cleaned.
C:\WINDOWS\exefld\16281109.exe -> Worm.Bagle.hw : Cleaned.

Comboscan

2007-01-28 22:24:34 0 d-------- C:\WINDOWS\exefld

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

3R m_hook (Empty) - C:\Documents and Settings\User\Application Data\hidires\m_hook.sys

Start - Ausführen - cmd

reinkopieren:

regedit /e look.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"
start notepad look.txt


Sophos Anti-Rootkit

http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Running processes
Windows Registry
Local Hard Drives

Start - Ausführen - reinkopieren: %temp%\sarscan.log


CatchMe

http://www.virus-protect.org/catchme.html

file zipped: C:\WINDOWS\system32\drivers\down\807234.exe -> catchme.zip -> 807234.exe ( 1621 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\832125.exe -> catchme.zip -> 832125.exe ( 873 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\833343.exe -> catchme.zip -> 833343.exe ( 632 bytes )
file zipped: C:\WINDOWS\system32\drivers\down\837859.exe -> catchme.zip -> 837859.exe ( 9919 bytes )
file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 116912 bytes )
file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71172 bytes )
file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 783496 bytes )



1.
IE:
gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen

2.
Extras - Internetoptionen - Erweitert - Sicherheit - Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

3.
falls du nicht in den abgesicherten Modus kommst:

Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

4.
deaktiviere den Dienst:
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

srosa (Megadrv3)
3R m_hook

5.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete srosa

sc 3R m_hook


UnHackMe findet und löscht Rootkits

http://virus-protect.org/artikel/tools/unhackme.html

löschen:

C:\WINDOWS\system32\jgdw400d.dll
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld


Kaspersky - VirusRemoval Tool

http://virus-protect.org/artikel/tools/kaspersky.html

deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe

deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\608765.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe

AVZ


http://www.virus-protect.org/artikel/tools/avz.html
hake vor allem die Rootkits an + scanne


Icesword

http://virus-protect.org/artikel/tools/icesword.html

klicke: Processes - was rot angezeigt wird - "Terminate Process"

C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\down

Klick: File

klicke dich durch zu folgenden Files und lösche:

C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\windows\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\down
C:\Muestras
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Klick Registry

lösche:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa


Start - Ausführen - sfc /scannow



anderer PC

C:\WINXP\system32\drivers\down\98109.exe
C:\WINXP\system32\drivers\down\99453.exe
C:\WINXP\system32\drivers\hldrrr.exe
C:\WINXP\system32\drivers\srosa.sys
C:\WINXP\system32\mdelk.exe
C:\WINXP\system32\wintems.exe


-------\LEGACY_IPRIP
-------\LEGACY_MSUPDATE
-------\LEGACY_SROSA
-------\Iprip
-------\msupdate
-------\srosa



anderer PC

downld -> neu

C:\WINDOWS\system32\drivers\downld\608765.exe
C:\WINDOWS\system32\drivers\downld\621109.exe

««
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

Combofix - Combofix.exe umbenennen in "entfernen.com"

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\1249015.exe
C:\WINDOWS\system32\drivers\downld\1256500.exe
C:\WINDOWS\system32\drivers\downld\1316781.exe

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\Legacy_SROSA

verseuchte USB:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a60ab003-b15f-11dc-9f82-00308423932e}]
\Shell\AutoRun\command - H:\nideiect.com
\Shell\explore\Command - H:\nideiect.com
\Shell\open\Command - H:\nideiect.com

----------

'TR/Dldr.Bagle.MN [TR/Dldr.Bagle.MN]'

[AutoRun]
open=nideiect.com
;shell\open=Open
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager
shell\explore\Command=nideiect.com


catchme 0.2 W2K/XP/Vista

scanning hidden files ...

C:\WINDOWS\system32\drivers\srosa.sys 94208 bytes

Bitdefender-Onlinescan

Bitdefender-Onlinescan

C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe
Infected with: Win32.Bagle.SVM@mm


http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Tue Apr 15 16:21:55 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

otmoveIt

otmoveIt

File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.


kaspersky

deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe
deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\mdelk.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe

deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1206093.exe
deleted: virus Email-Worm.Win32.Bagle.vr File: C:\WINDOWS\system32\drivers\downld\1215468.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1218421.exe
deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\15367687.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\15376125.exe


anderer PC

C:\WINDOWS\system32\drivers\down
2008-04-04 04:24 . 2008-04-04 14:01 REP d-------- C:\WINDOWS\system32\drivers\downld
2008-04-04 04:24 . 2006-06-11 02:10 688,128 --a------ C:\WINDOWS\system32\drivers\mdelk.exe - TR/Dldr.Bagle.MN

Antivirus/Avira

http://virus-protect.org/antivirus.html

C:\WINDOWS\system32\drivers\mdelk.exe
[DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN
[INFO] The file was deleted!

Panda - Bagle - Entfernungstool

pandasecurity - Panda QuickRemover
man muss sich registrieren:
If you are not a registered user click here

http://www.pandasecurity.com/homeusers/downloads/repair-utilities/? 
	Bagle.A	
	Bagle.AA 		
	Bagle.AB	
	Bagle.AH 		
	Bagle.AM	
	Bagle.B 		
	Bagle.BC	
	Bagle.BK 		
	Bagle.BL	
	Bagle.C 		
	Bagle.D	
	Bagle.E 		
	Bagle.J	
	Bagle.N 		
	Bagle.O	
	Bagle.Q 
	Bagle.U


Valid HTML 4.01 Ranking-Hits