Win32.Beagle
|
Win32.Beagle, hldrrr.exe, mdelk.exe, srosa.sys, wintems.exe• Link: BagleC:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe Infected with: Win32.Bagle.SVM@mm Win32.Beagle - mdelk.exe - wintems.exe - srosa.sys - HLDRRR.EXE C:\WINDOWS\system32\mdelk.exe Infiziert: Win32.Beagle.FQ C:\WINDOWS\system32\wintems.exe Infiziert: Win32.Beagle.FQ
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA" Download EliBaglA.exe zum Desktop Doppelklick EliBaglA.exe um das Program zu starten Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\ Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist Klicke jetzt den Knopf "Explorar" um das Program zu starten Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread Klicke nachher "Salir" um das Program zu schliessen
R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys -- Files created between 2007-12-28 and 2008-01-28 ----------------------------- 2008-01-27 19:28:21 71172 --a------ C:\WINDOWS\system32\mdelk.exe
"I accept the agreement". "Next" "Scan" fsbl.xxxxxxx.log 09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe 09/08/07 15:56:01 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys c:\Windows\System32\wintems.exe,Hidden File Man muss diese Dateien im Dateiauswahlfenster, welches der Blacklight Eliminator vorschlägt mit der Option "Umbenennen (d.h. Rename)" anwählen, also für die Umbenennung aktivieren. Nachdem man alle oben betreffenden Dateien in der Liste ausgewählt hat, kann man das abschliessende Renaming mit dem Blacklight Eliminator auslösen. anderer PC 02/25/07 17:38:33 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\HIDR.EXE.VIR 02/25/07 09:07:39 [Info]: Hidden file: c:\WINDOWS\system32\wintems.exe 02/25/07 09:04:52 [Info]: Hidden process: C:\Documents and Settings\User\Application Data\hidires\hidr.exe 02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\m_hook.sys 02/25/07 09:05:03 [Info]: Hidden file: c:\Documents and Settings\User\Application Data\hidires\flec003.exe C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\Documents and Settings\User\Local Settings\Temp\~11.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~113.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~13.exe -> Downloader.Bagle.br : Cleaned. C:\Documents and Settings\User\Local Settings\Temp\~18.exe -> Downloader.Bagle.br : Cleaned. C:\WINDOWS\exefld\106828.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\126296.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\14593500.exe -> Worm.Bagle.hw : Cleaned. C:\WINDOWS\exefld\16281109.exe -> Worm.Bagle.hw : Cleaned. 2007-01-28 22:24:34 0 d-------- C:\WINDOWS\exefld -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------- 3R m_hook (Empty) - C:\Documents and Settings\User\Application Data\hidires\m_hook.sys • Start - Ausführen - cmd • reinkopieren:
Running processes Windows Registry Local Hard Drives Start - Ausführen - reinkopieren: %temp%\sarscan.log
file zipped: C:\WINDOWS\system32\drivers\down\807234.exe -> catchme.zip -> 807234.exe ( 1621 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\832125.exe -> catchme.zip -> 832125.exe ( 873 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\833343.exe -> catchme.zip -> 833343.exe ( 632 bytes ) file zipped: C:\WINDOWS\system32\drivers\down\837859.exe -> catchme.zip -> 837859.exe ( 9919 bytes ) file zipped: C:\WINDOWS\system32\drivers\srosa.sys -> catchme.zip -> srosa.sys ( 116912 bytes ) file zipped: C:\WINDOWS\system32\wintems.exe -> catchme.zip -> wintems.exe ( 71172 bytes ) file zipped: C:\WINDOWS\system32\drivers\hldrrr.exe -> catchme.zip -> hldrrr.exe ( 783496 bytes ) 1. IE: gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen 2. Extras - Internetoptionen - Erweitert - Sicherheit - Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. 3.
4. deaktiviere den Dienst: klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" srosa (Megadrv3) 3R m_hook 5. Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K. sc delete srosa sc 3R m_hook
löschen: C:\WINDOWS\system32\jgdw400d.dll C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\exefld C:\WINDOWS\system32\drivers\down C:\WINDOWS\system32\drivers\downld
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\608765.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe
• klicke: Processes - was rot angezeigt wird - "Terminate Process" C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\windows\system32\drivers\srosa.sys C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\down • Klick: File • klicke dich durch zu folgenden Files und lösche: C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\windows\system32\drivers\srosa.sys C:\WINDOWS\system32\drivers\down C:\Muestras C:\WINDOWS\SYSTEM32\BAN_LIST.TXT • Klick Registry • lösche: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\srosa • Start - Ausführen - sfc /scannow anderer PC C:\WINXP\system32\drivers\down\98109.exe C:\WINXP\system32\drivers\down\99453.exe C:\WINXP\system32\drivers\hldrrr.exe C:\WINXP\system32\drivers\srosa.sys C:\WINXP\system32\mdelk.exe C:\WINXP\system32\wintems.exe -------\LEGACY_IPRIP -------\LEGACY_MSUPDATE -------\LEGACY_SROSA -------\Iprip -------\msupdate -------\srosa anderer PC downld -> neu C:\WINDOWS\system32\drivers\downld\608765.exe C:\WINDOWS\system32\drivers\downld\621109.exe C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\drivers\downld C:\WINDOWS\system32\drivers\downld\1249015.exe C:\WINDOWS\system32\drivers\downld\1256500.exe C:\WINDOWS\system32\drivers\downld\1316781.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\Legacy_SROSA verseuchte USB: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a60ab003-b15f-11dc-9f82-00308423932e}] \Shell\AutoRun\command - H:\nideiect.com \Shell\explore\Command - H:\nideiect.com \Shell\open\Command - H:\nideiect.com ---------- 'TR/Dldr.Bagle.MN [TR/Dldr.Bagle.MN]' [AutoRun] open=nideiect.com ;shell\open=Open shell\open\Command=nideiect.com shell\open\Default=1 ;shell\explore=Manager shell\explore\Command=nideiect.com scanning hidden files ... C:\WINDOWS\system32\drivers\srosa.sys 94208 bytes
C:\Programme\MAGIX\Video_deluxe_2008_e-version\Trayserver.exe Infected with: Win32.Bagle.SVM@mm Tue Apr 15 16:21:55 2008 EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L. ------------------------ Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. Reinicie para Completar la Limpieza.
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. Files moved on Reboot... File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot. File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\programme\magix\video_deluxe_2008_e-version\trayserver.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: c:\windows\system32\drivers\hldrrr.exe deleted: virus Email-Worm.Win32.Bagle.of File: c:\windows\system32\wintems.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.mm File: c:\windows\system32\drivers\srosa.sys deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: C:\WINDOWS\system32\drivers\mdelk.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1206093.exe deleted: virus Email-Worm.Win32.Bagle.vr File: C:\WINDOWS\system32\drivers\downld\1215468.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\1218421.exe deleted: virus Email-Worm.Win32.Bagle.of File: C:\WINDOWS\system32\drivers\downld\15367687.exe deleted: Trojan program Trojan-Downloader.Win32.Bagle.ij File: C:\WINDOWS\system32\drivers\downld\15376125.exe anderer PC C:\WINDOWS\system32\drivers\down 2008-04-04 04:24 . 2008-04-04 14:01 REP d-------- C:\WINDOWS\system32\drivers\downld 2008-04-04 04:24 . 2006-06-11 02:10 688,128 --a------ C:\WINDOWS\system32\drivers\mdelk.exe - TR/Dldr.Bagle.MN
C:\WINDOWS\system32\drivers\mdelk.exe [DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN [INFO] The file was deleted!
• pandasecurity - Panda QuickRemover • man muss sich registrieren: • If you are not a registered user click here http://www.pandasecurity.com Bagle.A Bagle.AA Bagle.AB Bagle.AH Bagle.AM Bagle.B Bagle.BC Bagle.BK Bagle.BL Bagle.C Bagle.D Bagle.E Bagle.J Bagle.N Bagle.O Bagle.Q Bagle.U |