Removalprogramm EliBagl

Removalprogramm EliBagl

EliBaglA.exe und Gmer

Geh zu dieser Seite Elibagla
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 10.92"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen

Gmer laden und anwenden

deaktiviere und lösche:

- Services -

C:\??\C:\Windows\system32\drivers\srosa.sys

--------------

- Registry -

Reg HKLM\SYSTEM\ControlSet002\Services\srosa
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@DisplayName Megadrv3

Reg HKLM\SYSTEM\ControlSet003\Services\srosa
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@DisplayName Megadrv3

Reg HKLM\SYSTEM\ControlSet004\Services\srosa
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@DisplayName Megadrv3

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApplicationManager\AppList\HKCU_RUN
@drvsyskit
C:\Windows\system32\drivers\hldrrr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApplicationManager\AppList\HKCU_RUN
@mule_st_key
C:\Users\%Username%\AppData\Roaming\m\flec006.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@drvsyskit
C:\Windows\system32\drivers\hldrrr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@german.exe
C:\Windows\system32\wintems.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@mule_st_key
C:\Users\%Username%\AppData\Roaming\m\flec006.exe

-- Files -

C:\Users\%Username%\AppData\Roaming\m\flec006.exe  
C:\Windows\System32\mdelk.exe
C:\Windows\System32\drivers\downld
C:\Windows\System32\drivers\downld\14813371.exe
C:\Windows\System32\drivers\downld\14815695.exe
C:\Windows\System32\drivers\downld\14835273.exe
C:\Windows\System32\drivers\downld\14841576.exe
C:\Windows\System32\drivers\downld\14859329.exe
C:\Windows\System32\drivers\downld\15025017.exe
C:\Windows\System32\drivers\downld\15042864.exe
C:\Windows\System32\drivers\downld\15050071.exe
C:\Windows\System32\drivers\downld\161367.exe
C:\Windows\System32\drivers\downld\182099.exe
C:\Windows\System32\drivers\downld\237948.exe
C:\Windows\System32\drivers\downld\241193.exe
C:\Windows\System32\drivers\downld\263204.exe
C:\Windows\System32\drivers\downld\270443.exe
C:\Windows\System32\drivers\downld\274998.exe
C:\Windows\System32\drivers\downld\295029.exe
C:\Windows\System32\drivers\downld\296745.exe
C:\Windows\System32\drivers\downld\318304.exe
C:\Windows\System32\drivers\downld\369160.exe
C:\Windows\System32\drivers\downld\387490.exe
C:\Windows\System32\drivers\downld\391406.exe
C:\Windows\System32\drivers\downld\400938.exe
C:\Windows\System32\drivers\downld\405664.exe
C:\Windows\System32\drivers\downld\408457.exe
C:\Windows\System32\drivers\downld\501246.exe
C:\Windows\System32\drivers\downld\534225.exe
C:\Windows\System32\drivers\downld\541339.exe
C:\Windows\System32\drivers\downld\65614.exe
C:\Windows\System32\drivers\downld\66206.exe
C:\Windows\System32\drivers\downld\68578.exe
C:\Windows\System32\drivers\downld\69560.exe
C:\Windows\System32\drivers\hldrrr.exe
C:\Windows\System32\drivers\mdelk.exe
C:\Windows\System32\drivers\srosa.sys
C:\Windows\System32\wintems.exe

Avenger

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Drivers to disable: npf hldrrr srosa mdelk Drivers to delete: npf hldrrr srosa mdelk Registry keys to delete: HKLM\SYSTEM\ControlSet001\Services\srosa HKLM\SYSTEM\ControlSet002\Services\srosa HKLM\SYSTEM\ControlSet002\Services\srosa HKLM\SYSTEM\ControlSet003\Services\srosa HKLM\SYSTEM\ControlSet004\Services\srosa HKLM\SYSTEM\CurrentControlSet\Services\srosa Files to delete: C:\Windows\system32\drivers\npf.sys C:\Windows\system32\drivers\srosa.sys C:\Windows\system32\wintems.exe C:\Windows\System32\mdelk.exe C:\Windows\System32\drivers\mdelk.exe C:\Windows\system32\drivers\hldrrr.exe C:\Users\%Username%\AppData\Roaming\m\flec006.exe Folders to delete: C:\Windows\System32\drivers\downld

anderer PC

Datei zum sichern von outlook geladen + einen Bluescreen erhalten

Combofix

C:\WINDOWS\regedit.com
C:\WINDOWS\system\oeminfo.ini
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\168562.exe
C:\WINDOWS\system32\drivers\downld\179750.exe
C:\WINDOWS\system32\drivers\downld\244156.exe
C:\WINDOWS\system32\drivers\downld\251078.exe
C:\WINDOWS\system32\drivers\downld\265640.exe
C:\WINDOWS\system32\drivers\downld\413484.exe
C:\WINDOWS\system32\drivers\downld\441703.exe
C:\WINDOWS\system32\drivers\downld\457015.exe
C:\WINDOWS\system32\drivers\downld\754234.exe
C:\WINDOWS\system32\drivers\downld\800359.exe
C:\WINDOWS\system32\drivers\downld\809046.exe
C:\WINDOWS\system32\drivers\downld\829468.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll


-------\Legacy_NPF
-------\Service_NPF
-------\Service_srosa

---