Win32.Beagle, flec006.exe, hldrrr.exe, srosa.sys
Geh zu dieser Seite
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 10.92"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen
Gmer
http://virus-protect.org/artikel/tools/gmer.html
deaktiviere und lösche:
- Services -
C:\??\C:\Windows\system32\drivers\srosa.sys
--------------
- Registry -
Reg HKLM\SYSTEM\ControlSet002\Services\srosa
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet002\Services\srosa@DisplayName Megadrv3
Reg HKLM\SYSTEM\ControlSet003\Services\srosa
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet003\Services\srosa@DisplayName Megadrv3
Reg HKLM\SYSTEM\ControlSet004\Services\srosa
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@Type 1
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@Start 1
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@ImagePath
Reg HKLM\SYSTEM\ControlSet004\Services\srosa@DisplayName Megadrv3
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApplicationManager\AppList\HKCU_RUN
@drvsyskit
C:\Windows\system32\drivers\hldrrr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApplicationManager\AppList\HKCU_RUN
@mule_st_key
C:\Users\%Username%\AppData\Roaming\m\flec006.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@drvsyskit
C:\Windows\system32\drivers\hldrrr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@german.exe
C:\Windows\system32\wintems.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
@mule_st_key
C:\Users\%Username%\AppData\Roaming\m\flec006.exe
-- Files -
C:\Users\%Username%\AppData\Roaming\m\flec006.exe
C:\Windows\System32\mdelk.exe
C:\Windows\System32\drivers\downld
C:\Windows\System32\drivers\downld\14813371.exe
C:\Windows\System32\drivers\downld\14815695.exe
C:\Windows\System32\drivers\downld\14835273.exe
C:\Windows\System32\drivers\downld\14841576.exe
C:\Windows\System32\drivers\downld\14859329.exe
C:\Windows\System32\drivers\downld\15025017.exe
C:\Windows\System32\drivers\downld\15042864.exe
C:\Windows\System32\drivers\downld\15050071.exe
C:\Windows\System32\drivers\downld\161367.exe
C:\Windows\System32\drivers\downld\182099.exe
C:\Windows\System32\drivers\downld\237948.exe
C:\Windows\System32\drivers\downld\241193.exe
C:\Windows\System32\drivers\downld\263204.exe
C:\Windows\System32\drivers\downld\270443.exe
C:\Windows\System32\drivers\downld\274998.exe
C:\Windows\System32\drivers\downld\295029.exe
C:\Windows\System32\drivers\downld\296745.exe
C:\Windows\System32\drivers\downld\318304.exe
C:\Windows\System32\drivers\downld\369160.exe
C:\Windows\System32\drivers\downld\387490.exe
C:\Windows\System32\drivers\downld\391406.exe
C:\Windows\System32\drivers\downld\400938.exe
C:\Windows\System32\drivers\downld\405664.exe
C:\Windows\System32\drivers\downld\408457.exe
C:\Windows\System32\drivers\downld\501246.exe
C:\Windows\System32\drivers\downld\534225.exe
C:\Windows\System32\drivers\downld\541339.exe
C:\Windows\System32\drivers\downld\65614.exe
C:\Windows\System32\drivers\downld\66206.exe
C:\Windows\System32\drivers\downld\68578.exe
C:\Windows\System32\drivers\downld\69560.exe
C:\Windows\System32\drivers\hldrrr.exe
C:\Windows\System32\drivers\mdelk.exe
C:\Windows\System32\drivers\srosa.sys
C:\Windows\System32\wintems.exe
------------------
Avenger - http://virus-protect.org/artikel/tools/avenger.html
setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.
kopiere in das weisse Feld:
Drivers to disable:
npf
hldrrr
srosa
mdelk
Drivers to delete:
npf
hldrrr
srosa
mdelk
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\ControlSet003\Services\srosa
HKLM\SYSTEM\ControlSet004\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Files to delete:
C:\Windows\system32\drivers\npf.sys
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\wintems.exe
C:\Windows\System32\mdelk.exe
C:\Windows\System32\drivers\mdelk.exe
C:\Windows\system32\drivers\hldrrr.exe
C:\Users\%Username%\AppData\Roaming\m\flec006.exe
Folders to delete:
C:\Windows\System32\drivers\downld
|
anderer PC
Datei zum sichern von outlook geladen + einen Bluescreen erhalten
Combofix
C:\WINDOWS\regedit.com
C:\WINDOWS\system\oeminfo.ini
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\168562.exe
C:\WINDOWS\system32\drivers\downld\179750.exe
C:\WINDOWS\system32\drivers\downld\244156.exe
C:\WINDOWS\system32\drivers\downld\251078.exe
C:\WINDOWS\system32\drivers\downld\265640.exe
C:\WINDOWS\system32\drivers\downld\413484.exe
C:\WINDOWS\system32\drivers\downld\441703.exe
C:\WINDOWS\system32\drivers\downld\457015.exe
C:\WINDOWS\system32\drivers\downld\754234.exe
C:\WINDOWS\system32\drivers\downld\800359.exe
C:\WINDOWS\system32\drivers\downld\809046.exe
C:\WINDOWS\system32\drivers\downld\829468.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
-------\Legacy_NPF
-------\Service_NPF
-------\Service_srosa
|
