Virus entfernt alle Security files !!!- Bagle-Variante-m_hook.sys

#0
28.03.2006, 13:02
...neu hier

Themenstarter
Avatar ckrieger

Beiträge: 9
#16 Info.txt

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\DateTime4]
"wdrn"=dword:00000001
"uid"="59627799"
"port"=dword:00005b7e

RegSearch m_hook:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 28.03.2006 12:32:59 for strings:
; 'm_hook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ApprovedByRegRun2\AntiRepl\0]
"Target"="D:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR.FOX77.000\\ANWENDUNGSDATEN\\HIDIRES\\M_HOOK.SYS"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
;
;
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,44,4f,4b,55,4d,45,4e,\
54,45,20,55,4e,44,20,45,49,4e,53,54,45,4c,4c,55,4e,47,45,4e,5c,41,44,4d,49,\
4e,49,53,54,52,41,54,4f,52,2e,46,4f,58,37,37,2e,30,30,30,5c,41,4e,57,45,4e,\
44,55,4e,47,53,44,41,54,45,4e,5c,48,49,44,49,52,45,53,5c,4d,5f,48,4f,4f,4b,\
2e,53,59,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]
; Contents of value:
; \??\D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys
"ImagePath"=hex(2):5c,3f,3f,5c,44,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\
20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,41,64,6d,69,6e,69,73,74,72,61,\
74,6f,72,2e,46,4f,58,37,37,2e,30,30,30,5c,41,6e,77,65,6e,64,75,6e,67,73,64,\
61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,5f,68,6f,6f,6b,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
;
;
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,44,4f,4b,55,4d,45,4e,\
54,45,20,55,4e,44,20,45,49,4e,53,54,45,4c,4c,55,4e,47,45,4e,5c,41,44,4d,49,\
4e,49,53,54,52,41,54,4f,52,2e,46,4f,58,37,37,2e,30,30,30,5c,41,4e,57,45,4e,\
44,55,4e,47,53,44,41,54,45,4e,5c,48,49,44,49,52,45,53,5c,4d,5f,48,4f,4f,4b,\
2e,53,59,53,00,00,00

[HKEY_USERS\S-1-5-21-839522115-1677128483-682003330-500\Software\Greatis\Regrun2\Black\Files\D:DOKUMENTE UND EINSTELLUNGENADMINISTRATOR.FOX77.000ANWENDUNGSDATENHIDIRESM_HOOK.SYS]

[HKEY_USERS\S-1-5-21-839522115-1677128483-682003330-500\Software\Greatis\Regrun2\Black\Files\D:DOKUMENTE UND EINSTELLUNGENADMINISTRATOR.FOX77.000ANWENDUNGSDATENHIDIRESM_HOOK.SYS]
@="D:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR.FOX77.000\\ANWENDUNGSDATEN\\HIDIRES\\M_HOOK.SYS"

; End Of The Log...

RegSearch m hook:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 28.03.2006 12:37:17 for strings:
; 'm hook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Dieser Beitrag wurde am 28.03.2006 um 13:09 Uhr von ckrieger editiert.
Seitenanfang Seitenende
28.03.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Bagle-Variante
http://virus-protect.org/virus/m_hook_sys.html

----------------------------------------------------------------

lade xphidden.zip
http://virus-protect.org/reinigungstoolsregistry.html
"yes" zur Registry hinzufügen, (so werden alle Dateien sichtbar)

2. gehe in die Registry

Start-Ausfuehren-regedit
bearbeiten --> suchen

DateTime4
M_HOOK.SYS
m_hook
m hook
drvsyskit
german.exe

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.


HKEY_CURRENT_USER\Software\DateTime4

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
D:\DOKUMENTE UND EINSTELLUNGEN\Administrator.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
D:\DOKUMENTE UND EINSTELLUNGEN\Administrator.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook

HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit

-------------------------------------------------------------------------------------------------

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen

scan --> next none auf rename ändern

Dann lass Blacklight den Rechner neu starten.


PC neustarten ...in den abgesicherten Modus

loeschen:

D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys
D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires
D:\WINNT\system32\wintems.exe (eventuell ist jetzt wintems.exe.ren)

lade und scanne
http://www.microsoft.com/security/malwareremove/families.mspx

dann sehen wir weiter...was die Registry und die Sicherheitseinstellungen betrifft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2006, 15:50
...neu hier

Themenstarter
Avatar ckrieger

Beiträge: 9
#18 Hallo Sabina,

der Bagle ist erlegt.
Das hat mich nun 3 schlaflose Nächte gekostet....

Tausend Dank für deine schnelle und profesionelle Hilfe.

Nach Abarbeitung deiner Anleitung ist nichts mehr zu finden.

Nur zur Info für Leute mit ähnlichem Problem:
in W2k kann man mit der regedit.exe keine Berechtigungen setzen. Das geht nur mit der regedt32.exe


Ich habe mir diese Malware eingefangen trotz aktuellstem Patch von W2k, Zone Alarm Firewall und etrust Antivirus neuester Stand.

Was schlägst du für Sicherheitsprogramme vor, damit sich sowas nicht wiederholt?

Danke nochmal und Gruss

Chris.
Seitenanfang Seitenende
28.03.2006, 16:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 ckrieger

ich kenne nicht die Installationsroutine, und die Antiviren-Hersteller geben auch keine Infos darueber (oder ich habe sie nicht gefunden).
Ob es nun per Mail ist, oder per IE (Browser-Risiko)... also auf der falschen Seite gesurft, ueber Netwerkfreigaben.......ich weiss es nicht.
Deshalb kann ich dir auch keine Sicherheitsprogramme empfehlen .

1.
Telnet solltest du unter den Diensten deaktivieren.

2.
das auch besser deaktivieren...........
RemoteRegistry
"Description"="Ermöglicht die Bearbeitung der Registrierung über das Netzwerk."
"DisplayName"="Remote-Registrierungsdienst"

http://virus-protect.org/windienst.html

Unnötige Dienste deaktivieren
Windows-Dienste abschalten!
http://www.dingens.org
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: