Virus entfernt alle Security files !!!- Bagle-Variante-m_hook.sys |
||
---|---|---|
#0
| ||
28.03.2006, 13:02
...neu hier
Themenstarter Beiträge: 9 |
||
|
||
28.03.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#17
Bagle-Variante
http://virus-protect.org/virus/m_hook_sys.html ---------------------------------------------------------------- lade xphidden.zip http://virus-protect.org/reinigungstoolsregistry.html "yes" zur Registry hinzufügen, (so werden alle Dateien sichtbar) 2. gehe in die Registry Start-Ausfuehren-regedit bearbeiten --> suchen DateTime4 M_HOOK.SYS m_hook m hook drvsyskit german.exe Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. HKEY_CURRENT_USER\Software\DateTime4 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager] D:\DOKUMENTE UND EINSTELLUNGEN\Administrator.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] D:\DOKUMENTE UND EINSTELLUNGEN\Administrator.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit HKLM\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit ------------------------------------------------------------------------------------------------- Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen scan --> next none auf rename ändern Dann lass Blacklight den Rechner neu starten. PC neustarten ...in den abgesicherten Modus loeschen: D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\hidr.exe D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys D:\Dokumente und Einstellungen\ckrieger\Anwendungsdaten\hidires D:\WINNT\system32\wintems.exe (eventuell ist jetzt wintems.exe.ren) lade und scanne http://www.microsoft.com/security/malwareremove/families.mspx dann sehen wir weiter...was die Registry und die Sicherheitseinstellungen betrifft __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 15:50
...neu hier
Themenstarter Beiträge: 9 |
#18
Hallo Sabina,
der Bagle ist erlegt. Das hat mich nun 3 schlaflose Nächte gekostet.... Tausend Dank für deine schnelle und profesionelle Hilfe. Nach Abarbeitung deiner Anleitung ist nichts mehr zu finden. Nur zur Info für Leute mit ähnlichem Problem: in W2k kann man mit der regedit.exe keine Berechtigungen setzen. Das geht nur mit der regedt32.exe Ich habe mir diese Malware eingefangen trotz aktuellstem Patch von W2k, Zone Alarm Firewall und etrust Antivirus neuester Stand. Was schlägst du für Sicherheitsprogramme vor, damit sich sowas nicht wiederholt? Danke nochmal und Gruss Chris. |
|
|
||
28.03.2006, 16:36
Ehrenmitglied
Beiträge: 29434 |
#19
ckrieger
ich kenne nicht die Installationsroutine, und die Antiviren-Hersteller geben auch keine Infos darueber (oder ich habe sie nicht gefunden). Ob es nun per Mail ist, oder per IE (Browser-Risiko)... also auf der falschen Seite gesurft, ueber Netwerkfreigaben.......ich weiss es nicht. Deshalb kann ich dir auch keine Sicherheitsprogramme empfehlen . 1. Telnet solltest du unter den Diensten deaktivieren. 2. das auch besser deaktivieren........... RemoteRegistry "Description"="Ermöglicht die Bearbeitung der Registrierung über das Netzwerk." "DisplayName"="Remote-Registrierungsdienst" http://virus-protect.org/windienst.html Unnötige Dienste deaktivieren Windows-Dienste abschalten! http://www.dingens.org __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\DateTime4]
"wdrn"=dword:00000001
"uid"="59627799"
"port"=dword:00005b7e
RegSearch m_hook:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 28.03.2006 12:32:59 for strings:
; 'm_hook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ApprovedByRegRun2\AntiRepl\0]
"Target"="D:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR.FOX77.000\\ANWENDUNGSDATEN\\HIDIRES\\M_HOOK.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
;
;
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,44,4f,4b,55,4d,45,4e,\
54,45,20,55,4e,44,20,45,49,4e,53,54,45,4c,4c,55,4e,47,45,4e,5c,41,44,4d,49,\
4e,49,53,54,52,41,54,4f,52,2e,46,4f,58,37,37,2e,30,30,30,5c,41,4e,57,45,4e,\
44,55,4e,47,53,44,41,54,45,4e,5c,48,49,44,49,52,45,53,5c,4d,5f,48,4f,4f,4b,\
2e,53,59,53,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK\0000]
"Service"="m_hook"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]
; Contents of value:
; \??\D:\Dokumente und Einstellungen\Administrator.FOX77.000\Anwendungsdaten\hidires\m_hook.sys
"ImagePath"=hex(2):5c,3f,3f,5c,44,3a,5c,44,6f,6b,75,6d,65,6e,74,65,20,75,6e,64,\
20,45,69,6e,73,74,65,6c,6c,75,6e,67,65,6e,5c,41,64,6d,69,6e,69,73,74,72,61,\
74,6f,72,2e,46,4f,58,37,37,2e,30,30,30,5c,41,6e,77,65,6e,64,75,6e,67,73,64,\
61,74,65,6e,5c,68,69,64,69,72,65,73,5c,6d,5f,68,6f,6f,6b,2e,73,79,73,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR.FOX77.000\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
;
;
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,44,4f,4b,55,4d,45,4e,\
54,45,20,55,4e,44,20,45,49,4e,53,54,45,4c,4c,55,4e,47,45,4e,5c,41,44,4d,49,\
4e,49,53,54,52,41,54,4f,52,2e,46,4f,58,37,37,2e,30,30,30,5c,41,4e,57,45,4e,\
44,55,4e,47,53,44,41,54,45,4e,5c,48,49,44,49,52,45,53,5c,4d,5f,48,4f,4f,4b,\
2e,53,59,53,00,00,00
[HKEY_USERS\S-1-5-21-839522115-1677128483-682003330-500\Software\Greatis\Regrun2\Black\Files\D:DOKUMENTE UND EINSTELLUNGENADMINISTRATOR.FOX77.000ANWENDUNGSDATENHIDIRESM_HOOK.SYS]
[HKEY_USERS\S-1-5-21-839522115-1677128483-682003330-500\Software\Greatis\Regrun2\Black\Files\D:DOKUMENTE UND EINSTELLUNGENADMINISTRATOR.FOX77.000ANWENDUNGSDATENHIDIRESM_HOOK.SYS]
@="D:\\DOKUMENTE UND EINSTELLUNGEN\\ADMINISTRATOR.FOX77.000\\ANWENDUNGSDATEN\\HIDIRES\\M_HOOK.SYS"
; End Of The Log...
RegSearch m hook:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 28.03.2006 12:37:17 for strings:
; 'm hook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...