Wie löschen : W32.beagle.dz,w32/beagledi-bv, Tr/rkit.beagle.glThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.01.2007, 12:42
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.01.2007, 13:07
Member
Themenstarter Beiträge: 19 |
#32
Hab ich gemacht (beides)
und wieder gesucht mit regsearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.01.2007 13:01:48 for strings: ; 'hldrrr' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe" [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] "000"="hldrrr" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.01.2007 13:05:05 for strings: ; 'datetime4' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.01.2007 13:06:21 for strings: ; 'drvsyskit' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"="C:\\Dokumente und Einstellungen\\kit\\Anwendungsdaten\\hidires\\hidr.exe" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 07.01.2007 13:07:14 for strings: ; 'm_hook' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... __________ ______________ MFG Kit |
|
|
||
07.01.2007, 14:27
Ehrenmitglied
Beiträge: 29434 |
#33
gehe in die registry
Start - Ausfuehren - regedit oben links: bearbeiten - suchen - hldrrr und drvsyskit loesche: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hldrrr" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "hldrrr" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit" PC neustarten ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2007, 14:52
Member
Themenstarter Beiträge: 19 |
#34
gemacht !
nach neustart: c:\windows\system32\hldrrr.exe ist wieder da ( hatte ich auch in der registry gelöscht ) " drvsyskit " auch wieder da ! __________ ______________ MFG Kit |
|
|
||
07.01.2007, 14:54
Ehrenmitglied
Beiträge: 29434 |
#35
boote in den abgesicherten modus und versuche es dort zu loeschen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2007, 17:05
Member
Themenstarter Beiträge: 19 |
#36
ich konnte nach dem abgesicherten modus den pc nicht mehr starten.
hab mein image zurückgespielt. laß gleich mal ein virenprg laufen, hoffe das problem ist dann gelöst. trotzdem vielen DANK für Deine Hilfe mfg Klaus Ps. welche Programme zum Schutz gegen Viren/Trojaner kannst du empfehlen ? __________ ______________ MFG Kit |
|
|
||
07.01.2007, 17:27
Ehrenmitglied
Beiträge: 29434 |
#37
du hattest ein Image ...sieh an
das ist natuerlich immer die beste loesung.................. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2007, 17:40
Member
Themenstarter Beiträge: 19 |
#38
War nicht ganz aktuell, aber immerhin.
was ist mit: " welche Programme zum Schutz gegen Viren/Trojaner kannst du empfehlen ? " Jetzt hör ich auch auf zu nerven ! bis zum nächsten Problem !! mfg Klaus __________ ______________ MFG Kit |
|
|
||
15.01.2007, 09:34
...neu hier
Beiträge: 1 |
#39
Bei mir hat die Anweisung von Denico (alias Nicolas) gewirkt!!!!
Grundproblem: TR/Rkit.Bagle.GL Info: http://www.avira.com/de/Thread/section/fulldetails/id_vir/3343/tr_rkit.bagle.gl.html Man bemerkt seine Anwesenheit, dass sich im allgemeinen der Virenscanner und Firewalls abschaltet und sich fast keine Vierenscanner oder Firewalls sich mehr installieren lassen. Sofort hardwaremäßig vom Netz gehen! Da er sich verschicken will. Nun nochmal einmal etwas detaillierter zur Prozedur von Denico (alias Nicolas) Die folgenden 3 Programme besorgen und vorher installieren (Link zum Download unten): 1. F-secure Blacklight Rootkit Eliminator 2. Unlocker 3. Ashampoo AntiSpyware 1.5 Weiters ist der "Registry Monitor" sehr hilfreich zum Sichtbarmachen von hdlrrr.exe Der "Process Explorer" gibt auskunft ob es ein versteckter Prozess ist. 1) Mit F-Secure Rootkits suchen (SCAN), dann NEXT 2) hldrr.exe anklicken und RENAME. Computer wird neu gestartet. (Damit wird die das File hdlrrr.exe in hdlrrr.exe.ren umbenannt und kann nicht mehr gestartet werden) 4) F-Secure Rootkits nochmal laufen lassen und das gleiche mit wintems.exe machen (hdlrrr.exe ist nun nicht mehr vorhanden) 5) F-Secure Rootkits nochmal laufen lassen Die Datei m_hook.sys oder hidr.exe anklicken (doppelklick) und auf den Link klicken Damit öffnet sich ein Explorer. Der Ordner hidires erscheint weil getarnt als leer und normales Löschen funktioniert nicht. Bei mir war es "C:\Dokumente und Einstellungen\Fd\Anwendungsdaten\hidires" Diesen Ordner, in dem die Dateien sind, die für das gesamte Tarnen verantwortlich sind, mit dem Tool Unlocker, dass vorher installiert wurde, löschen: Unlocker müsste jetzt per Rechtsklick zu sehen sein. Unlocker starten. Zeile mit Pfad auswählen. und "Freigeben". Beim 2.mal Starten kommt ein Dialog mit Löschen. Hier Löschen wählen. Computer neu staren und der Ordner ist weg. Eventuell F-Secure Rootkits und Neustart so oft ausführen bis die Dinger • m_hook.sys • hidr.exe • hidn2.exe • wintems.exe • hldrrr.exe • ldr64.dll nicht mehr gefunden werden. Dann ist der Spuk vorbei (kein Rootkit mehr aktiv..) Es könnte sein, dass man vorher die Registrierungseinträge entfernen sollte. Grundsätlich, wenn im "Registry Monitor" ein Prozess ist, der "EnableAutodail" dauernd einschalten will und dieser Prozess im "Process Explorer" nicht aufscheint und er auch noch von System32 kommt (im Registry Monitor rechte Maustaste und "Prozess Properties"), dann ist das Ding schon heiß. Wenn Ihr nun in System32 das File nicht findet, dann ist es garantiert ein weiteres nettes Spielzeug auf Eurem PC. Daher nochmal Schritte 1 bis 3 machen. Es müssen nur noch alle Dateien und Registry-Einträge etc. gelöscht werden. Es sind folgende (Auflistung von Nicolas, Bemerkungen von Heinz): – Die folgenden Dateien: • m_hook.sys (bei mir aber nicht mehr da, da Ordner hidires gelöscht) • hidr.exe (bei mir aber nicht mehr da, da Ordner hidires gelöscht) • hidn2.exe (nicht gefunden) • wintems.exe (in ...\System32\, umbenannt in wintems.exe.ren) • hldrrr.exe (in ...\System32\, umbenannt in hldrrr.exe.ren) • ldr64.dll (nicht gefunden) – Die folgenden Prozesse: • hidr.exe (bei mir nicht (mehr) aktiv) • hidn2.exe (bei mir nicht (mehr) aktiv) • flec006.exe • wintems.exe (schon vorher gekillt) • hldrrr.exe (schon vorher gekillt) • mdelk.exe – Die folgenden Registryschlüssel: • nkeyjej1 (nicht gefunden) • nkeyjej2 (nicht gefunden) – Die folgende Registrywerte: • german.exe • drvsyskit • hldrrr • mule_st_key • drv_st_key • key000s04 • key000s05 – Die folgenden Verzeichnisse: • shared • hidn • hidires Nach einem Neustart unbedingt noch einmal Ashampoo drüber laufen lassen und das System weiter im Auge behalten. Weil wirklich sicher ist nur eine Neuinstallation. Ich würde einen ordentlichen Virenscan noch machen. Ach ja, die neueste Version dieses Dings wurde nur von Kaspersky erkannt (wenn er das file online scannte). Im Arbeitsspeicher hat er es auch nicht gefunden. Also ich trinke sicher ein Bier auf Nicolas, danke schön Nicolas! Softwarelinks: http://software-portal.faz.net/ie/47508/F-Secure_BlackLight_Rootkit_Eliminator http://software-portal.faz.net/ie/40696/Unlocker http://software-portal.faz.net/ie/49129/Ashampoo_AntiSpyWare http://www.zdnet.de/downloads/prg/d/k/de00DK-wc.html http://www.zdnet.de/downloads/prg/0/5/de10223605-wc.html |
|
|
||
. Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
Zitat
PC neustartenoder:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Zitat
PC neustarten__________
MfG Sabina
rund um die PC-Sicherheit