Wie löschen : W32.beagle.dz,w32/beagledi-bv, Tr/rkit.beagle.gl

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.01.2007, 12:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
. Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
PC neustarten

oder:

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\kit\Anwendungsdaten\hidires\hidr.exe

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2007, 13:07
Member

Themenstarter

Beiträge: 19
#32 Hab ich gemacht (beides)

und wieder gesucht mit regsearch:


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.01.2007 13:01:48 for strings:
; 'hldrrr'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="hldrrr"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"="C:\\WINDOWS\\system32\\hldrrr.exe"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.01.2007 13:05:05 for strings:
; 'datetime4'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.01.2007 13:06:21 for strings:
; 'drvsyskit'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"="C:\\Dokumente und Einstellungen\\kit\\Anwendungsdaten\\hidires\\hidr.exe"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07.01.2007 13:07:14 for strings:
; 'm_hook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
__________
______________
MFG Kit
Seitenanfang Seitenende
07.01.2007, 14:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 gehe in die registry
Start - Ausfuehren - regedit
oben links: bearbeiten - suchen - hldrrr und drvsyskit

loesche:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hldrrr"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"

PC neustarten !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2007, 14:52
Member

Themenstarter

Beiträge: 19
#34 gemacht !

nach neustart:

c:\windows\system32\hldrrr.exe

ist wieder da ( hatte ich auch in der registry gelöscht )

" drvsyskit "

auch wieder da !
__________
______________
MFG Kit
Seitenanfang Seitenende
07.01.2007, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 boote in den abgesicherten modus und versuche es dort zu loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2007, 17:05
Member

Themenstarter

Beiträge: 19
#36 ich konnte nach dem abgesicherten modus den pc nicht mehr starten.

hab mein image zurückgespielt.

laß gleich mal ein virenprg laufen,

hoffe das problem ist dann gelöst.

trotzdem vielen DANK für Deine Hilfe

mfg

Klaus

Ps. welche Programme zum Schutz gegen Viren/Trojaner kannst du empfehlen ?
__________
______________
MFG Kit
Seitenanfang Seitenende
07.01.2007, 17:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 du hattest ein Image ...sieh an ;)
das ist natuerlich immer die beste loesung..................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.01.2007, 17:40
Member

Themenstarter

Beiträge: 19
#38 War nicht ganz aktuell, aber immerhin.

was ist mit:

" welche Programme zum Schutz gegen Viren/Trojaner kannst du empfehlen ? "

Jetzt hör ich auch auf zu nerven ! ;)


bis zum nächsten Problem !!


mfg

Klaus
__________
______________
MFG Kit
Seitenanfang Seitenende
15.01.2007, 09:34
...neu hier

Beiträge: 1
#39 Bei mir hat die Anweisung von Denico (alias Nicolas) gewirkt!!!!

Grundproblem:
TR/Rkit.Bagle.GL
Info:
http://www.avira.com/de/Thread/section/fulldetails/id_vir/3343/tr_rkit.bagle.gl.html

Man bemerkt seine Anwesenheit, dass sich im allgemeinen der Virenscanner und Firewalls abschaltet und sich fast keine Vierenscanner oder Firewalls sich mehr installieren lassen.

Sofort hardwaremäßig vom Netz gehen! Da er sich verschicken will.

Nun nochmal einmal etwas detaillierter zur Prozedur von Denico (alias Nicolas)

Die folgenden 3 Programme besorgen und vorher installieren (Link zum Download unten):

1. F-secure Blacklight Rootkit Eliminator
2. Unlocker
3. Ashampoo AntiSpyware 1.5

Weiters ist der "Registry Monitor" sehr hilfreich zum Sichtbarmachen von hdlrrr.exe
Der "Process Explorer" gibt auskunft ob es ein versteckter Prozess ist.


1) Mit F-Secure Rootkits suchen (SCAN), dann NEXT

2) hldrr.exe anklicken und RENAME. Computer wird neu gestartet.
(Damit wird die das File hdlrrr.exe in hdlrrr.exe.ren umbenannt und kann nicht mehr gestartet werden)

4) F-Secure Rootkits nochmal laufen lassen und das gleiche mit wintems.exe machen (hdlrrr.exe ist nun nicht mehr vorhanden)

5) F-Secure Rootkits nochmal laufen lassen
Die Datei m_hook.sys oder hidr.exe anklicken (doppelklick) und auf den Link klicken
Damit öffnet sich ein Explorer.
Der Ordner hidires erscheint weil getarnt als leer und normales Löschen funktioniert nicht.
Bei mir war es "C:\Dokumente und Einstellungen\Fd\Anwendungsdaten\hidires"
Diesen Ordner, in dem die Dateien sind, die für das gesamte Tarnen verantwortlich sind,
mit dem Tool Unlocker, dass vorher installiert wurde, löschen:
Unlocker müsste jetzt per Rechtsklick zu sehen sein. Unlocker starten. Zeile mit Pfad auswählen.
und "Freigeben". Beim 2.mal Starten kommt ein Dialog mit Löschen.
Hier Löschen wählen.
Computer neu staren und der Ordner ist weg.

Eventuell F-Secure Rootkits und Neustart so oft ausführen bis die Dinger
• m_hook.sys
• hidr.exe
• hidn2.exe
• wintems.exe
• hldrrr.exe
• ldr64.dll

nicht mehr gefunden werden. Dann ist der Spuk vorbei (kein Rootkit mehr aktiv..)
Es könnte sein, dass man vorher die Registrierungseinträge entfernen sollte.


Grundsätlich, wenn im "Registry Monitor" ein Prozess ist, der "EnableAutodail" dauernd einschalten will und dieser Prozess im "Process Explorer" nicht aufscheint und er auch noch von System32 kommt (im Registry Monitor rechte Maustaste und "Prozess Properties"), dann ist das Ding schon heiß.
Wenn Ihr nun in System32 das File nicht findet, dann ist es garantiert ein weiteres nettes Spielzeug auf Eurem PC. Daher nochmal Schritte 1 bis 3 machen.

Es müssen nur noch alle Dateien und Registry-Einträge etc. gelöscht werden.
Es sind folgende (Auflistung von Nicolas, Bemerkungen von Heinz):

– Die folgenden Dateien:
• m_hook.sys (bei mir aber nicht mehr da, da Ordner hidires gelöscht)
• hidr.exe (bei mir aber nicht mehr da, da Ordner hidires gelöscht)
• hidn2.exe (nicht gefunden)
• wintems.exe (in ...\System32\, umbenannt in wintems.exe.ren)
• hldrrr.exe (in ...\System32\, umbenannt in hldrrr.exe.ren)
• ldr64.dll (nicht gefunden)

– Die folgenden Prozesse:
• hidr.exe (bei mir nicht (mehr) aktiv)
• hidn2.exe (bei mir nicht (mehr) aktiv)
• flec006.exe
• wintems.exe (schon vorher gekillt)
• hldrrr.exe (schon vorher gekillt)
• mdelk.exe

– Die folgenden Registryschlüssel:
• nkeyjej1 (nicht gefunden)
• nkeyjej2 (nicht gefunden)

– Die folgende Registrywerte:
• german.exe
• drvsyskit
• hldrrr
• mule_st_key
• drv_st_key
• key000s04
• key000s05

– Die folgenden Verzeichnisse:
• shared
• hidn
• hidires


Nach einem Neustart unbedingt noch einmal Ashampoo drüber laufen lassen und das System weiter im Auge behalten. Weil wirklich sicher ist nur eine Neuinstallation.

Ich würde einen ordentlichen Virenscan noch machen.
Ach ja, die neueste Version dieses Dings wurde nur von Kaspersky erkannt (wenn er das file online scannte).
Im Arbeitsspeicher hat er es auch nicht gefunden.


Also ich trinke sicher ein Bier auf Nicolas, danke schön Nicolas!


Softwarelinks:
http://software-portal.faz.net/ie/47508/F-Secure_BlackLight_Rootkit_Eliminator
http://software-portal.faz.net/ie/40696/Unlocker
http://software-portal.faz.net/ie/49129/Ashampoo_AntiSpyWare
http://www.zdnet.de/downloads/prg/d/k/de00DK-wc.html
http://www.zdnet.de/downloads/prg/0/5/de10223605-wc.html
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: