Beagle-Attacke wintems.exe, srosa.sys und hldrrr.exe

#1 ....hat mich erwischt.

Habe mit vielen Tricks sämtliche "bösen" Dateien vernichtet.

Verdächtige Prozesse gab es keine und gibts jetzt erst recht keine mehr.

Leider ist das alles zuwenig.
Avast, Sygate und Konsorten werden nach wie vor blockiert.

Hab auch schon die Registry rauf und runter abgegrast und mühevolle die letzten Überbleibsel per Hand gelöscht.

Hilft alles nix.
Das Problem bleibt bestehen.

Wo zum Kuckuck krallt sich das Biest fest ?
Hilft echt nur mehr eine Formatierung der Platte bzw Löschung des Bootsektors - wo ich den SChadcode vermute ????

Gibts denn wirklich kein Programm, das die Mistdinger anders killt ?


Und was mich viel mehr erschreckt: Die Dinger sind seit Jahren bekannt & Avast+Konsorten sind blind, taub und sonst noch was bzw. werden einfach per Blattschuß erledigt.
Kann auch jetzt nur schätzen, wie die überhaupt reinkamen.
Verdächtige Dateien habe ich jedenfalls nicht aufgemacht...

*erschreckt*
Fancy Destroyer

#2 fancydestroye

1.
F-Secure BlackLight
Downloads
• BlackLight – Rootkit Detection and Elimination Tool
http://www.f-secure.com/security_center/

doppelklick: fsbl.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei(txt) auf dem Desktop - poste den Text hier

------------------------------------------------------
2.
poste das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Danke sehr für die ersten Tips...werde das noch heute erledigen.

Btw.: Das Biest ist noch ärger, als angenommen.

Ich habe auf diesem Pc 2 Systeme installiert.

Das erste wurde wie erwähnt abgeschossen.

Das 2. ist jetzt auch infiziert.
Dieser Beagle hat es doch tatsächlich geschafft, das 2. System auf einer anderen Partition auch zu erwischen.

Da stellt sich mir jetzt die Frage: Ist meine externe usb-Festplatte, mit der ich die Daten gesichert habe, auch ein Fall für die Formatierung, oder kann man davon ausgehen, daß der Virus nur die Systeme killt...heißt ja, daß die Biester nur Computer "fressen"...

Und bei dieser ganze Sch... standen Sygate und avast einfach so rum, um ahnungslos vernichtet zu werden.
Zonealarm auf dem 2. Sys war übrigens kein bißchen informierter. Auch tot.

*Arg...*
Fancy Desroyer

#4 ich hoffe doch sehr, dass die externe Platte unversehrt ist.. fragt sich, was du gesichert hast , aber man kann das reinigen - formatieren waere natuerlich das beste.. aber wir versuchen es mal
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Danke für die flotten Antworten.

Gesichert habe ich KEINE Systemdateien. Nur Daten aller Art.

Naja, wenigstens darf ich hoffen, daß die externe nicht auch noch abgemurkst wurde.

*schwitz*
Fancy Destroyer

#6 na, dann schwitz mal schön
poste die Reporte ...wir bekommen das schon wieder hin...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Eine Frage an Pinguin, wo ist deine Seite? oder ich verstehe etwas nicht. Danke

#8 Hi,

wenn Du den Schädlich im Bootsector vermutest, dann per Rettungs- oder XP-CD booten und fixmbr ausführen... Es gibt einen neuen Schädling, der sich nur darüber aushebeln lässt (http://www.zdnet.de/security/news/0,39029460,39160176,00.htm ).

Ansonsten sollte combofix eigentlich ihnen den Garaus machen...

So, dass war mein Wort zum Donnerstag,
chris

and now back to:
Piiiiiiinnnnnnnggguuuuuuuuiiiiiiiiin-chen ;o)

Ps.: Das Überspringen auf andere Platten (inkl. USB-Platten/MemorySticks) ist recht einfach: Man schreibe sich als Autostart-Datei an die richtige Stelle und beim Booten (oder einstecken) sorgt Windows dann automatisch für die Ausführung und schon ist das nächste System infiziert...

#9

Zitat

xoxol postete
Eine Frage an Pinguin, wo ist deine Seite? oder ich verstehe etwas nicht. Danke

das ist meine Seite
http://www.virus-protect.org/
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10

Zitat

Ps.: Das Überspringen auf andere Platten (inkl. USB-Platten/MemorySticks) ist recht einfach: Man schreibe sich als Autostart-Datei an die richtige Stelle und beim Booten (oder einstecken) sorgt Windows dann automatisch für die Ausführung und schon ist das nächste System infiziert...

Na, toll.
Seh ich das irgendwie ? Oder schreibt sich das Mistding irgendwie in dem Bootsektor oder ist sonst wie unsichtbar ?
Wenn es sichtbar ist, welche Datei könnte das sein ?

Den Rachefeldzug kann ich so schnell nicht starten.
War heute bis spät in die Nacht am Arbeiten & morgen erwartet mich auch ein dicht gedrängter Terminplan.

Und was mir so ein wenig spanisch vorkommt, an der ganzen Sache:
Ein Virus knockt sämtliche standard-Virenwächter aus, ist schon seit Jahren bekannt - und faktisch nix kann auch heute sein Eindringen verhindern....
... a bissl though für einen Virus, findet ihr nicht ?
Ich meine, das Biest schießt einem das ganze System ab und wird auch nach Jahren nicht erkannt.
Dazu killt er alle Firewalls und ballert dir ins Sicherheitsherz von Windows, weil er diese Firewall auch noch killt.
Meine nicht, daß das Teil was wert wäre.....aber..alles in ALLEM:
Kann der Virus ein wenig viel, dafür daß sein Programmierer keine Ahnung hat vom Windows-Code sowie dem Code praktisch aller Sicherheitssoftware.

Meine, ist natürlich absurd, aber so ein Virus ist doch DAS Argument, sich für Kohle bestimmte Software zuzulegen.
Man will ja nicht nochmal derart in den Ar... getreten kriegen...
Is natürlich ne absurde Theorie...aber komisch kommt mir diese Sache schon vor...

*stirnrunzelnd*
Fancy Destroyer

#11 Poste doch mal die Daten die Pinguin benoetigt
__________
MfG Argus

#12 Soooooo.....
Das schaut schon mal gut aus.

Combofix hat zugeschlagen.
Nach heftigen Kämpfen (Abschuß des Sys, mehrmaligen Neustarten, Löschversuche, Abstürze samt Collateralschaden Netzwerktreiber - letzteres könnte auch was anderes gekillt haben) mit srosa.sys hat der Trojaner schlußendlich verloren...zumindest vorläufig.

Die Combofix-Log hat auch was reingeschrieben von wegen srosa.sys...dürfte er irgendwann gekillt haben.
Entweder er, oder regruns...hat zwischenzeitlich auch den Trojaner attackiert.

Spybot 1.5 ist jedenfalls lauffähig - der alte spybot dürfte vom TRojaner irreparabel beschädigt worden sein.
Sygate kommt auch bald rauf...hoff ich halt.

Adaware konnte ich auch anwerfen - und hat auch irgendwas mit nem dunkelroten "Lop" oder so in der Registry gefunden - hat er auch gekillt.

Dazwischen hab ich noch händisch die letzte Spur von srosa.sys aus der Reg gelöscht.

Schaut gut aus...daß das erste attackierte System wieder läuft.

Halte euch auf dem Laufenden...

EDIT:
1. Sys definitiv wieder lauffähig. Avast, Sygate, spybot..alles wieder da und funktionstüchtig.
Morgen kommt das 2. Sys dran.


Danke vielmals für die Tips und Hilfe.

Fancy Destroyer

#13 schau mal hier : alles gegen Rootkits + versteckte Dateien:
http://virus-protect.org/artikel/tools/rootkithook.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Nochmals danke für die Hilfe, Pinguin!

Und ich hätte da mal eine Frage:
Könnte das ganze vielleicht eine gezielte Attacke gewesen sein ?
Bei mir fallen nämlich sämtliche "standard-Infektionsmöglichkeiten" weg. Habe auch nicht mit irgendwelchen "heißen" nagel-neuen Proggies rumexperimentiert.

Dieser Overkill an Schadcode, der zu Tage trat, war nämlich ein wenig viel für einen Standard-Befall....
...oder ist das, was ich erlebt habe, etwa der "aktuelle" Standard ?

....und hatte ich einfach nur Pech, geriet auf die falsche Seite & eine Datei hat sich installiert...?


mfg
Fancy Destroyer

#15 ja, die falsche Seite - das wird es gewesen sein, eine gezielte Attacke ist zwar auch möglich, aber sehr unwahrscheinlich.
Hast du wieder alles hingebogen bekommen ? Oder soll ich noch mal nachgraben ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/