Beagle, HLDRRR.exe, HIDIRES - nach frischem Aufsetzen erneut Befall

#1 Hallo,
Ich hatte mir einen Beagle oder Bagle eingefangen dessen Name HLDRRR.exe, oder HIDIRES lautet und habe deswegen mein XP System neu aufgesetzt, um das Viech loszuwerden.

Formatiert, XP Pro SP2 neu installiert, aber als ich dann das Netz wieder einrichten wollte und Antivir installieren, ging es wieder los. Die Dienste sind wohl umgestellt worden bzw. Antivir läüft nicht mehr. Ins Netz komme ich auch nicht.
Ich habe mir vor dem Befall eine reg Datei erstellt, die unnötige Dienste deaktiviert und war mit diesen Einstellungen gut klargrkommen, diese Einstellungen habe ich beim neu aufgesetzten System wieder vorgenommen.
Vielleicht war da aber schon was faul, denn eine Meldung kam, die besagte, dass nicht alle Einträge vorgenommen werden konnten.

Nun ist meine Schlussfolgerung, dass auf meinen anderen Platten , auf denen aber nur Daten sind (eine extra Partition auf der System Platte sowie 2 weitere externe USB Platten) irgendein Virus sein muss, der das neue System wieder befallen hat. Meine Frage ist die, ob ein solcher Virus tatsächlich auf anderen Platten als der Systemplatte aktiv sein kann, das wäre nämlich ziemlich schlimm.
Hijackthis habe ich noch nie benuzt.

Ich habe verschiedene Beagle und Bagle Tools, bin mir aber nicht sicher, ob diese genau diese Variante auch erkennen.
Im Moment bin ich im abgesicherten Modus, habe Systemwiederherstellung deaktiviert und scanne sämtliche Platten mit einem Symantec Tool.
Das Ergebnis sehe ich erst später.

In der Zwischenzeit erhoffe ich mir Unterstützung, vielen Dank

#2 tunner

mit Rootkitscannern solltest du die versteckten Dateien finden
http://www.virus-protect.org/artikel/tools/rootkithook.html

F-Secure BlackLight
http://www.f-secure.com/security_center/
Downloads
BlackLight - poste hier den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 danke Pinguin,
werde zunächst irgendeinen der Rootkit Apps über alles drüberlassen, dann
F-Secure Blcklight.
Kann ne Weile dauern, deshalb ein kleiner Zwischengruss

bin dann wieder zurück.

#4 nun, poste hier, wenn was gefunden wird, dann sehen wir, was noch zu retten ist ...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 also,
Das Symantec W32.Beagle/Trojan.Tooso Fix Tool 1.1.3.0 sagt:
"W32.Beagle/Trojan.Tooso has been found on your computer"

das wars. ok drücken, keine Lösung. Dafür hat er dann 3 Stunden gescannt.

Trend Micro Rootkit buster sagt:
"Tncomm service installed but cannot be started. Try again....."
Im Normalmodus ist es aber gestartet, hat aber nichts gefunden.


F-Secure blacklight kann nicht im save Modus starten !!! (im normal Modus. nichts gefunden)

DarkSpy105 beim starten -> Absturz des gesamten Rechners

Baglegui_ meint, ich hätte keine Admin Rights, obwohl ich im abgesicherten Modus Administrator - Benutzer gewählt habe..
Lauft momentan, habe aber keine Hoffnung.

Soviele Tools, von denen man nicht weiss, wie alt sie sind, was sie können, und wofür sie überhaupt sind.
Einige laufen nur unter Umständen, checken nur das System, aber keine anderen Platten.....DIe Vielfalt ist hier in etwa so verhängnisvoll wie das Virus selber.

Soll ich das System neu aufsetzen und dann gleich im sicheren Modus nochmal alles scannen? Welches Tool räumt auch externe Platten auf?
Das Problem taucht wohl nur dann auf, wenn Dienste beansprucht werden, Antivir und Netz...
Jedenfalls muss ich meine Datenplatten sauber kriegen, nur wie !

#6 beginnen wir mit Combofix:
poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 ok,
hier scheint man die Systemwiederherstellung wieder anschalten zu müssen, richtig?
In der Anleitung steht, den erhaltenen Text posten.
Mal bis dahin, und wir sehen weiter oder soll ich dann
mit der rechten Seite der Anleitung weitermachen?

PS:
Das System nochmals aufzusetzen wäre kein Problem - ich mein ja nur..............:-)

#8 nur das log von Combofix posten, bitte, mehr nicht..hoffe, es klappt
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 ComboFix 08-01-23.2 - tobb 2008-01-23 19:25:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1782 [GMT 1:00]
ausgeführt von:: F:\Bagle Scans\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 ))))))))))))))))))))))))))))))
.

2008-01-23 19:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 14:04 . 2008-01-23 14:04 0 --a----t- C:\WINDOWS\system32\DarkSpyKernel.sys
2008-01-23 13:54 . 2008-01-23 13:54 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-01-23 02:28 . 2008-01-23 02:28 <DIR> d-------- C:\Programme\Filzip
2008-01-23 02:27 . 2008-01-23 02:41 <DIR> d-------- C:\Programme\Broken Cross Disk Manager
2008-01-23 02:25 . 2008-01-23 02:25 <DIR> d-------- C:\Programme\DAMN NFO Viewer
2008-01-23 02:22 . 2008-01-23 02:22 <DIR> d-------- C:\Programme\CUEcards
2008-01-23 02:22 . 2008-01-23 02:22 <DIR> d-------- C:\Programme\Angel Writer
2008-01-23 02:06 . 2008-01-23 02:35 <DIR> d-------- C:\Programme\Ashampoo
2008-01-23 02:02 . 2008-01-23 02:02 <DIR> d-------- C:\kav
2008-01-23 00:14 . 2008-01-23 00:14 200 --a------ C:\WINDOWS\RtlRack.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 11:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-22 11:55 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-22 11:54 --------- d-----w C:\Programme\Realtek Sound Manager
2008-01-22 11:54 --------- d-----w C:\Programme\AvRack
2008-01-22 11:50 --------- d-----w C:\Programme\Intel
2008-01-22 11:47 --------- d--h--w C:\Programme\Uninstall Information
2008-01-22 11:43 --------- d-----w C:\Programme\microsoft frontpage
2008-01-22 11:36 --------- d-----w C:\Programme\Online-Dienste
2008-01-22 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-22 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-22 11:27 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2008-01-22 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 06:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 16:16 86016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-05-10 13:01 233512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 16:16 5562368]
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [2006-12-21 02:10 3543552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 06:00 15360]

R3 DrvFltIp;DrvFltIp;C:\Dokumente und Einstellungen\tobb\Lokale Einstellungen\TEMP\DrvFltIp [2006-12-21 02:34]
S2 setup_7.0.0.180_13.12.2007_17-35;setup_7.0.0.180_13.12.2007_17-35;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_13.12.2007_17-35.exe" []
S2 UltraMonUtility;UltraMon Utility Driver;C:\WINDOWS\system32\UltraMonUtility.sys []
S3 DarkSpy;DarkSpy;C:\WINDOWS\system32\DarkSpyKernel.sys [2008-01-23 14:04]
S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys []

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 19:26:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

#10 also es scheint sauber...........
kommst du mit dem System ins netz inzwischen ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 zunächst mal so zwischendurch : D A N K E !
Nein kein Netz, der Virus umgeht halt alles, was ihn erkennen will.

ich erinnere :
Der Virus wurde von der anderen Partition gestartet, die kein System enthält
So habe ich alles neu installiert.
Das war ein frisch aufgesetztes System, gerade mal paar Stunden alt.
Ich dachte,ein solcher Virus kann sich nur in Systemdateien reinsetzen.
Er muss sich aber irgendwo auf einer der Platten einen Wirt geholt haben.
Vielleicht ist dort irgendwo eine exe oder eine teilweise Kopie eines Systems, oder Anwendungsdaten, so als Backup aber nicht bootfähig, das kann durchaus sein.
Jedenfalls werde ich das wiederholen und dann muss ich schneller sein




**************************************************************************



Edit:



NEUE SITUATION:
ich hab es inzwischen neu aufgesetzt , und da ich eine 2te Partition sowie externe Platten habe wird das Viech wieder angreifen falls ich keine Massnahme ergreife,nur welche....

GMER ...habe ich mal - ohne dabei in GMER irgendwelche Einstellngen zu ändern (ab jetz ist nur noch vom NEUEN SYSTEM die Rede ) über die C und D laufen lassen, ( D ist die 2.te Partition.)
GMER meint im Rootkit nur :
"? System32\Drivers\hiber_WMILIB.SYS - - - - Das System kann die angegebene Datei nicht finden."
wohl nichts aufregendes


Ist denn ein GMER logfile hilfreich?
ich kann eben nur rausfinden,ob ich angegriffen werde, wenn ich irgendwas netzabhängiges installiere - und das ist bitter -

#12 Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\system32\DarkSpyKernel.sys

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#13 ok,danke werde ich mal tun und mich dann wieder melden.

Ich bin nun doch wieder im Netz mit dem PC, und zwar - ich kenne das bereits von einer anderen Infektion- stellte sich die Gateway IP, also die des Routers wie von Geisterhand um.
Das ist komisch oder?
wer stellt die in der IP vorkommende 0 denn auf 1 oder umgekehrt?

davon abgesehen habe ich mit einer Testversion von PC Tools gleich eine ganze Garnision von Infektionen gefunden, auf der einen Platte wie auf Partition 2 .
z.B.
TrojanBagle - TrojanPacked.FSG - Trojan.Packed.Unpack - TrojanPackedMEW - TrojanPackedFRBR - VirusDos.Stone90, - Trojan.Keylog-sters, wovon nur letzterer als "high Risk" eingestuft wurde.

Jetz bräuchte ich nur eine Lizenz, um das Zeug zu eliminieren. Einige davon werden wohl gar nicht richtig gefährlich sein, andere schon, kann man das aus diesen Namen in etwa herauslesen?

#14 Hi,

da bleibt meines Erachtens nur eins:
Von CD Booten, alle Platten säubern und dann noch mal von vorne (Neu aufsetzten)...
Bei der zweiten Platte (oder Partition oder Memorysticks oder USB-Festplatten):
Prüfen ob diese autorun-Datei enthalten! Über die pflanzen sich die netten Viecher über Platten hinweg weiter, die kein System enthalten ( auch ! USB-Sticks/Platten). Wird so ein Teil an Windows per USB angekoppelt bzw. findet Windows eine nette autorundatei, dann wird die ausgeführt - und oh wunder- der darin aufgeführte Virus/Trojaner wird ausgeführt und das wars dann. Dann sucht er nach den nächsten Platten/Sticks etc. und schreibt sich dort wieder als autorun-Datei rein...

Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine
Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

chris

#15 EDIT::

C:\WINDOWS\system32\DarkSpyKernel.sys
existiert nicht auf meinem PC - habe unsichtbare Dateien auf sichtbar eingestellt, aber keine solche gefunden ...

Wie prüft man, ob autorun Dateien enthalten sind?
Meinst du damit die Boot CD?

-Ich dachte eigentlich, ich brauche nur noch einen Virenscanner, der alles eliminiert und gut ist , wieso bin ich da falsch? Bin jedenfalls im Moment auf der Suche nach einem guten Allaround-Tool