Beagle, HLDRRR.exe, HIDIRES - nach frischem Aufsetzen erneut Befall |
||
---|---|---|
#0
| ||
23.01.2008, 12:26
...neu hier
Beiträge: 10 |
||
|
||
23.01.2008, 12:34
Ehrenmitglied
Beiträge: 1441 |
#2
tunner
mit Rootkitscannern solltest du die versteckten Dateien finden http://www.virus-protect.org/artikel/tools/rootkithook.html F-Secure BlackLight http://www.f-secure.com/security_center/ Downloads BlackLight - poste hier den report __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
23.01.2008, 12:51
...neu hier
Themenstarter Beiträge: 10 |
#3
danke Pinguin,
werde zunächst irgendeinen der Rootkit Apps über alles drüberlassen, dann F-Secure Blcklight. Kann ne Weile dauern, deshalb ein kleiner Zwischengruss bin dann wieder zurück. |
|
|
||
23.01.2008, 12:54
Ehrenmitglied
Beiträge: 1441 |
#4
nun, poste hier, wenn was gefunden wird, dann sehen wir, was noch zu retten ist ...
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
23.01.2008, 15:24
...neu hier
Themenstarter Beiträge: 10 |
#5
also,
Das Symantec W32.Beagle/Trojan.Tooso Fix Tool 1.1.3.0 sagt: "W32.Beagle/Trojan.Tooso has been found on your computer" das wars. ok drücken, keine Lösung. Dafür hat er dann 3 Stunden gescannt. Trend Micro Rootkit buster sagt: "Tncomm service installed but cannot be started. Try again....." Im Normalmodus ist es aber gestartet, hat aber nichts gefunden. F-Secure blacklight kann nicht im save Modus starten !!! (im normal Modus. nichts gefunden) DarkSpy105 beim starten -> Absturz des gesamten Rechners Baglegui_ meint, ich hätte keine Admin Rights, obwohl ich im abgesicherten Modus Administrator - Benutzer gewählt habe.. Lauft momentan, habe aber keine Hoffnung. Soviele Tools, von denen man nicht weiss, wie alt sie sind, was sie können, und wofür sie überhaupt sind. Einige laufen nur unter Umständen, checken nur das System, aber keine anderen Platten.....DIe Vielfalt ist hier in etwa so verhängnisvoll wie das Virus selber. Soll ich das System neu aufsetzen und dann gleich im sicheren Modus nochmal alles scannen? Welches Tool räumt auch externe Platten auf? Das Problem taucht wohl nur dann auf, wenn Dienste beansprucht werden, Antivir und Netz... Jedenfalls muss ich meine Datenplatten sauber kriegen, nur wie ! |
|
|
||
23.01.2008, 15:43
Ehrenmitglied
Beiträge: 1441 |
#6
beginnen wir mit Combofix:
poste den report http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
23.01.2008, 16:25
...neu hier
Themenstarter Beiträge: 10 |
#7
ok,
hier scheint man die Systemwiederherstellung wieder anschalten zu müssen, richtig? In der Anleitung steht, den erhaltenen Text posten. Mal bis dahin, und wir sehen weiter oder soll ich dann mit der rechten Seite der Anleitung weitermachen? PS: Das System nochmals aufzusetzen wäre kein Problem - ich mein ja nur..............:-) |
|
|
||
23.01.2008, 18:30
Ehrenmitglied
Beiträge: 1441 |
#8
nur das log von Combofix posten, bitte, mehr nicht..hoffe, es klappt
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
23.01.2008, 19:37
...neu hier
Themenstarter Beiträge: 10 |
#9
ComboFix 08-01-23.2 - tobb 2008-01-23 19:25:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1782 [GMT 1:00] ausgeführt von:: F:\Bagle Scans\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 )))))))))))))))))))))))))))))) . 2008-01-23 19:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 14:04 . 2008-01-23 14:04 0 --a----t- C:\WINDOWS\system32\DarkSpyKernel.sys 2008-01-23 13:54 . 2008-01-23 13:54 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-01-23 02:28 . 2008-01-23 02:28 <DIR> d-------- C:\Programme\Filzip 2008-01-23 02:27 . 2008-01-23 02:41 <DIR> d-------- C:\Programme\Broken Cross Disk Manager 2008-01-23 02:25 . 2008-01-23 02:25 <DIR> d-------- C:\Programme\DAMN NFO Viewer 2008-01-23 02:22 . 2008-01-23 02:22 <DIR> d-------- C:\Programme\CUEcards 2008-01-23 02:22 . 2008-01-23 02:22 <DIR> d-------- C:\Programme\Angel Writer 2008-01-23 02:06 . 2008-01-23 02:35 <DIR> d-------- C:\Programme\Ashampoo 2008-01-23 02:02 . 2008-01-23 02:02 <DIR> d-------- C:\kav 2008-01-23 00:14 . 2008-01-23 00:14 200 --a------ C:\WINDOWS\RtlRack.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-22 11:55 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-01-22 11:55 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-01-22 11:54 --------- d-----w C:\Programme\Realtek Sound Manager 2008-01-22 11:54 --------- d-----w C:\Programme\AvRack 2008-01-22 11:50 --------- d-----w C:\Programme\Intel 2008-01-22 11:47 --------- d--h--w C:\Programme\Uninstall Information 2008-01-22 11:43 --------- d-----w C:\Programme\microsoft frontpage 2008-01-22 11:36 --------- d-----w C:\Programme\Online-Dienste 2008-01-22 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2008-01-22 11:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-01-22 11:27 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2008-01-22 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 06:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 16:16 86016] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-05-10 13:01 233512] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 16:16 5562368] "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [2006-12-21 02:10 3543552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 06:00 15360] R3 DrvFltIp;DrvFltIp;C:\Dokumente und Einstellungen\tobb\Lokale Einstellungen\TEMP\DrvFltIp [2006-12-21 02:34] S2 setup_7.0.0.180_13.12.2007_17-35;setup_7.0.0.180_13.12.2007_17-35;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_13.12.2007_17-35.exe" [] S2 UltraMonUtility;UltraMon Utility Driver;C:\WINDOWS\system32\UltraMonUtility.sys [] S3 DarkSpy;DarkSpy;C:\WINDOWS\system32\DarkSpyKernel.sys [2008-01-23 14:04] S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [] *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-23 19:26:05 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** |
|
|
||
23.01.2008, 19:44
Ehrenmitglied
Beiträge: 1441 |
#10
also es scheint sauber...........
kommst du mit dem System ins netz inzwischen ? __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
23.01.2008, 20:14
...neu hier
Themenstarter Beiträge: 10 |
#11
zunächst mal so zwischendurch : D A N K E !
Nein kein Netz, der Virus umgeht halt alles, was ihn erkennen will. ich erinnere : Der Virus wurde von der anderen Partition gestartet, die kein System enthält So habe ich alles neu installiert. Das war ein frisch aufgesetztes System, gerade mal paar Stunden alt. Ich dachte,ein solcher Virus kann sich nur in Systemdateien reinsetzen. Er muss sich aber irgendwo auf einer der Platten einen Wirt geholt haben. Vielleicht ist dort irgendwo eine exe oder eine teilweise Kopie eines Systems, oder Anwendungsdaten, so als Backup aber nicht bootfähig, das kann durchaus sein. Jedenfalls werde ich das wiederholen und dann muss ich schneller sein ************************************************************************** Edit: NEUE SITUATION: ich hab es inzwischen neu aufgesetzt , und da ich eine 2te Partition sowie externe Platten habe wird das Viech wieder angreifen falls ich keine Massnahme ergreife,nur welche.... GMER ...habe ich mal - ohne dabei in GMER irgendwelche Einstellngen zu ändern (ab jetz ist nur noch vom NEUEN SYSTEM die Rede ) über die C und D laufen lassen, ( D ist die 2.te Partition.) GMER meint im Rootkit nur : "? System32\Drivers\hiber_WMILIB.SYS - - - - Das System kann die angegebene Datei nicht finden." wohl nichts aufregendes Ist denn ein GMER logfile hilfreich? ich kann eben nur rausfinden,ob ich angegriffen werde, wenn ich irgendwas netzabhängiges installiere - und das ist bitter - Dieser Beitrag wurde am 24.01.2008 um 00:04 Uhr von tunner editiert.
|
|
|
||
24.01.2008, 02:47
Ehrenmitglied
Beiträge: 6028 |
#12
Prüfe mal diese Datei(en) bei VirusTotal
C:\WINDOWS\system32\DarkSpyKernel.sys Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
24.01.2008, 13:58
...neu hier
Themenstarter Beiträge: 10 |
#13
ok,danke werde ich mal tun und mich dann wieder melden.
Ich bin nun doch wieder im Netz mit dem PC, und zwar - ich kenne das bereits von einer anderen Infektion- stellte sich die Gateway IP, also die des Routers wie von Geisterhand um. Das ist komisch oder? wer stellt die in der IP vorkommende 0 denn auf 1 oder umgekehrt? davon abgesehen habe ich mit einer Testversion von PC Tools gleich eine ganze Garnision von Infektionen gefunden, auf der einen Platte wie auf Partition 2 . z.B. TrojanBagle - TrojanPacked.FSG - Trojan.Packed.Unpack - TrojanPackedMEW - TrojanPackedFRBR - VirusDos.Stone90, - Trojan.Keylog-sters, wovon nur letzterer als "high Risk" eingestuft wurde. Jetz bräuchte ich nur eine Lizenz, um das Zeug zu eliminieren. Einige davon werden wohl gar nicht richtig gefährlich sein, andere schon, kann man das aus diesen Namen in etwa herauslesen? |
|
|
||
24.01.2008, 14:07
Member
Beiträge: 694 |
#14
Hi,
da bleibt meines Erachtens nur eins: Von CD Booten, alle Platten säubern und dann noch mal von vorne (Neu aufsetzten)... Bei der zweiten Platte (oder Partition oder Memorysticks oder USB-Festplatten): Prüfen ob diese autorun-Datei enthalten! Über die pflanzen sich die netten Viecher über Platten hinweg weiter, die kein System enthalten ( auch ! USB-Sticks/Platten). Wird so ein Teil an Windows per USB angekoppelt bzw. findet Windows eine nette autorundatei, dann wird die ausgeführt - und oh wunder- der darin aufgeführte Virus/Trojaner wird ausgeführt und das wars dann. Dann sucht er nach den nächsten Platten/Sticks etc. und schreibt sich dort wieder als autorun-Datei rein... Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. chris |
|
|
||
24.01.2008, 14:15
...neu hier
Themenstarter Beiträge: 10 |
#15
EDIT::
C:\WINDOWS\system32\DarkSpyKernel.sys existiert nicht auf meinem PC - habe unsichtbare Dateien auf sichtbar eingestellt, aber keine solche gefunden ... Wie prüft man, ob autorun Dateien enthalten sind? Meinst du damit die Boot CD? -Ich dachte eigentlich, ich brauche nur noch einen Virenscanner, der alles eliminiert und gut ist , wieso bin ich da falsch? Bin jedenfalls im Moment auf der Suche nach einem guten Allaround-Tool Dieser Beitrag wurde am 24.01.2008 um 14:43 Uhr von tunner editiert.
|
|
|
||
Ich hatte mir einen Beagle oder Bagle eingefangen dessen Name HLDRRR.exe, oder HIDIRES lautet und habe deswegen mein XP System neu aufgesetzt, um das Viech loszuwerden.
Formatiert, XP Pro SP2 neu installiert, aber als ich dann das Netz wieder einrichten wollte und Antivir installieren, ging es wieder los. Die Dienste sind wohl umgestellt worden bzw. Antivir läüft nicht mehr. Ins Netz komme ich auch nicht.
Ich habe mir vor dem Befall eine reg Datei erstellt, die unnötige Dienste deaktiviert und war mit diesen Einstellungen gut klargrkommen, diese Einstellungen habe ich beim neu aufgesetzten System wieder vorgenommen.
Vielleicht war da aber schon was faul, denn eine Meldung kam, die besagte, dass nicht alle Einträge vorgenommen werden konnten.
Nun ist meine Schlussfolgerung, dass auf meinen anderen Platten , auf denen aber nur Daten sind (eine extra Partition auf der System Platte sowie 2 weitere externe USB Platten) irgendein Virus sein muss, der das neue System wieder befallen hat. Meine Frage ist die, ob ein solcher Virus tatsächlich auf anderen Platten als der Systemplatte aktiv sein kann, das wäre nämlich ziemlich schlimm.
Hijackthis habe ich noch nie benuzt.
Ich habe verschiedene Beagle und Bagle Tools, bin mir aber nicht sicher, ob diese genau diese Variante auch erkennen.
Im Moment bin ich im abgesicherten Modus, habe Systemwiederherstellung deaktiviert und scanne sämtliche Platten mit einem Symantec Tool.
Das Ergebnis sehe ich erst später.
In der Zwischenzeit erhoffe ich mir Unterstützung, vielen Dank