Virenscanner als Virenscanner unzulässige Win32 Anwendung, mrofinu1386.exe

BataAlexander · 04.03.2008, 14:39

Zitat:

Zitat von MightyMarc

Tools sind bei bagle nicht notwendig.

Notwendig sind sie meist nie, aber komfortabler.

MM

MightyMarc · 04.03.2008, 14:48

Zitat:

Zitat von Judaszeuger

Muss ich wirklich alle Festplatten formatieren?
Oder reicht die Vista-System-Platte?

Nein. Ja.

mfg

Marc

Judaszeuger · 04.03.2008, 15:05

Hi!

Prüft das fsbl alle Partitonen? Ich meine wegen der anderen Festplatten.
An meinem Rechner hängt eine halbvolle 500GB-Systemplatte, eine 160GB mit eigenen Dateien etc. und am USB eine 500GB-Truecrypt-Platte.
Kann dieser Trojaner auch auf den außer-systemischen Platten persistieren?

CIao
Roger

cosinus · 04.03.2008, 15:19

Zitat:

Kann dieser Trojaner auch auf den außer-systemischen Platten persistieren?

Rein theoretisch ja. Das Ziel heutiger Trojaner ist es aber, sich in wichtige Bereiche von Windows einzunisten.

Du minimierst das Risiko indem Du alle ausführbaren Dateien auf anderen Datenträgern löscht, die jemals an deinem versifften System dranhingen. Nicht ausführbare Dateien (wie z.B. eigene Dateien, Bilder, Videos, Musik) sollten ungefährlich sein.

Judaszeuger · 04.03.2008, 16:08

Hi,
also ich habe das Symantec-Tool mal über meinen Rechner laufen lassen. Das sagt mir, es sei kein Beagle drauf.

Was sagt Ihr dazu?
Ciao
Roger

BataAlexander · 04.03.2008, 16:45

AntiBeagle - elibagla

Lade Das Programm von hier
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 10.92"
Downloade EliBaglA.exe auf den Desktop.
Doppelklicke EliBaglA.exe um das Program zu starten.

Kontrolliere ob neben Unidad C:\ steht (ggf. abweichend Dein Windows Stammverzeichnis), wenn nicht ändere es entsprechend
Machen einen Haken bei "Eliminar Ficheros Automaticamente"
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Nachdem das Programm fertig ist poste den Inhalt von C:\InfoSat.txt in DeinemThread
Klicke "Salir" um das Program zu beenden

Judaszeuger · 04.03.2008, 17:00

Hi und danke für den Hinweis!

es wird gleich etwas ergänzt

Ciao
Roger

PS: Derweil sichere ich manuell die Dateien, die auf der "kranken" Platte liegen. Hoffentlich ist das Zeugs nicht verseucht?
Im Moment muss ich immer zwischen 2 Rechnern hin- und herlaufen. So ein Shit!
Würde es Euch etwas bringen die Datei, die möglicherweise den Trojaner herbeigeführt hat, irgendwo upzuloaden?

Judaszeuger · 04.03.2008, 17:21

Mhmm,
das Ganze leist sich weniger spektakulär.
Wie gesagt, ich glaube, ich konnte die auslösende Datei auf meinem Rechner finden. Kann man die irgendwo zur Analyse hochladen?
Zwischendurch musste ich ein paar mal OK drücken, weil das Proggie keinen Zugriff auf best. Dateien hatte. Sollte egal sein, oder?
Wieso kann ich eigtl., obwohl ich "alle Dateien anzeigen" gewählt habe, diese drei Dateien WINTEMS.EXE, SROSA.SYS und HDLRRR.exe nicht sehen? Geht das im abgesicherten Modus. SOll ich diese händisch löschen?

Tue Mar 04 16:53:31 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Tue Mar 04 16:55:04 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Tue Mar 04 17:07:47 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 19709
Nº Total de Ficheros: 122996
Nº de Ficheros Analizados: 18226
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

BataAlexander · 04.03.2008, 17:37

Das ist ein normales Verhalten, das Programm muss jetzt einmal im abgesicherten Modus gestartet werden und muss noch mal durchlaufen.
Starte den Rechner im abgesicherten Modus neu.

Wenn Du damit nicht klarkommst, kannst Du aber auch Blacklight verwenden, um die Dateien zu löschen. Erst umbenennen, dann löschen.

Judaszeuger · 04.03.2008, 17:43

Ok Danke.
Also ich lass die "spanische Fliege" dann noch mal im abgesicherten Modus durchlaufen. Oder ich nehm das fsbl. Ist dann egal...
Was ist denn von dem Combofix von Pinguin (Internet Sicherheit - Virenscanner ) zu halten?
Was soll ich denn umbenennen? Die drei bösen Dateien von Bagle? I. Ü. habe ich anchem fsbl-Einsatz nichts umbenannt. Hat das die Wirkung beeinflusst?
Wie lösche ich denn mit der Wiederherstellungskonsole die drei Dateien? Mit der Konsole und den Befehlen kenne ich mich nicht aus.
cu
Roger

BataAlexander · 04.03.2008, 17:49

Da sind wesentlich mehr als die drei Dateien vorhanden

Zitat:

03/04/08 13:43:08 [Info]: Hidden file: c:\Windows\System32\drivers\down\XXXXX.exe

Combofix ist gut, machen wir auch, aber erst mal Beagle in seiner puren Form loswerden.
-> Spanische Fliege fliegen lassen.

Judaszeuger · 04.03.2008, 18:00

So ganz steige ich nicht dahinter. Was ist denn nun wichtig?
Das Tool hat doch drei Dateien gelöscht. Was ist nun mit den übrigen?
Ich habe jetzt aus dem abgesicherten noch mal hochgestartet in den Normalbetrieb und dann hat das Satinfo automatisch gestartet.
I. Ü. gabe es im abgesicherten Modus 6 Meldungen wegen Zugriffsschutz. Ist normal, oder?
1. c:\Windows\CSC (16)
2. c:\Windows\Registration\CRMlog (16)
3. c:\Windows\System32\com\dmp (16)
3. c:\Windows\System32\logfiles\WMI\RTBackup (16)
5. c:\Windows\System32\Spool\Printers
6. c:\Windows\System32\Spool\\servers\blabla

Was ist jetzt zu tun?
Windows-Defender läuft nicht. Ebenso der installierte Virenscanner Avast.

Das Satinfo ist durch und lautet nach dem abgesicherten Modus:

Tue Mar 04 17:43:47 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Tue Mar 04 17:43:58 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 19732
Nº Total de Ficheros: 123449
Nº de Ficheros Analizados: 18257
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

BataAlexander · 04.03.2008, 18:22

Die drei Haupttäter sind weg

Zitat:

Eliminado Bagle

Jetzt kommt der Rest.

Versuchen wir

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Benenne combofix.exe nach cf.com um. Mache einen Doppelklick auf cf.com
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Judaszeuger · 04.03.2008, 18:43

Ich weiß nicht, ob das combofix richtig funzt!

Nach dem Start kommt ein Fensterchen mit Progress-Bar, im Taskamanger steht cf.com. Dann verschwindet es, auch im Taskm., und es taucht ein CF22362.exe im Taskmanager auf. Seit 10 Minuten...
Ist der nun unsichtbar?
Wie lange dauert der Spaß?

Cu
Roger

BataAlexander · 04.03.2008, 18:48

Ersteres ist normal, zweiteres unnormal. Die erste Meldung sollte nach max ca. 1min kommen.

Also anders

Avenger - Dateien löschen

Lade Dir das Programm von hier
Starte das Programm mit einem Doppleklick
Prüfe ob "Scan for rootkits" angehakt ist
Klicke "Execute" um den Scan auszuführen
Es wird eine Meldung kommen, das kein Script eingefügt wurde und ob Du nur nach Rootkits scannen willst. Dies mit Yes bestätigen
Avenger setzt einen Eintrag in die Registry und informiert Dich, dass es neu starten will, auch dies mit Yes bejahen
Nach dem Neustart ist das Logfile c:\avenger.txt automatisch geöffnet, das wollen wir sehen

04.03.2008, 17:37	#24
BataAlexander > MalwareDB	Virenscanner als Virenscanner unzulässige Win32 Anwendung, mrofinu1386.exe Das ist ein normales Verhalten, das Programm muss jetzt einmal im abgesicherten Modus gestartet werden und muss noch mal durchlaufen. Starte den Rechner im abgesicherten Modus neu. Wenn Du damit nicht klarkommst, kannst Du aber auch Blacklight verwenden, um die Dateien zu löschen. Erst umbenennen, dann löschen.

Virenscanner als Virenscanner unzulässige Win32 Anwendung, mrofinu1386.exe

Plagegeister aller Art und deren Bekämpfung: Virenscanner als Virenscanner unzulässige Win32 Anwendung, mrofinu1386.exe