Mededeling

Collapse
No announcement yet.

Virus Worm Win32\Bagle.of

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Virus Worm Win32\Bagle.of

    Volgens mij heb ik dit virus op mijn PC draaien,
    NOD32 krijg ik ook al niet meer aan de gang.Ook als ik HijackThis wil openen.
    Krijg elke keer de melding van ( .exe is geen geldige Win32-Toepassing).
    Kan geen logje maken.
    Heb toen een online scan gedaan met Kaspersky, hij vond deze C:\WINDOWS\system32\mdelk.exe Besmet: Email-Worm.Win32.Bagle.of

    Ik heb een GMER scan gedaan en er blijkt dit allemaal op te zitten:
    C:\WINDOWS\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\mdelk.exe
    C:\WINDOWS\system32\wintems.exe

    Ik heb geprobeerd om te verwijderen met GMER , hij verwijderd wel maar komt weer terug.
    Er blijkt ook een map te zijn die in het Rood word aangegeven.
    Deze: C:\WINDOWS\system32\drivers\down (down=rood) ,met allemaal cijfers en .exe erachter. Dit heb ik niet verwijderd, ik weet niet wat het is.
    Ik heb een logje gemaakt met GMER,maar is veel te groot om te sturen.
    Daarom stuur ik een klein gedeelte ervan. Het is een hele lange lijst van.
    Ik hoop dat ik het goed heb gedaan.


    Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwOpenProcess [0xA705631C]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation [0xA705BB16]
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtOpenProcess
    Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtQuerySystemInformation


    ---- Processes - GMER 1.0.14 ----

    Process C:\WINDOWS\system32\drivers\hldrrr.exe (*** hidden *** ) 2948
    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\[email protected] C:\WINDOWS\system32\drivers\hldrrr.exe
    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\[email protected] C:\WINDOWS\system32\wintems.exe
    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1267576D-6DEE-C2EB-65B1-BA33EB3B12B1}
    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1267576D-6DEE-C2EB-65B1-BA33EB3B12B1}@abfgfgckacappbdjhphpbekdkdbllhjhlk 0x61 0x61 0x00 0x00
    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1267576D-6DEE-C2EB-65B1-BA33EB3B12B1}@bbfgfgckacappbdjhpkpmffnkfjdgaiflcbb
    0x61 0x61 0x00 0x00



    File C:\WINDOWS\system32\drivers\hldrrr.exe 718964 bytes
    File C:\WINDOWS\system32\drivers\down 0 bytes
    File C:\WINDOWS\system32\drivers\down\15489328.exe 7862 bytes
    File C:\WINDOWS\system32\drivers\down\1000031.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\100140.exe 805 bytes
    File C:\WINDOWS\system32\drivers\down\1002187.exe 1609 bytes
    File C:\WINDOWS\system32\drivers\down\100421.exe 71172 bytes
    File C:\WINDOWS\system32\drivers\down\100468.exe 33734 bytes
    File C:\WINDOWS\system32\drivers\down\1006171.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\100625.exe 1125 bytes
    File C:\WINDOWS\system32\drivers\down\1007000.exe 608 bytes
    File C:\WINDOWS\system32\drivers\down\100734.exe 9262 bytes
    File C:\WINDOWS\system32\drivers\down\1008281.exe 1621 bytes
    File C:\WINDOWS\system32\drivers\down\100875.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\101406.exe 1609 bytes
    File C:\WINDOWS\system32\drivers\down\101515.exe 648 bytes
    File C:\WINDOWS\system32\drivers\down\101546.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\102140.exe 483844 bytes
    File C:\WINDOWS\system32\drivers\down\102265.exe 608 bytes
    File C:\WINDOWS\system32\drivers\down\102359.exe 6958 bytes
    File C:\WINDOWS\system32\drivers\down\102437.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\102765.exe 9146 bytes
    File C:\WINDOWS\system32\drivers\down\1030906.exe 873 bytes
    File C:\WINDOWS\system32\drivers\down\103187.exe 6958 bytes
    File C:\WINDOWS\system32\drivers\down\1032171.exe 632 bytes
    File C:\WINDOWS\system32\drivers\down\1033156.exe 9919 bytes
    File C:\WINDOWS\system32\drivers\down\103546.exe 628 bytes
    File C:\WINDOWS\system32\drivers\down\103586640.exe 483844 bytes
    File C:\WINDOWS\system32\drivers\down\180078.exe 805 bytes
    File C:\WINDOWS\system32\drivers\down\180125.exe 33907 bytes
    File C:\WINDOWS\system32\drivers\down\180140.exe 873 bytes
    File C:\WINDOWS\system32\drivers\down\180390.exe 1609 bytes
    File C:\WINDOWS\system32\drivers\down\180546.exe 1125 bytes
    File C:\WINDOWS\system32\drivers\down\180765.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\180906.exe 212 bytes
    File C:\WINDOWS\system32\drivers\down\181515.exe 873 bytes
    File C:\WINDOWS\system32\drivers\srosa.sys 118618 bytes <-- ROOTKIT !!!
    File C:\WINDOWS\system32\wintems.exe 71172 bytes
    File C:\WINDOWS\ime\shared 0 bytes
    File C:\WINDOWS\ime\shared\imlang.dll 102456 bytes
    File C:\WINDOWS\ime\shared\res 0 bytes

    ---- Services - GMER 1.0.14 ----

    Service C:\WINDOWS\system32\drivers\srosa.sys [SYSTEM] srosa <-- ROOTKIT !!!

    ---- EOF - GMER 1.0.14 ----

  • #2
    Probeer dit eens:

    Download dit bestand: SafeBoot.zip
    Unzip het en dubbelklik op SafeBoot-for-Windows-XP-SP2.reg
    Geef toestemming om de wijzigingen aan het register toe te voegen.
    Lukt dat niet, rechtsklik het bestand dan en kies voor "Openen met de register-editor".

    Download: RVAXO.exe
    • Sla het bestand op je bureaublad op, dubbelklik het en kies voor "Unzip" om het uit te pakken.
    • Open nu de map RVAXO op je bureaublad en dubbeklik RunMe.cmd
    • Start de computer in veilige modus.
      Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal.
    • Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen.
    • Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw.
      Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log
    • Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig.
    • Post de inhoud van de logfile in je volgende bericht.

    Comment


    • #3
      Hoi smeenk,

      Dank je wel voor de snelle reactie.
      Moet ik de internet verbinding uitdoen , als ik de PC in Veilige Modus start ?

      Groetjes toledos

      Comment


      • #4
        Doe maar, zet de instructies maar in een kladblokbestand of print ze uit alvorens je in veilige modus gaat.

        Comment


        • #5
          Hoi,

          Er is wat misgegaan, toen ik de RunMe.cmd dubbel klikte ging een cmd scherm open en begon te scannen, toen moest ik op een toets drukken het ging zo snel dat ik niet in Veilige Modus ben tercht gekomen.

          Ik heb net weer op Runme.cmd geklikt en ging hij weer scannen, daarna kwam een log tevoorschijn, maar hij ging niet opnieuw starten. Sorry

          Dit is het logje,

          ---RVAXO.exe Updated: 2008-02-13---first run---
          Files found:
          ---RVAXO.exe Updated: 2008-02-13---first run---
          Files found:
          C:\WINDOWS\system32\vbzip11.dll
          C:\WINDOWS\system32\drivers\srosa.sys
          C:\WINDOWS\system32\actskn45.ocx
          C:\WINDOWS\system32\drivers\srosa.sys
          C:\WINDOWS\system32\drivers\hldrrr.exe
          C:\WINDOWS\system32\wintems.exe
          C:\WINDOWS\system32\mdelk.exe
          C:\WINDOWS\system32\BAN_LIST.TXT
          C:\WINDOWS\system32\drivers\hldrrr.exe
          C:\WINDOWS\system32\wintems.exe
          C:\WINDOWS\system32\mdelk.exe
          C:\WINDOWS\system32\BAN_LIST.TXT

          Uninstallers:


          Folders Found:


          Uninstallers:


          Folders Found:

          C:\WINDOWS\system32\drivers\down
          C:\Program Files\NOADWARE5.0

          Hosts-file was reset, If you use a custom hosts file please replace it...
          C:\WINDOWS\system32\drivers\down
          C:\Program Files\NOADWARE5.0

          Hosts-file was reset, If you use a custom hosts file please replace it...

          --------------RVAXO.exe last run---------------

          Files found:

          C:\WINDOWS\system32\BAN_LIST.TXT
          C:\WINDOWS\system32\drivers\srosa.sys
          C:\WINDOWS\system32\drivers\hldrrr.exe
          C:\WINDOWS\system32\wintems.exe
          C:\WINDOWS\system32\mdelk.exe
          C:\Documents and Settings\Viyanti\Mijn documenten\Mijn ontvangen bestanden\Nieuw - Gecomprimeerde map.zip
          Folders Found:

          C:\WINDOWS\system32\drivers\down
          --------------RVAXO.exe finished----------------

          Comment


          • #6
            Open de map RVAXO op je bureaublad en dubbelklik Uninstall.cmd
            Download RVAXO opnieuw en probeer deze nogmaals in veilige modus te gebruiken.

            Je moest trouwens eerst naar Veilige modus gaan en daar pas RVAXO gebruiken.

            Comment


            • #7
              Oorspronkelijk geplaatst door smeenk Bekijk Berichten
              Je moest trouwens eerst naar Veilige modus gaan en daar pas RVAXO gebruiken.
              Zie nu pas dat ik het verkeerd om had gezet

              Comment


              • #8
                Kan gebeuren toch

                Ik kan niet in Veilige Modus komen.

                Comment


                • #9
                  Probeer eerst die stap met safeboot.zip opnieuw, je computer is namelijk al herstart.

                  Comment


                  • #10
                    Heb ik gedaan , wat moet ik nu doen?

                    Comment


                    • #11
                      Je kunt nu dus nog steeds niet in safe mode?

                      Comment


                      • #12
                        Nee, ik kom dan in de Besturings stysteem waar ik kan kiezen tussen F8 en Microsoft Windows XP Pro. kom niet verder dan dat.

                        Comment


                        • #13
                          Ga naar deze pagina: http://www.zonavirus.com/datos/desca...5/elibagla.asp
                          Helemaal onderaan klik je op de knop "Descargar ELIBAGLA 10.99"
                          Plaats dit bestand (EliBaglA.exe) op je bureaublad.
                          Dubbelklik erop om het programma te starten.
                          Controleer of naast Unidad dit staat: C:\
                          Onderaan moet je zorgen dat "Eliminar Ficheros Automaticamente" aangevinkt is.
                          Klik nu op de knop "Explorar" om de tool te laten scannen.
                          Post de inhoud van het bestandje C:\InfoSat.txt
                          Vervolgens klik je op de knop "Salir" om het programma af te sluiten.

                          Maak een nieuwe hijackthislog en post deze.

                          Comment


                          • #14
                            Als ik dubbelklik krijg ik een venster van Uitvoeren en Annuleren , wat moet ik doen.

                            Comment


                            • #15
                              Uitvoeren, we proberen immers die infectie weg te krijgen

                              Comment

                              Sorry, you are not authorized to view this page
                              Working...
                              X