Trojaner-Board - Einzelnen Beitrag anzeigen - Wie entgüldig tr/dldr.ba.276652.a entfernen ???

25.02.2008, 02:04

@irrlicht:

Oder auch anders!

Dazu braucht man folgendes:

- h**p://www.x-ways.net/winhex/index-d.html (WinHex => die Demoversion!),
- h**p://mh-nexus.de/hxd (HxD => Freeware (Version 1.6.1.0),
- nicht infizierten Windows-Rechner,
- externes USB/Firewire/S-ATA-Gehäuse (für die infizierte HD)

Getestet wurde die Anleitung an dem "Trojan.Downloader.Bagle.GD" (BitDefender's interner Name) nachdem BitDefender den größten Schaden "abgewehrt" hatte und vom Trojaner "ausgeknockt" wurde.

Bevor jetzt ein "Nicht die infizierte Platte in einen Rechner einbauen der noch in Ordnung ist" kommt, sei angemerkt, das der Trojan.Downloader.Bagle.GD sich NICHT auf dem sauberen Rechner installiert, da von der infizierten Platte WEDER EIN PROGRAMM GESTARTET NOCH EINE DATEI GEÖFFNET wird!

Ausgangspunkt:

WinXP, SP 2, einige Partitionen werden als unformatiert angezeigt, obwohl noch alle Daten vorhanden sind, BitDefender und einige andere Hilfsprogramme werden am Starten gehindert, Rootkit-Dateien und Registrierungseinträge sind unsichtbar!

Vorgehensweise:

Zuerst den infizierten Rechner herunterfahren und Platte ausbauen auf dem sich die Windows-Partition befindet. Dann die Platte in ein externes Gehäuse einsetzen und an einen anderen Computer anschließen der komplett sauber ist und einen funktionierenden Virenscanner besitzt!

WICHTIGER HINWEIS: NIEMALS(!) eine Datei auf der infizierten Festplatte öffnen! Auch wenn ein Anti-Virenprogramm installiert ist, bedeutet dies nicht unbedingt ein "Rundumschutz" für den Arbeitsrechner auf dem die Platte gesäubert wird!!

Nach dem Hochfahren des Computers wird "WinHex" installiert bzw. gestartet und über "Tools" - "Open Disk..." wird das "Edit Disk"-Auswahlfenster geöffnet. Dort wird das Laufwerk ausgewählt, das die infizierte Windowsversion enthält.

WICHTIG: unbedingt(!) darauf achten, das der Laufwerksbuchstabe stimmt!

Mit "Ok" wird die Auswahl bestätigt und kurz darauf erscheint im oberen Teil des Bildschirms (unterhalb des Menüs und der Symbolleisten) das Hauptverzeichnis des Laufwerks. Als nächstes navigiert man in das "system32"-Verzeichnis indem man ganz normal auf die entsprechenden Einträge klickt (z. B. wie beim Total Commander). Scrollt man nach unten, findet man unter "h" die "hldrrr.exe"!

Da der Eintrag versteckt ist und man im WinHex nur beschränkte Möglichkeiten hat (=> Demo-Version), nutzen wir "HxD" (Freeware Hex-Editor für Laufwerke)!

Wir starten also "HxD" und gehen in der Symbolleiste auf "Datenträger öffnen".

Im Dialog "Datenträger öffnen" klickt man zuerst auf "Schreibgeschützt öffnen", damit der Haken weg ist.

WARNUNG! Alles was geändert und dann gespeichert wird, wird tatsächlich auf der Festplatte geändert!!

Nachdem der Haken weg ist, wählt man das entsprechende Laufwerk aus (gleicher Buchstabe wie unter "WinHex"!!!!!!) und bestätigt mit "Ok".

Unter "Suchen" - "Gehe zu..." kann man ein sogenanntes "Offset" eingeben. Dieses Offset ist (standardmäßig!) eine Hexadezimalzahl und diese ist aus dem "WinHex" zu entnehmen. Hat man nämlich auf die "hldrrr.exe" geklickt, erscheint in der Mitte (unterhalb der Verzeichnisliste) eine Hexadezimale Liste die den Programmcode anzeigt.

Um den richtigen Hexwert zu nehmen, muß man den Wert nehmen, der in der gleichen Zeile unter "Offset" steht wie das "MZ" (standardmäßig 1. Zeile).

Der Wert muß so wie er da steht bei "HxD" eingetragen werden und dann mit "Ok" bestätigt werden. Tipp: am Besten vorher nochmals kontrollieren!

Daraufhin wird dann die entsprechende Stelle gesucht. Leider zeigt "HxD" die Stelle nicht direkt in der 1. Zeile an, so das man hochscrollen muß bis diese ganz oben steht.

ACHTUNG!! Wenn der Offset-Wert der 1. Zeile in "HxD" dem von "WinHex" in der 1. Zeile entspricht UNBEDINGT(!) genau vergleichen, ob beide auch gleich sind!! Eine Änderung könnte fatale Folgen haben.

Wenn beide Auflistungen genau übereinstimmen ist alles ok und eine Änderung bewirkt genau das, was sie soll: der "hldrrr.exe" den "Saft abdrehen"!

Um dies zu erreichen, überschreibt man einfach ab dem "MZ" im "HxD" die Werte mit einer Null! Um sicher zu gehen reicht es, wenn man bis zum Text "This program cannot be run in DOS mode" die Nullen schreibt.

Anschließend speichert man die Änderung.

Der Hinweis der erscheint kann bestätigt werden, da ja kontrolliert wurde das es die richtige Stelle ist und die Änderung gemacht werden soll.

Damit das "Rootkit" nicht weiter die Dateien und Einträge in der Registrierungsdatenbank verstecken kann, suchen wir im "WinHex" den Eintrag "srosa.sys" heraus und gehen genauso vor, wie bei der "hldrrr.exe"!

Als nächstes werden beide Programme beendet, die Festplatte ordnungsgemäß abgemeldet und wieder in den anderen Computer eingebaut.

Um zu gucken, ob die "Operation" geglückt ist, wird der Rechner ganz normal gestartet.

Nun sollten weder die "hldrrr.exe" noch die "srosa.sys" gestartet worden sein. Um das zu kontrollieren sucht man im Registrierungseditor einfach mal den Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" auf. Erscheint dort ein Eintrag bei dem unter "Wert" die "hldrrr.exe" erscheint, so ist das Rootkit erfolgreich gekillt worden und der Eintrag kann gelöscht werden!

Entsprechend muß auch unter "HKEY_LOCAL_MACHINE" bei "Run" ein Eintrag vorhanden sein.

Jetzt kann man auch wieder seine Lieblings-Anti-Viren und Rootkit-Remove-Software nutzen, um Windows von den "Resten" des Schädlings zu säubern.

Hinweis in eigener Sache: ich übernehme keine Garantie und keine Gewähr für diese Anleitung! Sollte es zu einem Datenverlust kommen so übernehme ich keine Haftung dafür.

Ich weise AUSDRÜCKLICH daraufhin, das die Manipulationen an einem Datenträger nur von Personen durchzuführen sind die genau wissen, was sie tun! Daher ist diese Anleitung nicht für Personen geeignet, die nur Grundkenntnisse im Bereich Computer besitzen!!

Sollte jemand nur Grundkenntnisse besitzen und diese Anleitung trotzdem nutzen wollen, so rate ich dieser Person DRINGEND dazu einen Bekannten mit den entsprechenden Kenntnissen zu konsultieren!

25.02.2008, 02:04	#8 (permalink)
DXler Gast Beiträge: n/a	AW: Wie entgüldig tr/dldr.ba.276652.a entfernen ??? @irrlicht: Oder auch anders! Dazu braucht man folgendes: - hp://www.x-ways.net/winhex/index-d.html (WinHex => die Demoversion!), - hp://mh-nexus.de/hxd (HxD => Freeware (Version 1.6.1.0), - nicht infizierten Windows-Rechner, - externes USB/Firewire/S-ATA-Gehäuse (für die infizierte HD) Getestet wurde die Anleitung an dem "Trojan.Downloader.Bagle.GD" (BitDefender's interner Name) nachdem BitDefender den größten Schaden "abgewehrt" hatte und vom Trojaner "ausgeknockt" wurde. Bevor jetzt ein "Nicht die infizierte Platte in einen Rechner einbauen der noch in Ordnung ist" kommt, sei angemerkt, das der Trojan.Downloader.Bagle.GD sich NICHT auf dem sauberen Rechner installiert, da von der infizierten Platte WEDER EIN PROGRAMM GESTARTET NOCH EINE DATEI GEÖFFNET wird! Ausgangspunkt: WinXP, SP 2, einige Partitionen werden als unformatiert angezeigt, obwohl noch alle Daten vorhanden sind, BitDefender und einige andere Hilfsprogramme werden am Starten gehindert, Rootkit-Dateien und Registrierungseinträge sind unsichtbar! Vorgehensweise: Zuerst den infizierten Rechner herunterfahren und Platte ausbauen auf dem sich die Windows-Partition befindet. Dann die Platte in ein externes Gehäuse einsetzen und an einen anderen Computer anschließen der komplett sauber ist und einen funktionierenden Virenscanner besitzt! WICHTIGER HINWEIS: NIEMALS(!) eine Datei auf der infizierten Festplatte öffnen! Auch wenn ein Anti-Virenprogramm installiert ist, bedeutet dies nicht unbedingt ein "Rundumschutz" für den Arbeitsrechner auf dem die Platte gesäubert wird!! Nach dem Hochfahren des Computers wird "WinHex" installiert bzw. gestartet und über "Tools" - "Open Disk..." wird das "Edit Disk"-Auswahlfenster geöffnet. Dort wird das Laufwerk ausgewählt, das die infizierte Windowsversion enthält. WICHTIG: unbedingt(!) darauf achten, das der Laufwerksbuchstabe stimmt! Mit "Ok" wird die Auswahl bestätigt und kurz darauf erscheint im oberen Teil des Bildschirms (unterhalb des Menüs und der Symbolleisten) das Hauptverzeichnis des Laufwerks. Als nächstes navigiert man in das "system32"-Verzeichnis indem man ganz normal auf die entsprechenden Einträge klickt (z. B. wie beim Total Commander). Scrollt man nach unten, findet man unter "h" die "hldrrr.exe"! Da der Eintrag versteckt ist und man im WinHex nur beschränkte Möglichkeiten hat (=> Demo-Version), nutzen wir "HxD" (Freeware Hex-Editor für Laufwerke)! Wir starten also "HxD" und gehen in der Symbolleiste auf "Datenträger öffnen". Im Dialog "Datenträger öffnen" klickt man zuerst auf "Schreibgeschützt öffnen", damit der Haken weg ist. WARNUNG! Alles was geändert und dann gespeichert wird, wird tatsächlich auf der Festplatte geändert!! Nachdem der Haken weg ist, wählt man das entsprechende Laufwerk aus (gleicher Buchstabe wie unter "WinHex"!!!!!!) und bestätigt mit "Ok". Unter "Suchen" - "Gehe zu..." kann man ein sogenanntes "Offset" eingeben. Dieses Offset ist (standardmäßig!) eine Hexadezimalzahl und diese ist aus dem "WinHex" zu entnehmen. Hat man nämlich auf die "hldrrr.exe" geklickt, erscheint in der Mitte (unterhalb der Verzeichnisliste) eine Hexadezimale Liste die den Programmcode anzeigt. Um den richtigen Hexwert zu nehmen, muß man den Wert nehmen, der in der gleichen Zeile unter "Offset" steht wie das "MZ" (standardmäßig 1. Zeile). Der Wert muß so wie er da steht bei "HxD" eingetragen werden und dann mit "Ok" bestätigt werden. Tipp: am Besten vorher nochmals kontrollieren! Daraufhin wird dann die entsprechende Stelle gesucht. Leider zeigt "HxD" die Stelle nicht direkt in der 1. Zeile an, so das man hochscrollen muß bis diese ganz oben steht. ACHTUNG!! Wenn der Offset-Wert der 1. Zeile in "HxD" dem von "WinHex" in der 1. Zeile entspricht UNBEDINGT(!) genau vergleichen, ob beide auch gleich sind!! Eine Änderung könnte fatale Folgen haben. Wenn beide Auflistungen genau übereinstimmen ist alles ok und eine Änderung bewirkt genau das, was sie soll: der "hldrrr.exe" den "Saft abdrehen"! Um dies zu erreichen, überschreibt man einfach ab dem "MZ" im "HxD" die Werte mit einer Null! Um sicher zu gehen reicht es, wenn man bis zum Text "This program cannot be run in DOS mode" die Nullen schreibt. Anschließend speichert man die Änderung. Der Hinweis der erscheint kann bestätigt werden, da ja kontrolliert wurde das es die richtige Stelle ist und die Änderung gemacht werden soll. Damit das "Rootkit" nicht weiter die Dateien und Einträge in der Registrierungsdatenbank verstecken kann, suchen wir im "WinHex" den Eintrag "srosa.sys" heraus und gehen genauso vor, wie bei der "hldrrr.exe"! Als nächstes werden beide Programme beendet, die Festplatte ordnungsgemäß abgemeldet und wieder in den anderen Computer eingebaut. Um zu gucken, ob die "Operation" geglückt ist, wird der Rechner ganz normal gestartet. Nun sollten weder die "hldrrr.exe" noch die "srosa.sys" gestartet worden sein. Um das zu kontrollieren sucht man im Registrierungseditor einfach mal den Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" auf. Erscheint dort ein Eintrag bei dem unter "Wert" die "hldrrr.exe" erscheint, so ist das Rootkit erfolgreich gekillt worden und der Eintrag kann gelöscht werden! Entsprechend muß auch unter "HKEY_LOCAL_MACHINE" bei "Run" ein Eintrag vorhanden sein. Jetzt kann man auch wieder seine Lieblings-Anti-Viren und Rootkit-Remove-Software nutzen, um Windows von den "Resten" des Schädlings zu säubern. Hinweis in eigener Sache: ich übernehme keine Garantie und keine Gewähr für diese Anleitung! Sollte es zu einem Datenverlust kommen so übernehme ich keine Haftung dafür. Ich weise AUSDRÜCKLICH daraufhin, das die Manipulationen an einem Datenträger nur von Personen durchzuführen sind die genau wissen, was sie tun! Daher ist diese Anleitung nicht für Personen geeignet, die nur Grundkenntnisse im Bereich Computer besitzen!! Sollte jemand nur Grundkenntnisse besitzen und diese Anleitung trotzdem nutzen wollen, so rate ich dieser Person DRINGEND dazu einen Bekannten mit den entsprechenden Kenntnissen zu konsultieren!