oreans32.sys
Rootkit.Agent


oreans32.sys - Rootkit.Agent

oreans32.sys

CAT-QuickHeal: Rootkit.Agent.ad
eTrust-InoculateIT: Win32/Rbot.EQS!SYS!Worm
Trend Micro: TROJ_ROOTKIT.CG

weiter Combofix

2006-09-13 11:41 33952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys

weiter Avenger

Files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32]
; Contents of value:
; \??\c:\windows\system32\drivers\oreans32.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,72,69,76,65,72,73,5c,6f,72,65,61,6e,73,33,32,2e,73,79,73,00

Datei: oreans32.sys
Verzeichnis: C:\WINDOWS\System32\drivers
Prozess: iexplorer.exe
Virus: Trojan.Rootkit.Oreans.A

weiter Counterspy

Infected files detected
c:\windows\system32\drivers\oreans32.sys

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Security Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum 0 Root\LEGACY_OREANS32\0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum Count 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum NextInstance 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Type 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Start 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ErrorControl 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ImagePath \??\C:\WINDOWS\system32\drivers\oreans32.sys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 DisplayName oreans32

** OREANS32.SYS is a part of OREAN software

** W32/Rbot-EWD
http://www.sophos.de
Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Rbot-EWD nach System\msdn-nt.exe
und erstellt die Datei System\drivers\oreans32.sys

** ciadoor
http://www.avira.com

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
del32.bat

drivers\oreans32.sys
wsock32.sys - Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Erkannt als: BDS/Ciadoor.13.B
ckl009.dat - Diese Datei enthält gesammelte Tastatureingaben.

weiter HijackThis starten, "Open the misc tools section" klicken, die beiden Kästchen "List also minor sections" und "List empty sections" markieren und dann "Generate StartupList log" klicken.

oreans32: \??\C:\WINDOWS\system32\drivers\oreans32.sys (system)

** http://www.avira.com



startseite
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits