Hallo!
Ich habe ein Problem seitdem ich ein Archiv in einem mail geöffnet habe... schön doof, ich weiss, aber es war kein Betreff oder Absender dabei und ich erwartete ein Archiv per mail. Naja, Antivir schlug Alarm, und zwar wegen Bagle.BB. Angeblich wurde dadurch die ausführung von dem Programm verhindert, aber anscheinend doch nicht... Habe die ganze Festplatte gescannt und es kamen zwei Meldungen wie "die Datei ??? (ich glaube winhost.exe) trägt die Signatur von Bagle" oder so ähnlich. Ausserdem wurden noch zwei verschiedene Trojaner gefunden, bin mir aber jetzt nicht sicher wie die heissen, aber die waren vorher NICHT da (ich scanne die Festplatte mindestens 3x die Woche und Antivir ist aktuell). Naja, angeblich konnte Antivir alles lösen, löschen oder reparieren, allerdigs war der Windows - update danach desaktiviert, musste ihn manuell wieder aktivieren (in services.msc).
Ist also jetzt alles ok oder sollte ich neu installieren (würde mich ärgern...)? Hier der logfile (Windows ist auf spanisch):

-----------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:33:45, on 06/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\Rar$EX00.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098900005359
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: LogoMedia TranslateDotNet Server - LogoMedia Corporation - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

--------------------------------------

Danke schonmal

@Yustea

lade escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Escan meldet folgendes:

File C:\System Volume information\_restore{2D8E9E52-414E-4491-B8DA-918F2AD19CE0}\RP54\A0029404.exe infected by "Email-Worm.Win32.Bagle.pac" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{2D8E9E52-414E-4491-B8DA-918F2AD19CE0}\RP54\A0029406.exe infected by "Email-Worm.Win32.Bagle.bb" Virus. Action Taken: No Action Taken.

File C:\RECYCLER\S-1-5-21-57989841-484763869-725345543-1003\Dc421.zip tagged as not-a-virus:Joke.BadDay. No Action Taken.

Also der Mist noch drauf

Und jetzt?

hallo

den backdoor hast du eingefangen: http://www.antiviruslab.com/descript...216918&lang=de

das heisst neu aufsetzen:

http://www.trojaner-board.de/showthread.php?t=12154

in diesem link findest du auch infos zu backdoors

Na toll

Gibt es irgendwo eine detallierte Anleitung wie das gehen soll? Die links sind nicht wirklich nützlich, allgemeine Ratschläge wie "Dann empfiehlt es sich die Festplatte, die das Betriebssystem enthielt, vorher zu formatieren, deren Bootsektor zu überschreiben und anschließend das Betriebssystem neu zu installieren" bringen mich jetzt nicht wirklich weiter (Vor allem steht danach "Man sollte aber wissen, was man tut." ) Ich weiss jetzt nicht so ganz wo ich anfangen soll, vor allem mit der Datenkopie, k.a. wass ich jetzt kopieren soll und was nicht um den Trojaner nicht mitzukopieren... Und die Programme, muss ich die danach alle wieder neu besorgen (herunterladen, CD finden..), oder kann ich die irgendwie auf CD übertagen?

Blöde Fragen, aber ehrlich keine Ahnung...

Danke trotzdem

Hab es schon gefunden, ist ok (http://www24.brinkster.com/thorsten1...ieren/win2000/)

LG

In dem Fall seh ich das mit dem Neuaufsetzen (ausnahmsweise) anders.

Die Ausführung wurde anscheinend durch das AV-Programm verhindert. Und das es sich in:

Zitat:

C:\System Volume Information\_restore

befindet, ist durch Neustart des Systems entstanden (wie auch sonst).

Darum müsste das Deaktivieren der Systemwiederherstellung reichen (nach Neustart wieder aktivieren)

Start/Systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren (Systemwiederherstellungspunkte gehen dabei verloren)

Neustart

Außerdem den Papierkorb leeren. Erneut scannen. Falls die Datei dann immer noch im Papierkorb (RECYCLER\S-1-5-21-57989841-484763869-725345543-1003\Dc421.zip) ist, dann mit Total Commander
diesen öffnen und die Datei löschen...oder besser alle.
Einstellungen im Total Commander:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

P.S. Erschlagt mich nicht, falls ich mich mit meiner Einschätzung geirrt habe.

@Feierfox: nach dem desaktivieren der Systemwiederherstellug findet eScan nichts mehr, weder diesen komischen "not-a-virus" im Papierkorb (geleert), und auch keine von den beiden Bagle - versionen.
Heisst das ich kann mir das Neuaufsetzen sparen (wäre schön...) oder lieber doch, zur Sicherheit?

Wenn Du so fragst....
Klar, für die Sicherheit wäre das Neuaufsetzen das Beste.
Aber, falls er tatsächlich nicht aktiv wurde, auch keine ungewöhnlichen Kontobewegungen stattfanden und sämtliche Passwörter geändert wurden, würde ich nicht neu aufsetzen.