|
Plagegeister aller Art und deren Bekämpfung: TR/Rkit.Bagle.GLWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.01.2007, 17:41 | #1 |
| TR/Rkit.Bagle.GL Servuz! Nun bin ich schon seit stunden auf der Suche nach einer Anleitung um diesen beschißenen Trojaner TR/Rkit.Bagle.GL zu entfernen!Hab schon einiges versucht! Leider auch das Marc's Generic Smitfraud Remover ohne diesen Patch File etc vorher zu erstellen! Kann mich jeder für dumm halten oder schreiben ich hätte vorher lesen können!Aber nun kann ich auch nichts mehr ändern. Hier mein Logfile Check Logfile of HijackThis v1.99.1 Scan saved at 17:31:04, on 06.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe F:\Downloads\Spyware Doctor\sdhelp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe C:\WINDOWS\Explorer.EXE C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe D:\Icq\ICQLite\ICQLite.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\hldrrr.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.657\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Icq\ICQToolbar\toolbaru.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\DOWNLO~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Icq\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - F:\Downloads\Spyware Doctor\sdhelp.exe Kann mir bitte jemand weiterhelfen, wie ich den Trojaner los bekomm und mein System wieder optimal wie davor läuft! Besten Dank für jegliche Hilfe vorab! |
06.01.2007, 18:48 | #2 | ||
Administrator > Competence Manager | TR/Rkit.Bagle.GL Hallo.
__________________Du hast zusätzliczh einen sogenannten Exploit im System, aber wollen wir mal versuchen alles wieder zu entfernen! Arbeite das hier ab: 1.) Scanne dein System mit F-Secure Blacklight. Poste im Anschluss das Ergebnis der erstellten Report.txt. (diese ist unmittelbar im Ordner wo Blacklight installiert ist. ) 2.) Lass zusätlich folgende Datei bei Virustotal auswerten: Zitat:
3.) Lade dir die Killbox und lösche mit der Option "delete on reboot" folgende Datei: Zitat:
(danach gehts weiter ) Gruß Sunny
__________________ Geändert von [Gc]Sunny (06.01.2007 um 19:37 Uhr) |
08.01.2007, 05:34 | #3 |
| TR/Rkit.Bagle.GL Besten Dank für die schnelle und nette Hilfe!Da mein System grad ordentlich spinnt kann ich leider nicht alles posten!
__________________zu1) zu 2) AntiVir 7.3.0.21 01.08.2007 no virus found Authentium 4.93.8 12.30.2006 W32/Mitglieder.VF Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.07.2007 I-Worm/Bagle BitDefender 7.2 01.08.2007 Trojan.Downloader.Bagle.Q CAT-QuickHeal 9.00 01.06.2007 no virus found ClamAV devel-20060426 01.07.2007 no virus found DrWeb 4.33 01.07.2007 Win32.HLLM.Beagle eSafe 7.0.14.0 01.07.2007 no virus found eTrust-InoculateIT 23.73.107 01.06.2007 Win32/Glieder.EC!Trojan eTrust-Vet 30.3.3307 01.06.2007 Win32/Glieder.EC Ewido 4.0 01.07.2007 no virus found Fortinet 2.82.0.0 01.08.2007 W32/Mitglieder.VF!tr F-Prot 3.16f 01.05.2007 security risk named W32/Mitglieder.VF F-Prot4 4.2.1.29 01.05.2007 W32/Mitglieder.VF Ikarus T3.1.0.27 01.07.2007 no virus found Kaspersky 4.0.2.24 01.08.2007 no virus found McAfee 4933 01.05.2007 W32/Bagle Microsoft 1.1904 01.07.2007 no virus found NOD32v2 1961 01.08.2007 Win32/Bagle.HF Norman 5.80.02 12.31.2007 no virus found Panda 9.0.0.4 01.07.2007 Trj/Mitglieder.LX Prevx1 V2 01.08.2007 no virus found Sophos 4.13.0 01.05.2007 no virus found Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious TheHacker 6.0.3.145 01.07.2007 W32/Bagle.fp UNA 1.83 01.06.2007 no virus found VBA32 3.11.1 01.08.2007 no virus found VirusBuster 4.3.19:9 01.07.2007 no virus found Arbeit wird fortgesetzt! |
08.01.2007, 05:46 | #4 |
| TR/Rkit.Bagle.GL Also hab die killbox benützt! hier ist das Logfile! Logfile of HijackThis v1.99.1 Scan saved at 05:45:13, on 08.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe D:\Icq\ICQLite\ICQLite.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wintems.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe F:\Downloads\Spyware Doctor\sdhelp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe F:\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Icq\ICQToolbar\toolbaru.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\DOWNLO~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Icq\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Icq\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - F:\Downloads\Spyware Doctor\sdhelp.exe |
08.01.2007, 05:49 | #5 |
| TR/Rkit.Bagle.GL zu1) Blacklight Report 01/06/07 18:54:51 [Info]: BlackLight Engine 1.0.55 initialized 01/06/07 18:54:51 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/06/07 18:54:51 [Note]: 7019 4 01/06/07 18:54:51 [Note]: 7005 0 01/06/07 18:54:55 [Note]: 7006 0 01/06/07 18:54:55 [Note]: 7011 2980 01/06/07 18:54:55 [Note]: 7026 0 01/06/07 18:54:56 [Note]: 7026 0 01/06/07 18:54:58 [Note]: FSRAW library version 1.7.1021 01/06/07 18:55:56 [Note]: 7007 0 |
08.01.2007, 16:32 | #6 | |||
Administrator > Competence Manager | TR/Rkit.Bagle.GL Warum auch immer, definitiv ist jetzt zusätlich im Hijacklog ein weiterer Trojaner aufgetaucht: Zitat:
sowie durch den vorherigen Trojaner: Zitat:
Somit wirst du um eine Neuinstallation nicht drum herum kommen. Zitat:
Zumal immer wieder, man hat es ja gesehen, neuer schädlicher Code nachgeladen wird. Lies dir den Link in meiner Signatur durch -> Neuaufsetzen des Systems Gruß Sunny
__________________ --> TR/Rkit.Bagle.GL |
08.01.2007, 16:50 | #7 |
| TR/Rkit.Bagle.GL Das hatte ich schon berfürchtet!Zum glück ist mein System noch nicht so alt das es zu schlimm wär den PC platt zu machen!Nisten sich die Trojaner, viren etc auch in meinen Daten und anderen Programmen ein? Vielen Dank für die Hilfe! Cheers! |
08.01.2007, 17:04 | #8 | |
Administrator > Competence Manager | TR/Rkit.Bagle.GLZitat:
Du kannst alle Daten sichern, egal welche, es dürfen nur keine ausführbaren Dateien dabei sein. Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.01.2007, 08:20 | #9 |
| TR/Rkit.Bagle.GL Bei mir hat die Anweisung von Denico (alias Nicolas) aus dem Forum http://board.protecus.de/t27513.htm gewirkt!!!! Grundproblem: TR/Rkit.Bagle.GL Info: http://www.avira.com/de/threats/section/fulldetails/id_vir/3343/tr_rkit.bagle.gl.html Man bemerkt seine Anwesenheit, dass sich im allgemeinen der Virenscanner und Firewalls abschaltet und sich fast keine Vierenscanner oder Firewalls sich mehr installieren lassen. Sofort hardwaremäßig vom Netz gehen! Da er sich verschicken will. Nun nochmal einmal etwas detaillierter zur Prozedur von Denico (alias Nicolas) Die folgenden 3 Programme besorgen und vorher installieren (Link zum Download unten): 1. F-secure Blacklight Rootkit Eliminator 2. Unlocker 3. Ashampoo AntiSpyware 1.5 Weiters ist der "Registry Monitor" sehr hilfreich zum Sichtbarmachen von hdlrrr.exe Der "Process Explorer" gibt auskunft ob es ein versteckter Prozess ist. 1) Mit F-Secure Rootkits suchen (SCAN), dann NEXT 2) hldrr.exe anklicken und RENAME. Computer wird neu gestartet. (Damit wird die das File hdlrrr.exe in hdlrrr.exe.ren umbenannt und kann nicht mehr gestartet werden) 4) F-Secure Rootkits nochmal laufen lassen und das gleiche mit wintems.exe machen (hdlrrr.exe ist nun nicht mehr vorhanden) 5) F-Secure Rootkits nochmal laufen lassen Die Datei m_hook.sys oder hidr.exe anklicken (doppelklick) und auf den Link klicken Damit öffnet sich ein Explorer. Der Ordner hidires erscheint weil getarnt als leer und normales Löschen funktioniert nicht. Bei mir war es "C:\Dokumente und Einstellungen\Fd\Anwendungsdaten\hidires" Diesen Ordner, in dem die Dateien sind, die für das gesamte Tarnen verantwortlich sind, mit dem Tool Unlocker, dass vorher installiert wurde, löschen: Unlocker müsste jetzt per Rechtsklick zu sehen sein. Unlocker starten. Zeile mit Pfad auswählen. und "Freigeben". Beim 2.mal Starten kommt ein Dialog mit Löschen. Hier Löschen wählen. Computer neu staren und der Ordner ist weg. Eventuell F-Secure Rootkits und Neustart so oft ausführen bis die Dinger • m_hook.sys • hidr.exe • hidn2.exe • wintems.exe • hldrrr.exe • ldr64.dll nicht mehr gefunden werden. Dann ist der Spuk vorbei (kein Rootkit mehr aktiv..) Es könnte sein, dass man vorher die Registrierungseinträge entfernen sollte. Grundsätlich, wenn im "Registry Monitor" ein Prozess ist, der "EnableAutodail" dauernd einschalten will und dieser Prozess im "Process Explorer" nicht aufscheint und er auch noch von System32 kommt (im Registry Monitor rechte Maustaste und "Prozess Properties"), dann ist das Ding schon heiß. Wenn Ihr nun in System32 das File nicht findet, dann ist es garantiert ein weiteres nettes Spielzeug auf Eurem PC. Daher nochmal Schritte 1 bis 3 machen. Es müssen nur noch alle Dateien und Registry-Einträge etc. gelöscht werden. Es sind folgende (Auflistung von Nicolas, Bemerkungen von Heinz): – Die folgenden Dateien: • m_hook.sys (bei mir aber nicht mehr da, da Ordner hidires gelöscht) • hidr.exe (bei mir aber nicht mehr da, da Ordner hidires gelöscht) • hidn2.exe (nicht gefunden) • wintems.exe (in ...\System32\, umbenannt in wintems.exe.ren) • hldrrr.exe (in ...\System32\, umbenannt in hldrrr.exe.ren) • ldr64.dll (nicht gefunden) – Die folgenden Prozesse: • hidr.exe (bei mir nicht (mehr) aktiv) • hidn2.exe (bei mir nicht (mehr) aktiv) • flec006.exe • wintems.exe (schon vorher gekillt) • hldrrr.exe (schon vorher gekillt) • mdelk.exe – Die folgenden Registryschlüssel: • nkeyjej1 (nicht gefunden) • nkeyjej2 (nicht gefunden) – Die folgende Registrywerte: • german.exe • drvsyskit • hldrrr • mule_st_key • drv_st_key • key000s04 • key000s05 – Die folgenden Verzeichnisse: • shared • hidn • hidires Nach einem Neustart unbedingt noch einmal Ashampoo drüber laufen lassen und das System weiter im Auge behalten. Weil wirklich sicher ist nur eine Neuinstallation. Ich würde einen ordentlichen Virenscan noch machen. Ach ja, die neueste Version dieses Dings wurde nur von Kaspersky erkannt (wenn er das file online scannte). Im Arbeitsspeicher hat er es auch nicht gefunden. Also ich trinke sicher ein Bier auf Nicolas, danke schön Nicolas! Softwarelinks: http://software-portal.faz.net/ie/47508/F-Secure_BlackLight_Rootkit_Eliminator http://software-portal.faz.net/ie/40696/Unlocker http://software-portal.faz.net/ie/49129/Ashampoo_AntiSpyWare http://www.zdnet.de/downloads/prg/d/k/de00DK-wc.html http://www.zdnet.de/downloads/prg/0/5/de10223605-wc.html |
08.02.2007, 01:07 | #10 |
| Vielen vielen Dank Tausend Dank, das hat doch tatsächlich funktioniert, wer hätte das noch gedacht. Es war zwar etwas aufwändig, doch allemal besser als eine Neuinstallation. So, nun trinke ich auch ein Bier auf den Nicolas, oder auch zwei, oder auch drei ;-) Und natürlich auch heinz_tro nicht zu vergessen Ciao Nube PS: Hab mich hier nur registriert um meinen Dank auszusprechen. |
Themen zu TR/Rkit.Bagle.GL |
antivir, application, avira, bho, browser, cyberlink, defender, desktop, einstellungen, entfernen, excel, firefox, fraud, hijack, hijackthis, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, pc tools spyware doctor, server, smitfraud, spyware, system, trojaner, unknown file in winsock lsp, urlsearchhook, windows, windows xp |