Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Rkit.Bagle.GL

TR/Rkit.Bagle.GL


Plagegeister aller Art und deren Bekämpfung: TR/Rkit.Bagle.GL

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.01.2007, 17:41   #1
rudeboy
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Servuz!
Nun bin ich schon seit stunden auf der Suche nach einer Anleitung um diesen beschißenen Trojaner TR/Rkit.Bagle.GL zu entfernen!Hab schon einiges versucht!
Leider auch das Marc's
Generic Smitfraud Remover ohne diesen Patch File etc vorher zu erstellen!

Kann mich jeder für dumm halten oder schreiben ich hätte vorher lesen können!Aber nun kann ich auch nichts mehr ändern.





Hier mein Logfile Check
Logfile of HijackThis v1.99.1
Scan saved at 17:31:04, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\Downloads\Spyware Doctor\sdhelp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
D:\Icq\ICQLite\ICQLite.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.657\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Icq\ICQToolbar\toolbaru.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\DOWNLO~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Icq\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - F:\Downloads\Spyware Doctor\sdhelp.exe

Kann mir bitte jemand weiterhelfen, wie ich den Trojaner los bekomm und mein System wieder optimal wie davor läuft!
Besten Dank für jegliche Hilfe vorab!

Alt 06.01.2007, 18:48   #2
Sunny
Administrator
> Competence Manager
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Hallo.

Du hast zusätzliczh einen sogenannten Exploit im System, aber wollen wir mal versuchen alles wieder zu entfernen!

Arbeite das hier ab:

1.) Scanne dein System mit F-Secure Blacklight.
Poste im Anschluss das Ergebnis der erstellten Report.txt.
(diese ist unmittelbar im Ordner wo Blacklight installiert ist. )

2.) Lass zusätlich folgende Datei bei Virustotal auswerten:
Zitat:
O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidire s\hidr.exe
Poste im Anschluss das Ergebnis. Die Auswertung abkopieren und hier in einen Beitrag einfügen.

3.) Lade dir die Killbox und lösche mit der Option "delete on reboot" folgende Datei:

Zitat:
C:\WINDOWS\system32\hldrrr.exe
Danach das System neu starten lassen und nochmals ein neues Hijaklog posten.
(danach gehts weiter )
Gruß
Sunny
__________________

__________________
Geändert von [Gc]Sunny (06.01.2007 um 19:37 Uhr)

Alt 08.01.2007, 05:34   #3
rudeboy
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Besten Dank für die schnelle und nette Hilfe!Da mein System grad ordentlich spinnt kann ich leider nicht alles posten!
zu1)

zu 2)

AntiVir 7.3.0.21 01.08.2007 no virus found
Authentium 4.93.8 12.30.2006 W32/Mitglieder.VF
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.07.2007 I-Worm/Bagle
BitDefender 7.2 01.08.2007 Trojan.Downloader.Bagle.Q
CAT-QuickHeal 9.00 01.06.2007 no virus found
ClamAV devel-20060426 01.07.2007 no virus found
DrWeb 4.33 01.07.2007 Win32.HLLM.Beagle
eSafe 7.0.14.0 01.07.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 Win32/Glieder.EC!Trojan
eTrust-Vet 30.3.3307 01.06.2007 Win32/Glieder.EC
Ewido 4.0 01.07.2007 no virus found
Fortinet 2.82.0.0 01.08.2007 W32/Mitglieder.VF!tr
F-Prot 3.16f 01.05.2007 security risk named W32/Mitglieder.VF
F-Prot4 4.2.1.29 01.05.2007 W32/Mitglieder.VF
Ikarus T3.1.0.27 01.07.2007 no virus found
Kaspersky 4.0.2.24 01.08.2007 no virus found
McAfee 4933 01.05.2007 W32/Bagle
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1961 01.08.2007 Win32/Bagle.HF
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.07.2007 Trj/Mitglieder.LX
Prevx1 V2 01.08.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
TheHacker 6.0.3.145 01.07.2007 W32/Bagle.fp
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.08.2007 no virus found
VirusBuster 4.3.19:9 01.07.2007 no virus found

Arbeit wird fortgesetzt!
__________________
Alt 08.01.2007, 05:46   #4
rudeboy
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Also hab die killbox benützt! hier ist das Logfile!

Logfile of HijackThis v1.99.1
Scan saved at 05:45:13, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
D:\Icq\ICQLite\ICQLite.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wintems.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\Downloads\Spyware Doctor\sdhelp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Icq\ICQToolbar\toolbaru.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - F:\DOWNLO~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Icq\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Icq\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Icq\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\DOWNLO~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Icq\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - F:\Downloads\Spyware Doctor\sdhelp.exe

Alt 08.01.2007, 05:49   #5
rudeboy
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


zu1) Blacklight Report
01/06/07 18:54:51 [Info]: BlackLight Engine 1.0.55 initialized
01/06/07 18:54:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/06/07 18:54:51 [Note]: 7019 4
01/06/07 18:54:51 [Note]: 7005 0
01/06/07 18:54:55 [Note]: 7006 0
01/06/07 18:54:55 [Note]: 7011 2980
01/06/07 18:54:55 [Note]: 7026 0
01/06/07 18:54:56 [Note]: 7026 0
01/06/07 18:54:58 [Note]: FSRAW library version 1.7.1021
01/06/07 18:55:56 [Note]: 7007 0


Alt 08.01.2007, 16:32   #6
Sunny
Administrator
> Competence Manager
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Warum auch immer, definitiv ist jetzt zusätlich im Hijacklog ein weiterer Trojaner aufgetaucht:

Zitat:
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
Troj/Bagle

sowie durch den vorherigen Trojaner:

Zitat:
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
W32.Beagle.DZ.

Somit wirst du um eine Neuinstallation nicht drum herum kommen.

Zitat:
* Ermöglicht Dritten den Zugriff auf den Computer
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
Wer weiß schon genau was noch alles an deinem System verändert wurde.
Zumal immer wieder, man hat es ja gesehen, neuer schädlicher Code nachgeladen wird.

Lies dir den Link in meiner Signatur durch -> Neuaufsetzen des
Systems

Gruß
Sunny
__________________
--> TR/Rkit.Bagle.GL

Alt 08.01.2007, 16:50   #7
rudeboy
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Das hatte ich schon berfürchtet!Zum glück ist mein System noch nicht so alt das es zu schlimm wär den PC platt zu machen!Nisten sich die Trojaner, viren etc auch in meinen Daten und anderen Programmen ein?
Vielen Dank für die Hilfe!
Cheers!

Alt 08.01.2007, 17:04   #8
Sunny
Administrator
> Competence Manager
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Zitat:
Zitat von rudeboy Beitrag anzeigen
Nisten sich die Trojaner, viren etc auch in meinen Daten und anderen Programmen ein?
Eventuell! Es gibt Trrojaner/Schädlinge, die können jede .exe Datei auf dem System infizieren. Ich denke aber nicht das dies bei dir der Fall ist..

Du kannst alle Daten sichern, egal welche, es dürfen nur keine ausführbaren Dateien dabei sein.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 10.01.2007, 08:20   #9
heinz_tro
 
TR/Rkit.Bagle.GL - Standard

TR/Rkit.Bagle.GL


Bei mir hat die Anweisung von Denico (alias Nicolas) aus dem Forum
http://board.protecus.de/t27513.htm gewirkt!!!!

Grundproblem:
TR/Rkit.Bagle.GL
Info:
http://www.avira.com/de/threats/section/fulldetails/id_vir/3343/tr_rkit.bagle.gl.html

Man bemerkt seine Anwesenheit, dass sich im allgemeinen der Virenscanner und Firewalls abschaltet
und sich fast keine Vierenscanner oder Firewalls sich mehr installieren lassen.

Sofort hardwaremäßig vom Netz gehen! Da er sich verschicken will.

Nun nochmal einmal etwas detaillierter zur Prozedur von Denico (alias Nicolas)

Die folgenden 3 Programme besorgen und vorher installieren (Link zum Download unten):

1. F-secure Blacklight Rootkit Eliminator
2. Unlocker
3. Ashampoo AntiSpyware 1.5

Weiters ist der "Registry Monitor" sehr hilfreich zum Sichtbarmachen von hdlrrr.exe
Der "Process Explorer" gibt auskunft ob es ein versteckter Prozess ist.


1) Mit F-Secure Rootkits suchen (SCAN), dann NEXT

2) hldrr.exe anklicken und RENAME. Computer wird neu gestartet.
(Damit wird die das File hdlrrr.exe in hdlrrr.exe.ren umbenannt und kann nicht mehr gestartet werden)

4) F-Secure Rootkits nochmal laufen lassen und das gleiche mit wintems.exe machen (hdlrrr.exe ist nun nicht mehr vorhanden)

5) F-Secure Rootkits nochmal laufen lassen
Die Datei m_hook.sys oder hidr.exe anklicken (doppelklick) und auf den Link klicken
Damit öffnet sich ein Explorer.
Der Ordner hidires erscheint weil getarnt als leer und normales Löschen funktioniert nicht.
Bei mir war es "C:\Dokumente und Einstellungen\Fd\Anwendungsdaten\hidires"
Diesen Ordner, in dem die Dateien sind, die für das gesamte Tarnen verantwortlich sind,
mit dem Tool Unlocker, dass vorher installiert wurde, löschen:
Unlocker müsste jetzt per Rechtsklick zu sehen sein. Unlocker starten. Zeile mit Pfad auswählen.
und "Freigeben". Beim 2.mal Starten kommt ein Dialog mit Löschen.
Hier Löschen wählen.
Computer neu staren und der Ordner ist weg.

Eventuell F-Secure Rootkits und Neustart so oft ausführen bis die Dinger
• m_hook.sys
• hidr.exe
• hidn2.exe
• wintems.exe
• hldrrr.exe
• ldr64.dll

nicht mehr gefunden werden. Dann ist der Spuk vorbei (kein Rootkit mehr aktiv..)
Es könnte sein, dass man vorher die Registrierungseinträge entfernen sollte.


Grundsätlich, wenn im "Registry Monitor" ein Prozess ist, der "EnableAutodail" dauernd einschalten will
und dieser Prozess im "Process Explorer" nicht aufscheint und er auch noch von System32 kommt
(im Registry Monitor rechte Maustaste und "Prozess Properties"), dann ist das Ding schon heiß.
Wenn Ihr nun in System32 das File nicht findet, dann ist es garantiert ein weiteres nettes Spielzeug
auf Eurem PC. Daher nochmal Schritte 1 bis 3 machen.

Es müssen nur noch alle Dateien und Registry-Einträge etc. gelöscht werden.
Es sind folgende (Auflistung von Nicolas, Bemerkungen von Heinz):

– Die folgenden Dateien:
• m_hook.sys (bei mir aber nicht mehr da, da Ordner hidires gelöscht)
• hidr.exe (bei mir aber nicht mehr da, da Ordner hidires gelöscht)
• hidn2.exe (nicht gefunden)
• wintems.exe (in ...\System32\, umbenannt in wintems.exe.ren)
• hldrrr.exe (in ...\System32\, umbenannt in hldrrr.exe.ren)
• ldr64.dll (nicht gefunden)

– Die folgenden Prozesse:
• hidr.exe (bei mir nicht (mehr) aktiv)
• hidn2.exe (bei mir nicht (mehr) aktiv)
• flec006.exe
• wintems.exe (schon vorher gekillt)
• hldrrr.exe (schon vorher gekillt)
• mdelk.exe

– Die folgenden Registryschlüssel:
• nkeyjej1 (nicht gefunden)
• nkeyjej2 (nicht gefunden)

– Die folgende Registrywerte:
• german.exe
• drvsyskit
• hldrrr
• mule_st_key
• drv_st_key
• key000s04
• key000s05

– Die folgenden Verzeichnisse:
• shared
• hidn
• hidires


Nach einem Neustart unbedingt noch einmal Ashampoo drüber laufen lassen und das System weiter im Auge
behalten. Weil wirklich sicher ist nur eine Neuinstallation.

Ich würde einen ordentlichen Virenscan noch machen.
Ach ja, die neueste Version dieses Dings wurde nur von Kaspersky erkannt (wenn er das file online scannte).
Im Arbeitsspeicher hat er es auch nicht gefunden.


Also ich trinke sicher ein Bier auf Nicolas, danke schön Nicolas!


Softwarelinks:
http://software-portal.faz.net/ie/47508/F-Secure_BlackLight_Rootkit_Eliminator
http://software-portal.faz.net/ie/40696/Unlocker
http://software-portal.faz.net/ie/49129/Ashampoo_AntiSpyWare
http://www.zdnet.de/downloads/prg/d/k/de00DK-wc.html
http://www.zdnet.de/downloads/prg/0/5/de10223605-wc.html

Alt 08.02.2007, 01:07   #10
Nube2021
 
TR/Rkit.Bagle.GL - Standard

Vielen vielen Dank


Tausend Dank, das hat doch tatsächlich funktioniert, wer hätte das noch gedacht. Es war zwar etwas aufwändig, doch allemal besser als eine Neuinstallation.

So, nun trinke ich auch ein Bier auf den Nicolas, oder auch zwei, oder auch drei ;-) Und natürlich auch heinz_tro nicht zu vergessen


Ciao
Nube

PS: Hab mich hier nur registriert um meinen Dank auszusprechen.

Antwort

Themen zu TR/Rkit.Bagle.GL
antivir, application, avira, bho, browser, cyberlink, defender, desktop, einstellungen, entfernen, excel, firefox, fraud, hijack, hijackthis, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, pc tools spyware doctor, server, smitfraud, spyware, system, trojaner, unknown file in winsock lsp, urlsearchhook, windows, windows xp


« Brauche dringend Hilfe! | Mein Rechner als Spam Server... und nach Neuinstall immernoch »


Ähnliche Themen: TR/Rkit.Bagle.GL


  1. GUV Trojaner ... RKIT usw.
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (12)
  2. RKIT/Agent.AW
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (1)
  3. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  4. RKIT.DVD.settec.DLL
    Plagegeister aller Art und deren Bekämpfung - 03.12.2008 (2)
  5. W32/Bagle.gen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2008 (8)
  6. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  7. RKIT/Agent.WK
    Plagegeister aller Art und deren Bekämpfung - 21.02.2008 (1)
  8. Bagle.dk
    Mülltonne - 21.09.2007 (1)
  9. TR/Bagle.Gen.B
    Plagegeister aller Art und deren Bekämpfung - 04.09.2007 (11)
  10. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)
  11. Trojaner eingefangen: TR/Rkit.Bagle.GL - Hilfeee..
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (7)
  12. TR/RKit.Nuclear.0.B
    Plagegeister aller Art und deren Bekämpfung - 23.12.2006 (11)
  13. w32 bagle auf mac
    Antiviren-, Firewall- und andere Schutzprogramme - 16.09.2005 (6)
  14. TR/RKit.Agent.Q
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (9)
  15. TR/Bagle.al
    Log-Analyse und Auswertung - 16.04.2005 (7)
  16. bagle.bb
    Log-Analyse und Auswertung - 12.03.2005 (1)
  17. Bagle.AA.HTA
    Plagegeister aller Art und deren Bekämpfung - 06.12.2004 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Rkit.Bagle.GL - Servuz! Nun bin ich schon seit stunden auf der Suche nach einer Anleitung um diesen beschißenen Trojaner TR/Rkit.Bagle.GL zu entfernen!Hab schon einiges versucht! Leider auch das Marc's Generic Smitfraud Remover - TR/Rkit.Bagle.GL...
Archiv
Du betrachtest: TR/Rkit.Bagle.GL auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130