Hallo zusammen,

nach vielem Googlen, hier im Board lesen, Virenscanner downloaden, hjt logs auswerten und sonstigen Versuchen wieder ein reines Gewissen zu bekommen möchte ich mich jetzt doch mal an euch wenden

Angefangen hat alles vorgestern als ich dummerweise eine exe Datei geöffnet habe, die wie ich im Nachhinein feststellte den Bagle Trojaner enthalten hat, und trotz AVG (uptodate) ausgeführt wurde.

Das irgendwas nicht stimmt habe ich dadurch bemerkt, dass meine Sygate Firewall und der AVG Virenscanner plötzlich beendet waren und auch nach einem neustart nichtmehr mitstarteten. Ab da hab ich erstmal meinem Router erklärt, dass der Rechner nichtmehr ins Netz darf, sämtliche weitere Recherche und Downloads (auch das Tippen dieses Beitrags) tätige ich jetzt von einem anderen Rechner aus.

Ich habe die böse exe mal bei virustotal hochgeladen, da wird folgendes gefunden (auszug):

AntiVir 7.6.0.30 2007.10.26 TR/Dldr.Bagle.fc
Authentium 4.93.8 2007.10.25 -
Avast 4.7.1074.0 2007.10.25 -
AVG 7.5.0.503 2007.10.26 IRC/BackDoor.SdBot3.UIS
BitDefender 7.2 2007.10.26 Trojan.Downloader.Bagle.EE
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.26 -
DrWeb 4.44.0.09170 2007.10.26 Win32.HLLM.Beagle.106

Daher auch meine Recherche in Richtung bagle.

Leider konnte ich mich nun erst heute wieder damit beschäftigen, Status ist momentan folgender:

AVG und Sygate Firewall laufen nach der deinstallation und erneuten installation wieder. Ich trau dem ganzen aber noch nicht ganz.

Ein Komplettscan mit AVG hat eine infizierte Datei im Ordner C:\Windows\exeflf gefunden, die Datei war eine zufallsgenerierte Nummer mit .exe. Auch das lässt nach meiner Recherche auf den Trojaner tippen. Konnte die Exe ohne Probleme löschen. Sonst wurde nichts bösartiges gefunden.

Was leider nicht funktioniert ist das Starten im Abgesicherten Modus, auch dazu habe ich bereits einiges bei Google gefunden was auf einen Trojaner hindeuten könnte, habe aber dafür keine Lösung gefunden.

Ich frage mich nun generell, ob mein System sauber ist oder ob da rootkit mäßig noch viel schlimmeres unter der haube lauert.

Momentan war ich kurz mal online und habe den F-Secure Online Scan angeschmissen, vielleicht sagt der ja noch mehr...

Achja, das HJT Log möchte ich euch auch nicht vorenthalten, diese directx.exe würde mir ja sorgen machen, sie ist aber missing...

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Dann halt nochmal, sorry für die Unannehmlichkeit: habe auch noch eine Korrektur drin: der richtige Ordner ist C:\Windows\exefld und nicht C:\Windows\exeflf Danke nochmal, 2. Versuch

Hallo zusammen,

nach vielem Googlen, hier im Board lesen, Virenscanner downloaden, hjt logs auswerten und sonstigen Versuchen wieder ein reines Gewissen zu bekommen möchte ich mich jetzt doch mal an euch wenden

Angefangen hat alles vorgestern als ich dummerweise eine exe Datei geöffnet habe, die wie ich im Nachhinein feststellte den Bagle Trojaner enthalten hat, und trotz AVG (uptodate) ausgeführt wurde.

Das irgendwas nicht stimmt habe ich dadurch bemerkt, dass meine Sygate Firewall und der AVG Virenscanner plötzlich beendet waren und auch nach einem neustart nichtmehr mitstarteten. Ab da hab ich erstmal meinem Router erklärt, dass der Rechner nichtmehr ins Netz darf, sämtliche weitere Recherche und Downloads (auch das Tippen dieses Beitrags) tätige ich jetzt von einem anderen Rechner aus.

Ich habe die böse exe mal bei virustotal hochgeladen, da wird folgendes gefunden (auszug):

AntiVir 7.6.0.30 2007.10.26 TR/Dldr.Bagle.fc
Authentium 4.93.8 2007.10.25 -
Avast 4.7.1074.0 2007.10.25 -
AVG 7.5.0.503 2007.10.26 IRC/BackDoor.SdBot3.UIS
BitDefender 7.2 2007.10.26 Trojan.Downloader.Bagle.EE
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.26 -
DrWeb 4.44.0.09170 2007.10.26 Win32.HLLM.Beagle.106

Daher auch meine Recherche in Richtung bagle.

Leider konnte ich mich nun erst heute wieder damit beschäftigen, Status ist momentan folgender:

AVG und Sygate Firewall laufen nach der deinstallation und erneuten installation wieder. Ich trau dem ganzen aber noch nicht ganz.

Ein Komplettscan mit AVG hat eine infizierte Datei im Ordner C:\Windows\exefld gefunden, die Datei war eine zufallsgenerierte Nummer mit .exe. Auch das lässt nach meiner Recherche auf den Trojaner tippen. Konnte die Exe ohne Probleme löschen. Sonst wurde nichts bösartiges gefunden.

Was leider nicht funktioniert ist das Starten im Abgesicherten Modus, auch dazu habe ich bereits einiges bei Google gefunden was auf einen Trojaner hindeuten könnte, habe aber dafür keine Lösung gefunden.

Ich frage mich nun generell, ob mein System sauber ist oder ob da rootkit mäßig noch viel schlimmeres unter der haube lauert.

Momentan war ich kurz mal online und habe den F-Secure Online Scan angeschmissen, vielleicht sagt der ja noch mehr...

Achja, das HJT Log möchte ich euch auch nicht vorenthalten, diese directx.exe würde mir ja sorgen machen, sie ist aber missing...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:58, on 26.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\Fast.exe
D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\Program Files\NetLimiter 2 Pro\NLClient.exe
D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
D:\Program Files\Zune\ZuneLauncher.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
D:\PROGRA~1\MI3AA1~1\rapimgr.exe
D:\Program Files\ObjectDock\ObjectDock.exe
D:\Program Files\internet explorer\iexplore.exe
C:\DOCUME~1\MaxMustermann\LOCALS~1\Temp\OnlineScan ner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\MaxMustermann\LOCALS~1\Temp\OnlineScan ner\Anti-Virus\fssm32.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mstsc.exe
D:\PROGRA~1\Grisoft\AVG7\avgw.exe
D:\Program Files\Mozilla Thunderbird\thunderbird.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [Copy Handler] D:\Program Files\Copy Handler\ch.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zune Launcher] "D:\Program Files\Zune\ZuneLauncher.exe"
O4 - HKLM\..\Run: [SfWinStartInfo] D:\Program Files\SFirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] D:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\games\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\games\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsu...?1144447283562
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Program Files\Common Files\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DirectX Service (DirectKajv) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program Files\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - D:\Program Files\TightVNC\WinVNC.exe (file missing)

--
End of file - 9724 bytes


Danke schonmal für alle Tipps wie ich weiter vorgehen könnte oder was ich noch versuchen könnte... Plattmachen kommt nur im Extremfall für mich in Frage, habe jetzt auch erstmal alle Zeit der Welt da Ding zu Scannen und zu bereinigen, da er ja eh nicht ins Netz funkt, ich weiß nur leider nicht mehr welche Programme ich noch laufen lassen könnte... Eine Antivirus BootCD habe ich leider nicht

/e: Ich hoffe ich habe nicht zu konfus getextet, habe gleich einen wichtigen Termin und kann erst später wieder hier reinschauen. Sämtlichen Input werde ich natürlich dann verarbeiten.
Evtl ist dann auch der F-Secure Online Scanner fertig gerattert, dann poste ich euch das Ergebnis.

Halli hallo.

Also der Rechner gehört meiner Meinung nach auf jeden Fall neuaufgesetzt. Bagle tritt seit 2004 in dermaßen vielen verschiedenen Versionen auf die fast alle Backdoorcharakter beitzten.

AVG 7.5.0.503 2007.10.26 IRC/BackDoor.SdBot3.UIS

Da macht eine Bereinigung a) wenig Sinn und ist b) absolut unsicher.

Ok, das heisst, es gibt keine Möglichkeit zu überprüfen ob er noch drauf ist oder nicht?