Hallöchen,


aller wahrscheinlichkeit habe ich mir, nach eigener internetrecherche, auf meinem Rechner den win32.bagle.cu virus eingefangen. nun weiß ich nicht weiter, habe mir folgende programme runtergeladen:
gmer
fsbl
Rootkid revealer

Bin damit jetzt komplett überfordert und weiß nicht, wie es weitergehen soll.
Kann mir vielleicht jemand helfen ?
Vielen Dank im Voraus,
Clara

Lad dir erstmal Das Programm HijackThis auf den Rechner:

http://www.trojaner-board.de/17493-a...ijackthis.html
und benenne die Datei in This.exe um,
Hijackthis muss einen Eigene Ordner haben.

Führe bitte auch Blcklight ("fsbl" in deinem Posting) aus und poste das Logfile, zu finden i.d.R. unter c:\fsbl*****.log

Wenn es wirklich Bagle ist, sollte Blacklight ihn finden; zuverlässig entfernen lässt er sich aber leider nicht.

Übrigens: Wie kommst du darauf, dass es Bagle ist?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:11:48, on 10.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.claras-world.de/discl.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [wait4ip] c:\net2plug\tools\wait4IP.exe
O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [Automatisch EPSON Stylus Photo RX420 Series auf MM-D8K1Y6P5FB0P] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P63 "Automatisch EPSON Stylus Photo RX420 Series auf MM-D8K1Y6P5FB0P" /O26 "\\MM-D8K1Y6P5FB0P\Drucker2" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: o4mdl - http://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126137472671
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\swdsvc.exe (file missing)

--
End of file - 5785 bytes

Ich komme darauf, dass es der win32.bagel.cu ist, weil mein rechner nach dem starten immer eine internetverbindung mit cortinasdoncarlos.com.ar aufbauen will, ich aber niemals auf dieser Seite war...zudem sind mein virenscanner und einige andere Funktionen eingeschränkt bzw. gelöscht.
diesen sachverhalt habe ich mal gegoogelt und bin auf den genannten virus gestoßen...da ich aber totaler laie bin, habe ich keine ahnung, ob das stimmt, geschweige denn, was ich nun tun soll. jetzt ist auch noch meine maus ausgefallen und ich muss mich mit mir unbekannten tastenkombis hier durchs netz schleppen;-(

Hallo

Fixe mit HJT folgende einträge

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
und
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
         

01/10/08 07:58:00 [Info]: BlackLight Engine 1.0.67 initialized
01/10/08 07:58:00 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/10/08 07:58:01 [Note]: 7019 4
01/10/08 07:58:01 [Note]: 7005 0
01/10/08 08:09:08 [Note]: 7006 0
01/10/08 08:09:08 [Note]: 7011 1320
01/10/08 08:09:08 [Note]: 7026 0
01/10/08 08:09:09 [Note]: 7026 0
01/10/08 08:09:09 [Note]: 7024 3
01/10/08 08:09:09 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/10/08 08:09:22 [Note]: FSRAW library version 1.7.1024
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/10/08 08:11:46 [Note]: 10002 3
01/10/08 08:11:46 [Note]: 10002 2
01/10/08 08:11:46 [Note]: 10002 2
01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\EPCCNV00.DLL
01/10/08 08:12:00 [Note]: 10002 3
01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\EPCCNV01.DLL
01/10/08 08:12:00 [Note]: 10002 3
01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\epccnv02.dll
01/10/08 08:12:00 [Note]: 10002 3
01/10/08 08:12:00 [Note]: 10002 2
01/10/08 08:12:00 [Note]: 10002 2
01/10/08 08:18:45 [Note]: 10002 2
01/10/08 08:18:45 [Note]: 10002 2
01/10/08 08:20:28 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/10/08 08:20:28 [Note]: 10002 2
01/10/08 08:20:28 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/10/08 08:20:28 [Note]: 10002 2
01/10/08 08:22:29 [Note]: 2000 1012
01/10/08 08:53:48 [Note]: 7007 0

Hallöchen, vielen dank,
soll ich das jetzt gleich machen oder erst nach einem Systemstart?
Ist es denn dieser wurm?
Was mache ich mit diesem logeintrag von fsbl?

Hallo
Starte erstmal neu
und dann:
Lass die Datei c:\WINDOWS\system32\drivers\srosa.sys
-Hier: VirusTotal
Oder
-Hier: Online Malware scan
überprüfen.
Poste das Ergebnis.

Hier ein Paar Details über den Trojaner

Leider kann ich die datei nicht finden, der ordner drivers fehlt in meinem system32 ordner
Und nun ?
Soll ich dann erstmal mit dem fixen der zwei sachen anfangen?

Fixe erstmal diese Einträge
und dann mach am besten mal alle versteckten
Dateien und Ordner sichtbar unter Extras>Ordneroptionen>Reiter Ansicht>
und da bei versteckte Dateien und Ordner den Haken Vor
"Alle Dateien und Ordner anzeigen setzen. Such dann nochmal nach der Datei.

-> SilverDragon, was soll das bringen?

-> clarasworld, Sorry aber für dich bleibt nur das: http://www.trojaner-board.de/12154-a...sicherung.html

Zitat:

Zitat von clarasworld

Leider kann ich die datei nicht finden, der ordner drivers fehlt in meinem system32 ordner
Und nun ?
Soll ich dann erstmal mit dem fixen der zwei sachen anfangen?

Ob wir dein System noch retten können ist die eine Seite, aber bitte erst mal garnichts fixen, sondern das hier abarbeiten:



SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• (Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.
  Kostenloses, sehr gutes Zip Programm: Free IZArc

NEW CureIt!
(FREE Dr.Web CureIt!)

• Lies nun zuerst unsere deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Egal was ich mache, in den abgesicherten Modus komm ich einfach nicht rein,immer wenn ich wähle Abgesicherter Modus
dann startet er neu. Bin nun wieder im normalen windows

Zitat:

Zitat von clarasworld

Egal was ich mache, in den abgesicherten Modus komm ich einfach nicht rein,immer wenn ich wähle Abgesicherter Modus
dann startet er neu. Bin nun wieder im normalen windows

Das kommt vom Bagle. Installier den Rechner lieber neu, alles andere macht hier eh wenig Sinn.