Hallo,
mein System mach seit gestern komische Sachen. Ich bemerkte, dass Nod32 nicht mehr lief, weshalb ich es von Hand starten wollte. Darauf hin bekam ich die Meldung:

n0d32kui.exe ist keine zulässige Win32-Anwendung.

Dann habe ich Sophos Rootkit runter geladen und installiert. Beim Start bekam ich die Meldung, daß helper.exe keine gültige Win32-Anwendung sei.
Danach habe ich Knoppicillin gestartet und unter F-Secure und Kaspersky die Meldung erhalten, daß 61 infizierte Files gefunden und gelöscht wurden.
Danach lies sich Nod32 immer noch nicht starten, die gleiche Fehlermeldung. Den Wiederherstellungspunkt habe ich um Woche zurück versetzt, hat auch nichts gebracht. Was auch sehr eigenartig ist, daß seitdem bei meiner Fritzbox 7170 die InfoLED dauernd blinkt, es aber keine Anrufe auf dem AB sind und beim Abhören des AB's die Box beginnt die letzte Nummer neu zu wählen.
Nun bin ich mit meinem Latein am Ende. Ich habe HijackThis laufen lassen und gebe mal untenstehend das Logfile aus.
OS ist WinXP SP2, alle Updates.
Vielleicht findet jemand im Log was mich quält.
Gruß,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:01:37, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\jetNT\jsdaemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
c:\sharebox\NetDrive\wdService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\ClipMate7\ClipMate.exe
C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Sharebox\Outlock.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program files\Duden\Duden Korrektor\DKCore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\sharebox\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Sharebox\SPYBOT~1\SDHelper.dll
O2 - BHO: Powermarks - {6172E460-FAE3-11D2-B494-004005A47AAA} - C:\Sharebox\POWERM~1\iec.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Sharebox\Preispiraten\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Sharebox\Preispiraten\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: Powermarks - {E166B4A2-83E7-11D3-B4FD-004005A47AAA} - C:\Sharebox\POWERM~1\iec.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Babylon Client] C:\Program files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipMate7] C:\Program Files\ClipMate7\ClipMate.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Outlock.lnk = C:\Sharebox\Outlock.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Sharebox\\Preispiraten\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: address pick-up: Übernehmen in combit address manager (crm.dbf) - C:\Dokumente und Einstellungen\membro\Lokale Einstellungen\Anwendungsdaten\combit\address pick-up\cmbtar1.htm
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Sharebox\Preispiraten\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Sharebox\Preispiraten\preispiraten2.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://officebeta.iponet.net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123004358669
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123420117821
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\shareware\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AutoExNT - Unknown owner - C:\WINDOWS\system32\AutoExNT.Exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetNT\jsdaemon.exe
O23 - Service: Monitor (1280,48155) (Monitor ) - Unknown owner - C:\Program Files\Monitor Service\NM.EXE (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Sharebox\Sandra\RpcDataSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - c:\sharebox\NetDrive\wdService.exe

--
End of file - 10957 bytes

Hi,

Bagle. Dass die beiden O4-Einträge sichtbar sind, deutet zwar an, dass das Rootkit eventuell nicht mehr aktiv ist (vielleicht durch den Scan von Linux aus), vermutlich ist aber auch dein System so schwer beschädigt, dass eine Neuinstallation die angemessene Anwort ist. Kannst ja z.B. mal testen, wie (und ob) das System in den abgesicherten Modus startet.

Btw: Beziehst Du Software aus Fielsharing, P2P, Emule, Torrent usw? Bisher war das die übliche Ursache in den Fällen, wo sie zu ermitteln war.

Gruß, Karl

Hi Karl,
wie ich sehe ist das doch ein sehr alter Wurm. Ich verstehe nicht, dass Nod32 nicht Alarm geschlagen hat.
Im abgesicherten Modus startet Windows nicht.
Ist der Wurm nicht irgendwie heraus zu operieren?
Gruß,
membro

Den Namen Bagle gibt es schon lange, aber das Teil wird regelmäßig umprogrammiert und dabei wird daraufgeachtet, dass die Scanner ihn erstmal nicht mehr erkennen. Da erfinden die Hersteller der Scanner nicht jedesmal einen neuen Namen.

Die eigentlichen Wurm-Dateien ließen sich löschen, aber gerade Bagle ist dafür bekannt, dass er das Betriebssystem sehr schwer schädigt. Probier doch mal einen Start in den abgesicherten Modus (aber nur mit F8, wenn es nicht geht, wovon ich stark ausgehe, es nicht mit Tricks über msconfig probieren). Ich hab jetzt schon diverse Fälle erlebt, in denen es probiert wurde. Dazu gehören dann als Minimum diverse weitere Kontrollscans, das alleine dauert schon länger als das System eben neu zu installieren. Meistens wurden dennoch so viele Probleme mit dem System festgestellt, dass dann doch Neuinstallieren angesagt war. In der Summe viel verschwendete Zeit und Nerven.

Das seltsame Verhalten der Fritzbox heißt bestimmt auch nichts gutes. Da Bagle auch einen Backdoorserver enthält, muss man davon ausgehen, dass der Wurm nach hause telefoniert um sich weitere Anweisungen zu holen. Vermutlich wird dir gerade auf die Finger gesehen, was Du an dem Rechner machst.

Ich habe mit etwas Glück die neueste Kaspersky Trial Version zum Laufen bekommen. Habe einen kompletten Scan durchlaufen lassen. Kaspersky hat noch einiges gefunden. Diese Nacht lasse ich ich Kaspersy nochmal durchscannen.
Für alle Fälle habe ich noch eine zwei Monate alte Acronis Image Sicherung von LW C.
Da ich die Programmparameter und Daten auf LW D habe, wäre das Rücksetzen kein großer Beinbruch. Ich müßte wahrscheinlich nur ein paar Programme nachinstallieren.
Inzwischen weis ich auch wie ich mir den Bagle eingefangen habe. Ich hatte eine Datei mit dem Esel runtergeladen, die hatte ihn. Bisher wurden alle Dateien, die ich downloadete automatisch von Nod32 geprüft. Deshalb staune ich nicht schlecht, dass dieser Wurm durchgerutscht ist.
Werde das nun so umstellen, dass alle Download von Kaspersky geprüft werden. Werde Kaspersky wohl abonnieren.
Gruß,
membro

Zitat:

Zitat von membro

Für alle Fälle habe ich noch eine zwei Monate alte Acronis Image Sicherung von LW C.
Da ich die Programmparameter und Daten auf LW D habe, wäre das Rücksetzen kein großer Beinbruch. Ich müßte wahrscheinlich nur ein paar Programme nachinstallieren.

Umso besser.

Zitat:

Inzwischen weis ich auch wie ich mir den Bagle eingefangen habe. Ich hatte eine Datei mit dem Esel runtergeladen, die hatte ihn.

Ja, das ist der derzeit übliche Weg. Auf allen Systemen, wo ich Ursachenforschung treiben konnte, hat sich das als Ursache gefunden.

Zitat:

Bisher wurden alle Dateien, die ich downloadete automatisch von Nod32 geprüft. Deshalb staune ich nicht schlecht, dass dieser Wurm durchgerutscht ist.
Werde das nun so umstellen, dass alle Download von Kaspersky geprüft werden. Werde Kaspersky wohl abonnieren.

Da wird dir das irgendwann wieder passieren. Es sind eine Menge schlaue Köpfe damit beschäftigt, Schädling so zu programmieren/ zu verändern, dass sie von allen relevanten Virenscannern nicht erkannt werden. Werden sie dann erkannt, haben sie bereits eine neue Kreation bereit. Wenn Du auf Umsonst-Software stehst: Wie wäre es damit? Die darfst Du weiter kopieren und fast alle Malware funktioniert dort auch nicht.

Ich habe mich vor ein paar Wochen sehr intensiv mit Linux, speziell mit Ubuntu, beschäftigt. Dabei bin ich zu dem Ergebnis gekommen, daß man im professionellen Bereich bei Windows besser aufgehoben ist.
Man kann zwar in der Linuxwelt fast alles finden, was es in der Windowswelt auch gibt aber irgendwie sind diese Programme vom Handling her krank.
So gibt es vom Denkansatz her ein Programm, das als Gegenstück zu Outlook gedacht ist, ich komme jetzt nicht auf den Namen, die Company ist von Novell gekauft worden, ist auch ein Mailreader integriert. Damit habe ich mich 14 Tage auseinander gesetzt. Aber das Programm kann noch nicht einmal eine Outlook-Datei importieren. Und dahinter steht Novell. Das sagt doch alles. Und im Office-Bereich trennen bzgl. Qualität OO und M$-Office doch Welten. Ich denke an die Rechtschreibprüfung oder Excel und der Präsentationsbereich. Ach, jetzt fällt mir der Name des Programms ein - Evolution -. So ein krankes Ding und das von Novell, na ich weis nicht?
Also, für einen 17jährigen Gymnasiasten, der sich auch noch ein bischen mit Programmierung beschäftigt, ist Linux genau das Richtige. Im rauhen Geschäftsalltag kommt man wohl nicht um Windows rum.
Und mit Vista wird das im Virenbereich auch langsam besser.
Gruß,
membro