Zitat:

Zitat von Ceembe

a) Warum hat mein Vierenscanner Norten AV 2008 den Bagle nicht entdeckt,

Dein Virenscanner ist nicht gerade der mit der besten Erkennung, kein Virenscanner kann alles erkennen, eine Menge Spezialisten beschäftigen isch damit, die Malware so zu verändern, dass sie von den Scannern nicht erkannt wird. Ist sie dann in der Erkennung angekommen, haben sie bereits die nächste Generation fertig.

Zitat:

ich habe die Datei aus Sicherheitsgründen sogar vorher manuell gescannt?

Welche Datei? Und woher?

Zitat:

b) Wieso hat Norton AV auf einem nachträglich installierten System voll
upgedatet die Infektion des anderen Win XP Pro SP2 ebenfalls nicht erkannt?

Siehe oben. Und wer weiß, vielleicht hat Bagle das System auch schon erobert. Bagle versteckt sich mit einem Rootkit.

Zitat:

c) Muss ich echt alles *.exe löschen? - werden auch noch andere formate infiziert???

Bagle manipuliert EXE-Dateien, ob alle oder nur bestimmte und wie ist mir nicht bekannt. Sicher ist nur, sie alle zu löschen. Programme müssen sowieso neu installiert werden, das neue Windows kennt sie sonst nicht. Andere Formate: Weiß ich nicht, zumindest die üblichen Formate, in denen EXE-Dateien verpackt werden können (wie ZIP, RAR) sind auch sehr verdächtig. Ich habe schon diverse Bagles gesehen, die in solchen Dateien steckten.

Zitat:

d) Warum gibts keinen "echten" Remover???

Die eigentlichen Bagle-Dateien zu killen ist ganz einfach. Das Problem sind die schäden, die Bagle am Betriebssystem anrichtet und die sind gerade bei Bagle sehr extrem. Da ist ein allgemeiner Remover einfach unmöglich, jeder Fall ist ein Einzelfall. Vor ein paar Tagen hat jemand in einem anderen Forum auf einen Bagle-Fall hin einen Link gepostet auf eine Kaspersky-Seite mit speziellen Removern gegen alle möglichen Seuchen. Sinnigerweise konnte man dieser Removerliste auch entnehmen, dass Kaspersky im Herbst 2006 aufgehärt hat solche Tools zu entwickeln, wird einen Grund haben. Die Remover gegen die Bagle-Versionen von 2005 und 2006 sind jetzt wirkungslos, die dmaligen Versionen waren noch relativ harmlos.

Die Lösung ist viel einfacher: Bagle garnicht erst installieren, niemals Software aus P2P laden. Soweit ich nämlich bisher Ursachenforschung treiben konnte, war es eigentlich immer das Bedürfnis, eine von dort geladene Software zu nutzen.

KarlKarl, großese LOB an dich, du scheust keine Mühen dein Wissen
weiter zu geben, finde ich super, es sollte mehr wie dich in Foren geben!
So kann man wenigstens was dazu lernen!


jetzt muss ich nur noch drei dinge klären, bitte verstehe dass ich

Du sagtest das entfernen wäre kein problem, verrat mir bitte wie ich das tue
auch wenn es vllt ein sinnloses unterfangen ist will ich es versuchen...

wie kann ich -alle- infizierten dateien identifizieren, und wie identifiziere ich den genauen Bagle den ich habe, es gibt ja so viele?

nochmals vielen dank!

Auf jeden Fall würde es funktionieren, die Platte in einen anderen Rechner einzubauen. Da dort das Rootkit dann nicht aktiv ist, liegen die Dateien dann ungeschützt.

Ich betone aber nochmal, dass das nur Zeitverschwendung ist, dieses System ist Schrott. Außerdem bedaure ich, die Möglichkeit erwähnt zu haben, denn mir ist schon klar, dass eine absolut unsichere Kiste mehr in Zukunft das Internet gefährden wird.

Eine genaue Identifikation kannst Du vergessen, die Dateien werden andauernd verändert, man macht sich nicht mehr die Mühe, jeden Subtypus mit einer genauen Bezeichnung zu versehen. Die Hersteller der Virenscanner gehen immer mehr dazu über, generische Erkennungen zu nutzen, die möglichst viele Varianten erfassen, damit aber auch allen die gleiche Bezeichnung verpassen. Es gibt auch Malware, bei der jede Einzelinfektion ein neuer Typus ist, da sie sich jedesmal selbst verändert.

so eine jammer.
mach dir keine sorgen, es wird keine weitere unsichere kiste mehr geben, war meine ohnehin nicht, der bagle war reines eigenverschulden, hab von nem freund ein programm bekommen mit dem man icons aus pngs erstellen kann. und damit war wohl das schicksal besiegelt, zu meiner verwunderung ist sein sytem in ordnung, ist das vista das ich erwähnte, weshalb ich ihm auch keinen vorwurf machen kann, was er mir schickte war ein gepackter ordner wie er unter programme ist, dort hin hab ich ihn dann getan und ausgelöst, und somit hat der spuk wohl begonnen.

ich dachte immer mir würde soetwas nicht passieren, da ich mich bis jetzt auch immer an verhaltensweisen wie sie hier beschrieben werden gehalten habe sehr überheblich soetwas zu denken, aber mir wird auch erst jetzt das ausmaß der bedrohung für ein laufendes system welches durch diese art malware infiziert wird bewusst.

vielen dank nochmal für deine hilfe.
es geht mir nicht mehr um das system wie du vielleicht denkst, sondern nur um den inhalt meiner partitionen, einzelne dateien, archive dokumente die ich geschäftlich benötige und von denen ich leider, was ich auch ändern werde, keine sicherung habe. meine nächste investition wird wohl ein sicherungslaufwerk sein. darum auch der wunsch herauszufinden welche dateien infiziert wurden, um eben den rest zu löschen und zumindest noch einen teil meiner daten zu behalten.

Reine Datendateien wie Office-Dokumente, MP3s, Bilder sind recht unkritisch. In Office-Dokumenten können zwar Makros eingebettet sein, die auch schädlich sein können, aber da denke ich in diesem Fall nicht dran. Generell ist es natürlich eine sehr gute Idee, die Datensicherung vor dem Zurückspielen vom neuen System aus gründlich zu scannen, am besten mit mehreren Scannern.

Ein externes Sicherungsmedium brauchst du sopwieso, keine Festplatte hält ewig und nach ihrem Tod kostet die Rettung der Daten schnell den Preis eines oder mehrerer Highend-PCs. Bei extrem wichtigen Daten würde ich sogar mehrere Sicherungsmedien empfehlen, die getrennt gelagert werden. Dann geht auch nach einem Zimmerbrand wenigstens dieser Teil der Welt nicht unter.