Die Logs vom 13. März zeigen keinerlei auffälligkeiten, doch einen Tag später tritt finden meine Viren-Scanner einige Viren, Trojanern, darunter der W32/Bagle.lg

Das system macht zwar wieder was es sollte, mit 4GB USB-Stick kann ich jetzt auch starten, nur Installieren kann ich wenige wichtige Programme immer noch nicht


--------------------------------

hijackthis
F-Secure Blacklight
Spybot SD
Windows-Tool z. entf. bösart. Software
Gmer
melden nichts.


--------------------------------

Sophos Antirootkit:

Zitat:

Unknown hidden file / TMP0000002F65E9D99ABBC3769D

F-Secure:

Zitat:

Scan-Bericht
Freitag, 14. März 2008 16:44:50 - 17:34:59

Computername: UNREAL
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ D:\ E:\ F:\ G:\ + System + Rootkits
Ergebnis: 3 Malware gefunden
Trojan-Downloader.Win32.Bagle.lg (Virus)

* D:\Dokumente und Einstellungen\En`forcer\Desktop\scan.rar\Spybot - Search & Destroy\TeaTimer.exe
* D:\Dokumente und Einstellungen\En`forcer\Desktop\scan.rar
* E:\RECYCLER\S-1-5-21-1214440339-1659004503-839522115-1004\De25.exe Aktion: umbenannt

Statistiken
Gescannt:

* Dateien: 140609
* Nicht gescannt: 22

Ergebnis:

* Viren: 3
* Spyware: 0
* Verdächtige Elemente: 0
* Riskware: 0

Aktionen:

* Desinfiziert: 0
* Umbenannt: 1
* Gelöscht: 0
* In Quarantäne: 0
* Fehlgeschl.: 0

Boot-Sektoren:

* Gescannt: 1
* Infiziert: 0
* Verdächtige Elemente: 0
* Desinfiziert: 0

Dateien, nicht gescannt:

* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\PAGEFILE.SYS
* Datei im Archiv D:\WINDOWS\SYSTEM32\WBEM\WMITIMEP.DLL kann nicht geöffnet werden.
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\LOKALE EINSTELLUNGEN\TEMP\SMKJKN.EXE
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\ba0001.rar wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv sonst/Diag504cCD.iso kann nicht geöffnet werden.
* Datei im Archiv D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\ba0001.exe kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\OpenOffice.org_Portable.exe wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\myp_maya85ple_en_win.exe kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv 3D Online Pool\Game\3D Live Pool\game.dat kann nicht geöffnet werden.
* Datei im Archiv 3D Online Pool\Game\Pool 2D\game.dat kann nicht geöffnet werden.
* Datei im Archiv sonst/Diag504cCD.iso kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\WAR-Gatebridge.ut3.jpg wurde abgebrochen. [F-Secure AVP]
* Kein Lesezugriff auf Datei D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_47da8307\engine\avewin32.dll.gz\avewin32.dll. [F-Secure Libra]
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

Optionen
Version der Definitionen:

* Viren: 2008-03-14_05
* Spyware: 2008-03-14_04

Scan-Module:

* F-Secure AVP: 7.00.171, 2008-03-14
* F-Secure Libra: 2.04.01, 2008-03-13
* F-Secure Orion: 1.02.37, 2008-03-14
* F-Secure Draco: 1.00.35, 2008-02-13
* F-Secure BlackLight: 1.00.64

Scan-Optionen:

* Definierte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
* Archive scannen

Aktionen:

* Viren: Nach Scannen fragen
* Spyware: Nach Scannen fragen

Fehlerinformationen
Fehler "Datei kann nicht geöffnet werden" aufgetreten:
Die Fehlermeldung "Datei kann nicht geöffnet werden" bedeutet, dass der Scanner eine Datei nicht öffnen konnte und diese nicht gescannt wurde. Sie können diese Fehlermeldung gewöhnlich ignorieren, da es viele Gründe dafür geben kann, die keine Sicherheitsbedrohung darstellen:

* Die Datei war eine Systemdatei. Systemdateien sind standardmäßig durch das Betriebssystem geschützt. In diesem Fall können Sie die Meldung ignorieren.
* Sie haben keine Berechtigung, die Datei zu lesen. Melden Sie sich bei einem Benutzerkonto mit entsprechenden Berechtigungen an (beispielsweise bei dem Administratorkonto des Computers) und führen Sie den Scan erneut aus.
* Die Datei wurde von einer Anwendung verwendet, als der Scan durchgeführt wurde. Schließen Sie alle Anwendungen und versuchen Sie es erneut, um diese Datei zu scannen.

Anivir:

Zitat:

HEUR/Malware / switchlayout.zip

habe alle Dateien gereinigt oder in Quarantäne gestellt (soweit möglich)

Und nun?

http://www.trojaner-board.de/50401-p...irentools.html

Ich habe mich zum Neuaufsetzen meines systems entschieden und nun ist er wieder da, wie werde ich den jetzt endgültig los, weil mein antivirenprogramm den erkannt hat aber nicht entfernen konnte. Dann müsste bald wieder alles von vorne los gehen

und was soll ich jetzt machen?

ach ja mein system:

sysProfile: ID: 58355 - En`forcer

im f-secure log steht alles drinnen
die anderen probleme konnte ich alle beheben
bei fragen bitte posten

Zitat:

Ich habe mich zum Neuaufsetzen meines systems entschieden und nun ist er wieder da

Systempartition nicht formatiert? Unsaubere ausführbare Dateien zurückgespielt?

Zitat:

wie werde ich den jetzt endgültig los

Bagle ist so zerstörerisch und greift so tief ins System ein, dass es nur so geht:http://www.trojaner-board.de/12154-a...sicherung.html

In diesem fall trifft das Neuaufsetzen noch nicht zu, da mein system noch nicht boykottiert wurde, das sind nur trojaner.downloader also wenn ich glück hab, bekomm ich die noch weg oder sie können sich nicht ausführen, also fällt ein neumaliges Neuaufsetzen weg.

Ich habe alle Partitionen formatiert, absolut alles
Und hab dann alles neu, aus höchstwarscheinlich sicheren daten aufgesetzt.

Der teatimer.exe und die scan.zip müssten im nachhinein infiziert worden sein (spybot serch & destroy), da diese aus einer sicheren Datensammlung, weit vor der Infektion stammen.

Die 3. Datei De25.exe ist mir unbekannt, konnte auch nur umbenannt werden.

Ich hab das system mehr als ordnungsgemäs aufgesetzt, wie im Threat beschrieben abgesehen von den Images, die ich nicht gemacht habe.

Zitat:

Zitat von En`forcer

In diesem fall trifft das Neuaufsetzen noch nicht zu, da mein system noch nicht boykottiert wurde, das sind nur trojaner.downloader also wenn ich glück hab, bekomm ich die noch weg oder sie können sich nicht ausführen, also fällt ein neumaliges Neuaufsetzen weg.

Bagle in seinen ungezählten Varianten wird zwar von AV-Programmen auch als "Downloader" klassifiziert. Das heißt aber nicht, dass er nicht auch Backdoor-Funktionen mitbringt und/oder Rootkit-Techniken nutzt, die dein System kompromittieren.

Die Frage ist, wo wurde er jetzt gefunden und wurde er wieder aktiv oder nicht. Aus dem F-Secure-Logfile werde ich diesbezüglich nicht schlau.
(Wo steckt denn der Bagle jetzt? In der teatimer.exe? Die kann doch angeblich nicht geöffnet werden!)

Zitat:

Ich habe alle Partitionen formatiert, absolut alles
Und hab dann alles neu, aus höchstwarscheinlich sicheren daten aufgesetzt.

Ausführbare Dateien von einem kompromittierten System "mitzunehmen" ist nicht "sicher". Wenn du sagst "höchstwahrscheinlich sicher", dann bleibt ein Restrisiko, das von außen nicht eingeschätzt werden kann.

Zitat:

Das system macht zwar wieder was es sollte, mit 4GB USB-Stick kann ich jetzt auch starten, nur Installieren kann ich wenige wichtige Programme immer noch nicht

Und wirklich rund scheint dein Rechner ja immer noch nicht zu laufen.

Zitat:

Der teatimer.exe und die scan.zip müssten im nachhinein infiziert worden sein (spybot serch & destroy), da diese aus einer sicheren Datensammlung, weit vor der Infektion stammen.

Waren sie denn ursprünglich aus einer sicheren Quelle heruntergeladen worden?

Was du machen kannst: Alle nicht mehr benötigten Archive löschen, ebenso Papierkorb und temporäre Dateien. Der Ccleaner leistet dabei gute Dienste (aber ohne Toolbar installieren). Danach ein Escan, und das mit Hilfe der find.bat produzierte Logfile posten. Im Anleitungsforum gibt's dazu eine aktualisierte Anleitung.

Also, ja ich habe die zip datei einfach gelöscht, da ich diese jetzt eh nicht mehr benötige, hab mir Spybot SD von der Chipseite runtergeladen.

Habe alle dateien gelöscht, gescant, doch die Teatimer.exe vergessen aus dem Papierkorb zu nehmen, habe diese sicher mit CCCleaner entfernt und werde dann vom system meinen freien Speicher komplett löschen, dann kann man sich sicher sein, das er nicht mehr herunterladen kann

Hoffentlich wurde dann mein PC nicht infiziert.

Andernfalls erneutes aufsetzen und ich fang jetzt schon an mit Datenrücksicherung. Für den Fall, das ich sie nochmal brauche oder schon veränderte daten vom letzten backup auf meinem PC sind.

Lasse jetzt nocheinmal von F-Secure und Antivir meinen PC durchkämmen.
Dann nochmal mit Rootkitsoftware alle files und Prozesses so wie unsichtbare.
Sollten keine Probleme auftreten, wars das erstmal oder besser wäre für eine lange Zeit.

Ach ja mit meinem Surfverhalten hab ich noch nie Probleme gehabt, da ich mich ausreichend schütze und ich verwende immer Noscript und so.

Hab eigentich einen sicheren PC, aber gegen sowas kann man sich net wehren.

Das müsste erst mal reichen, danke für die hilfe.