hallo board,

gerade eben ist mir was blödes passiert, ich hab die falsche datei ausgeführt, welche ich im emule netzwerk bekommen habe, es sollte ein crack sein und als ich ihn (exe datei) ausgeführt habe auf meinem desktop pc bekam ich auch schon einen bluescreen, das system neu hochgefahren ging ohne probleme wieder (VISTA ULTIMATE). Dem system geht es allerdings gut.

ich dachte mir gut, vllt geht das nur unter xp und hab die datei an meinem notebook (winxp sp2) ausgeführt, bekam ebenfalls einen bluescreen und habe nun im taskmanager eine 100%auslastung bei der datei taskmgr.exe
ich kann HijackThis nicht ausführen oder installieren auf meinem notebook und bekomme die fehlermeldung (hijackthis.exe ist keine win32 anwendung)

weiss jetzt nicht mehr weiter...systemwiederherstellung macht er einfach nicht und bevor ich jetzt leider mein system neu installieren muss frag ich lieber euch

hier ist die datei, ich habe sie auf rapidshare hochgeladen *****

es ist mir auch nicht möglich in den abgesicherten modus zu gehen, es kommt sofort ein bluescreen und das notebook startet von neu

was könnt ihr mir raten ?

Hallo

mach bitte deinen Link unkenntlich, nicht das sich noch weitere Leute mit dem Zeuch anstecken...

Lass die Datei bitte hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

ja tut mir leid

hier ist das logfile von meinem desktop pc (vista ulitmate), dort wurde der virus auch ausgeführt

PHP-Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:54, on 27.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\OpenVPN\bin\openvpn-gui-1.0.3.exe
C:\Program Files (x86)\Perfect Privacy SSH Client\ppssh.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files (x86)\Common Files\Realtime Soft\RTSHookInterop\x32\RTSHookInterop.exe
C:\Program Files (x86)\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Program Files (x86)\OpenVPN\bin\openvpn.exe
C:\Program Files (x86)\Opera\Opera.exe
C:\Program Files (x86)\Perfect Privacy SSH Client\plink.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TrueCrypt] C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe
O4 - HKCU\..\Run: [openvpn-gui-1.0.3] C:\Program Files (x86)\OpenVPN\bin\openvpn-gui-1.0.3.exe
O4 - HKCU\..\Run: [Perfect Privacy SSH Client] C:\Program Files (x86)\Perfect Privacy SSH Client\ppssh.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_06\bin\ssv.dll
O13 - Gopher Prefix: 
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVCSer64.exe
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files (x86)\OpenVPN\bin\openvpnserv.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7577 bytes 


edit...um diesen virus handelt es sich

Authentium 5.1.0.4 2008.05.26 W32/Bagle.C.gen!Eldorado
Avast 4.8.1195.0 2008.05.27 Win32:Beagle-AEA
AVG 7.5.0.516 2008.05.27 -
BitDefender 7.2 2008.05.27 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.27 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.05.27 -
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5826 2008.05.27 -
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Bagle.C.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.27 -
Fortinet 3.14.0.0 2008.05.27 -
GData 2.0.7306.1023 2008.05.27 Win32:Beagle-AEA
Ikarus T3.1.1.26.0 2008.05.27 Virus.Win32.Rbot.CXN

woher bekomme ich dafür die dateien dass der virus entfernt wird ?

Hallo

hast ja doch schon ausgewertet

Zitat:

Datei MP3_Keyshifter_2.0_Serial.exe empfangen 2008.05.27 23:09:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 9/32 (28.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.27 -
AntiVir 7.8.0.19 2008.05.27 -
Authentium 5.1.0.4 2008.05.26 W32/Bagle.C.gen!Eldorado
Avast 4.8.1195.0 2008.05.27 Win32:Beagle-AEA
AVG 7.5.0.516 2008.05.27 -
BitDefender 7.2 2008.05.27 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.27 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.05.27 -
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5826 2008.05.27 -
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Bagle.C.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.27 -
Fortinet 3.14.0.0 2008.05.27 -
GData 2.0.7306.1023 2008.05.27 Win32:Beagle-AEA
Ikarus T3.1.1.26.0 2008.05.27 Virus.Win32.Rbot.CXN
Kaspersky 7.0.0.125 2008.05.27 -
McAfee 5304 2008.05.27 -
Microsoft None 2008.05.27 -
NOD32v2 3136 2008.05.27 -
Norman 5.80.02 2008.05.27 -
Panda 9.0.0.4 2008.05.27 -
Prevx1 V2 2008.05.27 Malicious Software
Rising 20.46.12.00 2008.05.27 -
Sophos 4.29.0 2008.05.27 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.27 -
TheHacker 6.2.92.320 2008.05.26 W32/Behav-Heuristic-064
VBA32 3.12.6.6 2008.05.27 -
VirusBuster 4.3.26:9 2008.05.27 Worm.Bagle.ZZA.Gen!Pac
Webwasher-Gateway 6.6.2 2008.05.27 -
weitere Informationen
File size: 655360 bytes
MD5...: 283b950ade76cdf2c9d8a5616dadbdcc
SHA1..: 118c368ea0bc90a6f07fa9c5715d2d4db0bc34f0
SHA256: 9bfdc547c66ec58240cf2b17346c10177caac337973090afe3ec025d093ca996
SHA512: 519b5fa8ddc223d257298a1ea989279e2c05ab008916f376776bc44b81bc0da2
d51eef6c8c52645855243cdbf5624442aca2caa85e19ab3d1ff7e795b4d498be
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x482014
timedatestamp.....: 0x483c3b9a (Tue May 27 16:49:30 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x75000 0x36000 7.96 24eea8b4edfa3dec1e8b8dd0b3ca9c0e
.rsrc 0x76000 0xa428 0x3000 6.18 3ef917cf9466d949aa439e37097202f5
.idata 0x81000 0x1000 0x1000 0.24 c57802fcf213bee93809838c25756713
Themida 0x82000 0xef000 0x65000 7.88 0511b9a17a9e471ed8cae410fc9b1401

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )
packers (Authentium): Themida
packers (F-Prot): Themida
Prevx info: 39502746.EXE - Prevx

feine Sache das du hast eine Neuinstallation gewonnen, Beagle ist ein wirklich schlimmer Purche und du hast ihn dir selbst auf zwei System installiert
Bei der Sicherung denke daran, keine ausführbaren Dateien zu sichern ebenso keine Dateien aus unsicheren Quellen.

MFG

aber es gibt doch removal tools. ich führe gerade eins von symantec aus....oder komm ich um eine Neuinstallation nicht vorbei ?

Moin

Zitat:

aber es gibt doch removal tools.

lies bitte mal hier nach
Homepage von Malte J. Wetz
Zur Info:
Der Beagle baut eine Hintertür ein und arbeitet mit Rootkittechniken

MFG

Hi,

außerdem ergab eine Suche nach Removaltools vor einiger Zeit, dass der Hersteller vor ca. zwei Jahren aufgehört hat, die zu aktualisieren. Er wird schon wissen weshalb, und einen Beagle von heute kennt das Tool von damals nicht.

Zitat:

ich dachte mir gut, vllt geht das nur unter xp und hab die datei an meinem notebook (winxp sp2) ausgeführt,

Das ist eine Einladung, gegen alle Regeln der Netiquette zu verstoßen.

Kannst die Datei ja auch noch mal auf den Systemen deiner Freunde testen , wenn die dann auch neu installiert sind, weißt Du dann auch, wieso Software aus Emule&Co Mist ist, ganz besondersn wenn sie Crack, Keygen, Serial oder ähnlich heißt. Hat auch bestimmt unter Vistas funktioniert.

have Fun,
Karl

Zitat:

Zitat von Bullwai

aber es gibt doch removal tools. ich führe gerade eins von symantec aus....oder komm ich um eine Neuinstallation nicht vorbei ?

ja, die schönen removal tools :aplaus:

Ich habe sowas auch mal getestet, mit Flux, naja, ein Tool mit persistant-Funktion eben. Ein Erfolg wurde gemeldet, klasse. naja, nach dem Reboot lief der Server wieder und wartete auf den Remote-Admin.

Formatiere mal schön, no risk, no fun, oder wie war das nochmal?

Heike

aktueller status:

desktop pc (vista ultimate): konnte installation von avast ausführen und avast hat win32:Beagle-AEA gefunden und gelöscht, dieses system scheint nun sauber zu sein.

notebook (winxp sp2): viele removal tools versucht (symantec,sophos...),gerade läuft der avast virus cleaer tool als portable version..

am notebook kann ich zwar den virenscanner avast installieren, jedoch kann ich das installierte programm nicht aufführen, wie z.b. auch hijack this..es ist installiert, kann es aber nicht ausführen..fehlermeldung: ist keine win32 anwendung...gibt es eine möglichkeit avast auszuführen? in den abgesicherten modus komm ich nicht rein,da ich gleich einen bluescreen erhalte.

Zitat:

Zitat von Bullwai

aktueller status:

desktop pc (vista ultimate): konnte installation von avast ausführen und avast hat win32:Beagle-AEA gefunden und gelöscht, dieses system scheint nun sauber zu sein.

DEIN SYSTEM IST NICHT SAUBER! Du machst dich strafbar!! Du musst dein System neu aufsetzen!

Zitat:

Zitat von -SkY-

DEIN SYSTEM IST NICHT SAUBER! Du machst dich strafbar!! Du musst dein System neu aufsetzen!

und dann gibt es die User, bei welchen ich denke:
hoffentlich erkennt der Remote-Admin wie verseucht das System ist und leitet schon mal eine _Neuinstallation_ ein. :aplaus:

ginge ganz schnell und schmerzlos, natürlich nur für den Admin, denn er übernimmt ja nur das Formatieren

Ich hab auch schon Bagles gesehen, die hängen sich einfach an eine andere EXE-Datei an. Wird die dann gestartet: "Hallo, ich bin wieder da".

Aber bei den Freunden der Cracks, Serials und Keygens ist sowieso Hopfen und Malz verloren. Meistens infizieren die isch ihr neues System bereits bei der Installation wieder. Ich kenne ein anderes Forum, da fliegen die unterdessen raus, da ist Support Zeitverschwendung. Gewisse Abmahnanwälte könnten auch auf die Idee kommen, dass es Beihilfe ist und dann wirds sauteuer.

Zitat:

ich hab die falsche datei ausgeführt, welche ich im emule netzwerk bekommen habe, es sollte ein crack sein

So als ob Cracks im Gegensatz zu Serials sauber seien