| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bagle, srosa.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.11.2008, 13:24
| #1 |
 |  Bagle, srosa.sys Hallo, ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach ca. 1-2 Min. mit einem BSOD stehen. Der Dateiname "srosa.sys" wurde mir als Verursacher angezeigt. Ich wußte zu dem Zeitpunk nicht, wie gefährlich dieser Virus ist, und habe daraufhin ca. 30 min als Benutzer mit Adminrechten im abgesicherten Modus weitergearbeitet, weil ich unbedingt etwas fertigstellen musste. Das klappte auch "scheinbar" ganz gut, danach habe ich den Rechner dann ausgeschaltet und vom Netz getrennt und arbeite seitdem an einem Zweitrechner. Die Einträge von Seti@home im Avira-Forum habe ich mir durchgelesen, allerdings habe ich eine spezielle Systemkonfiguration, die mir jetzt vielleicht hilft?! In meinem PC sind 3 Festplatten verbaut, mit je 3 NTFS-Partitionen (die mir nur dazu dienen, die Dateien etwas zu strukturieren): - System (XP Pro SP3) liegt auf hda1 (+hda2,hda3) - Eigene Dateien auf hdb1 (+hdb2,hdb3) - Wichtige Arbeitsdaten auf hdc3 (+hdc2, hdc3). Ich benötige zum Weiterarbeiten unbedingt den Inhalt von hdb1 und hdc1. Von hda1 gibt es ein Backup von Anfang der Woche, es fehlen aber die Daten dieser Woche. Dort befinden sich keine *exe* Dateien, nur Bilder, PDFs, Grafikdaten und MS Office/Open Office-dateien. Es gibt ein komplettes Acronis-Image des Systems von vor ca. 6 Wochen (~35Gb, höchste Kompression, auf einer externen Platte, die zum Zeitpunkt des Befalls verbunden aber ohne Strom war). Ich habe allerdings noch nie ein Image zurückgespielt und weiß nicht, was an aktuellen Daten dadurch ersetzt/gelöscht wird und auch gelesen, dass es im Fall Bagle damit allein nicht getan ist?! Da sich ein Neuaufsetzten scheinbar nicht vermeiden lässt würde ich das als (unfreiwillig willkommen) Anlaß nehmen, meine Konfiguration leicht zu ändern und die Systemplatte gegen eine neu größere und schnellere zu tauschen. Die jetzige infizierte stünde also komplett zum späteren Scan und Extraktion relevanter Daten zur Verfügung. Dennoch bitte ich Euch um Hilfe bei den folgenden Fragen: Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung? 1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)? 2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte? 3. Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung? 4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was? Danke D-O-M |
| Themen zu Bagle, srosa.sys |
| abgesicherten modus, anfang, bagle, datei, dateien, datensicherung, exe, festplatte, folge, frage, gefährlich, home, infizierte, klicke, linux, neue, neuinstallation, programm, rechner, rootkit, scan, sp3, unbedingt, unfreiwillig, virus, win, win xp, überspielen, ändern |
Baum-Darstellung