Hallo,

ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach ca. 1-2 Min. mit einem BSOD stehen. Der Dateiname "srosa.sys" wurde mir als Verursacher angezeigt.
Ich wußte zu dem Zeitpunk nicht, wie gefährlich dieser Virus ist, und habe daraufhin ca. 30 min als Benutzer mit Adminrechten im abgesicherten Modus weitergearbeitet, weil ich unbedingt etwas fertigstellen musste. Das klappte auch "scheinbar" ganz gut, danach habe ich den Rechner dann ausgeschaltet und vom Netz getrennt und arbeite seitdem an einem Zweitrechner.

Die Einträge von Seti@home im Avira-Forum habe ich mir durchgelesen, allerdings habe ich eine spezielle Systemkonfiguration, die mir jetzt vielleicht hilft?!

In meinem PC sind 3 Festplatten verbaut, mit je 3 NTFS-Partitionen (die mir nur dazu dienen, die Dateien etwas zu strukturieren):
- System (XP Pro SP3) liegt auf hda1 (+hda2,hda3)
- Eigene Dateien auf hdb1 (+hdb2,hdb3)
- Wichtige Arbeitsdaten auf hdc3 (+hdc2, hdc3).

Ich benötige zum Weiterarbeiten unbedingt den Inhalt von hdb1 und hdc1. Von hda1 gibt es ein Backup von Anfang der Woche, es fehlen aber die Daten dieser Woche. Dort befinden sich keine *exe* Dateien, nur Bilder, PDFs, Grafikdaten und MS Office/Open Office-dateien.

Es gibt ein komplettes Acronis-Image des Systems von vor ca. 6 Wochen (~35Gb, höchste Kompression, auf einer externen Platte, die zum Zeitpunkt des Befalls verbunden aber ohne Strom war). Ich habe allerdings noch nie ein Image zurückgespielt und weiß nicht, was an aktuellen Daten dadurch ersetzt/gelöscht wird und auch gelesen, dass es im Fall Bagle damit allein nicht getan ist?!

Da sich ein Neuaufsetzten scheinbar nicht vermeiden lässt würde ich das als (unfreiwillig willkommen) Anlaß nehmen, meine Konfiguration leicht zu ändern und die Systemplatte gegen eine neu größere und schnellere zu tauschen. Die jetzige infizierte stünde also komplett zum späteren Scan und Extraktion relevanter Daten zur Verfügung.

Dennoch bitte ich Euch um Hilfe bei den folgenden Fragen:
Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung?
1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)?
2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte?
3. Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung?
4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was?

Danke
D-O-M

Hallo,

ich hab selten so eine detaillierte Problembeschreibung gesehen, mein Respekt.

Zitat:

Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung?

Deine wichtigen Daten kannst du natürlich sichern, dagegen spricht nichts.
Wenn es sich dabei um .exe-Dateien handelt (oder andere ausführbare Programme), würde ich diese gründlichst prüfen, bevor sie erneut ausgeführt werden (Ich denke, es besteht die Möglichkeit, Programme mit zu sichern, da Bagle kein File Infector ist). Wenn es aber geht, generell alle Programme verwerfen.

Zitat:

1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)?

Puppy Linux sagt mir spontan nichts, aber bisher wurde Datensicherung meist mit einer Live CD ala Knoppix, Ubuntu, etc. betrieben.
Ich denke, das ist idR das selbe.

Zitat:

2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte?

Wenn du dir 100% sicher bist, das das erstellte Image clean ist, kannst du auch das machen.

Zitat:

Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung?

Siehe oben.

Zitat:

4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was?

Ich glaube, du meinst Elibagle. Leider nutzt dieses Tool z.Z. nicht viel, da die bisherigen Bagle Varianten das Programm früher erkennt, als umgekehrt.

mfg

Danke für Deine Antwort. Dann besteht also noch Hoffnung :-)

Puppy Linux ist ein sehr kleines Linux, das Windows sehr ähnlich ist.

Zur Datensicherung:
Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger).
Lässt er denn wirklich alles außer *exe* Dateien in Ruhe?

+++

Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt...

Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig?

Danke
D-O-M

Kein Problem.

Zitat:

Zur Datensicherung:
Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger).
Lässt er denn wirklich alles außer *exe* Dateien in Ruhe?

Bagle zerlegt dir sämtliche AVP's, öffnet eine Backdoor => ermöglicht dadurch unbefugten Zugriff von Außen, läd weitere Malware nach und zerstört sehr viel im Windows Kernel.

Zitat:

Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt...

Da siehst du mal, dass die sog. "Security Programme" im Ernstfall versagen.

Zitat:

Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig?

Was nutzt du für ein Backup-Programm?
Bei Acronis ist es sehr gut beschrieben, wie du die Images zurückspielst.

So, kleines Update:

Ich habe den Rechner neu zusammengeschraubt und die neue Platte auf dem ein Xp (1) installiert war angesteckt. Nach etwas Hick-Hack im BIOS habe ich jetzt wieder ein funktionierendes XP (1) auf C:. Allerdings ist das ja nicht mein "bisheriges" XP (0), sondern die Platte aus nem anderen Rechner.

Das Zurückspielen des Backups mit Acronis scheitert bisher daran, dass die Original (!) Boot-CD von Acronis 11 nicht erkannt wird (fatal error...).

Zusätzlich musste ich einige Treiber nachinstallieren, da das XP (1) bisher ja auf anderer Hardware lief.

Doof...

Schreibe wieder, wenns was Neues gibt.
D-O-M

Du hättest doch das Image (MeinBackup.tib ?) auf der infizierten Platte zurückspielen können. Oder etwa nicht?