Hallo zusammen,

bin Neu hier und gleich ein Problem.
Also fast keine Programme gehen mehr, keine Win32-Anwendung..
Abgesichert = Absturz
Wiederherstellung = Fehler
Meinen Kaspe. Antivirus hat es einfach rausgeworfen..

Hier der Log:

11/17/08 12:35:25 [Info]: BlackLight Engine 2.2.1092 initialized
11/17/08 12:35:25 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/17/08 12:35:25 [Note]: 7019 4
11/17/08 12:35:25 [Note]: 7005 0
11/17/08 12:35:28 [Note]: 7006 0
11/17/08 12:35:28 [Note]: 7011 3928
11/17/08 12:35:28 [Note]: 7035 0
11/17/08 12:35:30 [Note]: 7026 0
11/17/08 12:35:31 [Note]: 7026 0
11/17/08 12:35:31 [Note]: 7024 3
11/17/08 12:35:31 [Info]: Hidden process: C:\WINDOWS\system32\drivers\winfilse.exe
11/17/08 12:35:33 [Note]: FSRAW library version 1.7.1024
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
11/17/08 12:35:45 [Note]: 10002 3
11/17/08 12:35:45 [Note]: 10002 2
11/17/08 12:35:45 [Note]: 10002 2
11/17/08 12:35:54 [Note]: 10002 2
11/17/08 12:35:54 [Note]: 10002 2
11/17/08 12:36:03 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
11/17/08 12:36:03 [Note]: 10002 2
11/17/08 12:36:03 [Note]: 10002 2
11/17/08 12:36:03 [Note]: 10002 2
11/17/08 12:36:03 [Info]: Hidden file: C:\WINDOWS\system32\drivers\winfilse.exe
11/17/08 12:36:03 [Note]: 10002 2
11/17/08 12:37:10 [Note]: 7007 0



Danke

Gruß

Robottino

Hi,

Bagle ist eine bösartige Infektion, die deine Programme zerstört und bestimmte Dateien infiziert.

Dein Rechner wird nach der Infektion zu einem Zombie, derjenige der dich infiziert hat, hat vollen Zugriff auf deinen Rechner und kann damit machen was er will.
IIRC wird dein Rechner dann zb als Server für Cracks missbraucht.

Ich würde dir daher ganz dringend ein Neuaufsetzen empfehlen.
Deine Software musst du so oder so komplett de- und neuinstallieren, weil Bagle sie zerstört hat. Das Formatieren und Neuaufspielen von Windows bringt dir zumindest die Sicherheit, dass Bagle nicht überlebt.

lg myrtille

Hi,

wau, das ging schnell.
Danke habe ich vermutet.


Gruß Robottino

Hi,

derartige Infektionen, sind leider am einfachsten zu bearbeiten, da ist nichts mehr zu retten. Man braucht sich nicht vorher zu informieren, nach Lösungen zu suchen oder Präzedenzfälle zu finden.

Am besten änderst du nach dem Neuaufsetzen auch deine Passwörter.

lg myrtille

Hallo,

hui habe es doch hin bekommen.
Läuft alles wieder.
Wiederherstellung + Abgesichert Modus + Keine Viren werden mehr angezeigt.
Der Kaspersky läuft auch wieder

Bin mir nicht sicher welches Programm es geschafft hat.
Habe von Symantec W32.Beagle@mm Removal Tool
oder das Spanische Tool ELIBAGLA
Hoffe er ist 100% weg

Gruß

Robottino

Zitat:

Zitat von Robottino

Bin mir nicht sicher welches Programm es geschafft hat.

Das hat keines geschafft. Der Wurm ist noch aktiv, konnte sich aber gut verstecken.
Deine Kiste wird als Zombi missbraucht. Wenn du willst, kannst du ja warten bis die Polizei klingelt oder dein Provider dir den Zugang sperrt.

Hallo,

wie denn das?
Alle Antiviren zeigen kein Virus mehr an.
Hijackthis auch Ok, siehe Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:46, on 17.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3D18121-1D25-4697-9DD2-48AB1E1CB98D}: NameServer = 192.168.178.1
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6102 bytes


Gruß Robottino

HJT ist bei Bagle sinnfrei.
Hast du noch das Logfile von EliBagle?

Hi,

ja hier.

Mon Nov 17 12:24:38 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:25:28 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:25:44 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:25:46 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:25:57 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:26:05 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:26:07 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:26:21 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:26:23 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:26:38 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:26:40 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:26:54 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:26:55 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:26:59 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:27:01 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:27:11 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:27:12 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:27:19 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:27:21 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:29:13 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:29:15 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:29:22 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:29:34 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:29:36 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:29:52 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:29:53 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:30:49 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:30:56 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:32:07 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:32:09 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 12:32:23 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 12:32:30 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 13:02:40 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 13:02:44 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Nov 17 13:29:04 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Nov 17 13:29:05 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1689
Nº Total de Ficheros: 27192
Nº de Ficheros Analizados: 8255
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Nov 17 13:49:07 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Nov 17 13:50:50 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Mon Nov 17 13:50:53 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1703
Nº Total de Ficheros: 27206
Nº de Ficheros Analizados: 8267
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Nov 17 13:55:44 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Nov 17 13:55:45 2008
EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 1701
Nº Total de Ficheros: 27208
Nº de Ficheros Analizados: 8267
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Nov 17 21:26:19 2008
EliBagle v11.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Nov 17 21:26:20 2008
EliBagle v11.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1675
Nº Total de Ficheros: 30907
Nº de Ficheros Analizados: 8048
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sieht so aus, als ob EliBagle mal seine Arbeit getan hätte.
Dennoch bleibt das System nicht vertrauenswürdig bei solch einem Befall, da Dritte Zugriff auf dein System hatten.

Wie kam es denn zu der Infektion?

Hi,

Selber Schuld habe mit Emule ein Tool gesucht um meine versehentliche gelöschte Daten zu retten, es hatte den Schlüssel Icon.
Habe es erst mit Kasp. gescannt, da mir das File komisch vorkam.
Der Kasp. hat nicht gemeckert (leider)
Das wars dann auch.
Habe es sofort bemerkt, leider zu spät. (das alles war gestern Abend)


Gruß

Robottino

Hast du die Datei evtl. noch?

Hi,

nein ich kann sie aber schnell runterladen.
Weis ja wie sie heißt.

Wenn ich sie nicht Ausführe dürfte nichts passieren? oder?
Oder hast Du emule?
suche nach:
Symantec.Norton.Partition.Magic.v8.5.Full.zip

Gruß Robottino

Weiß nicht ob Silent shark Lust hat sich strafbar zu machen...

Zitat:

Oder hast Du emule?
suche nach:

Nein, sowas nutze ich nicht.
Wäre es möglich, wenn du mir die Datei per Mail (silent_shark@gmx.de) zukommen lassen könntest (ZIP-archiviert, mit Passwort (infected))?

Btw. es könnte sich um eine ältere Version des Bagles handeln, da ich nicht glaube, dass EliBagle so großartig weiterentwickelt wurde.