hey, ich hab mir leider den virus winupgro eingefangen. Löschen funktioniert leider nicht..er erscheint nach jedem neustart wieder CPU ist ständig auf 100%..antivirus programme funktionieren auch nicht mehr "keine win32 anforderung"

hab schon anti malware drüberlaufen lassen, aber nach jedem neustart ist die datei immer noch vorhanden...hier mein log:

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1652
Windows 5.1.2600 Service Pack 2

14.01.2009 17:23:38
mbam-log-2009-01-14 (17-23-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54787
Laufzeit: 6 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\soni\Anwendungsdaten\m (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\soni\Anwendungsdaten\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\soni\Anwendungsdaten\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\soni\Anwendungsdaten\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Dokumente und Einstellungen\soni\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> Delete on reboot.



Hijack hatte ich auch probiert, jedoch lässt sich dieses nicht öffnen, da wieder die win32 meldung kommt

Ich hoffe ihr könnt mir helfen..bin verzweifelt...

Hallo,

wie kommst du auf Bagle?

Den Symptomen und Dateinamen nach ist es tatsächlich Bagle, und wenn deine Variante tatsächlich spammt, dann solltest du schleunigst dein System vom Netz nehmen (LAN-Kabel ziehen!) und es neuaufsetzen!

ich weiß nicht..es war eine vermutung, da ich im internet bisschen rumgesurft hab und einige meinten wohl, dass es sich um einen bagle halten könnte gibt es keine andere lösung als neu aufzusetzen?

http://www.trojaner-board.de/76732-w...upgro-exe.html

Nein. Bagle ist so destruktiv, dass du ihn nicht komplett entfernen kannst. Je mehr seiner Komponenten du entfernst, desto kaputter lässt er dein System zurück. Von den Hintertüren, die er eingebaut haben wird, zu schweigen.

Es gibt ein Tool mit dem man diese Bagle-Variante (Email-Worm.Win32.Bagle.of oder ähnlich) löschen kann:

FindyKill

Hat bei mir (wenigstens bis jetzt anscheinend) gut geklappt. Das System wird dann neu gestartet und vor dem Start wird die Platte gesäubert.

FindyKill ist das einzige Tool mit dem ich diesen durch ein Rootkit (winupgro.exe genannt "drvsyskit" MD5: 1B41356180D52AC46CCA5EFCBAE52C73) getarnten Virus überhaupt stoppen konnte.
Ansonsten wurde der Virus wenigstens angezeigt von cports (ein Programm um offene Ports anzuzeigen, von Nirsoft) und NetLimiter. Aber abschießen konnte ich ihn nicht.
Und in Process Explorer und Konsorten haben die Virusdateien in:

C:\Dokumente und Einstellungen\franc\Anwendungsdaten\m\flec006.exe
C:\Dokumente und Einstellungen\franc\Anwendungsdaten\drivers\winpugro.exe
C:\Windows\System32\wintems.exe

erst gar nicht gezeigt (Rootkit eben).
Hijackthis und zahllose Virenprogramme werden von dieser Bagel-Variante abgeschossen und so geändert, dass sie nicht mehr starten (nicht gelöscht).

Mit Rootkitrevealer von Sysinternals kann man die versteckten Registryeinträge aufdecken.
Und mit einer BartPE Boot-CD kann man dann zwar die versteckten Viren löschen, aber es gibt noch versteckte Duplikate und hinterher ist der Virus immer noch da.

Dieser Bagle legt übrigens in

C:\Dokumente und Einstellungen\<user>\Anwendungsdaten\m\shared\

zahllose (Verzeichnis ist 345 MB groß!) vermeintliche Cracks an, die alle den Virus enthalten.

Ich musste hinterher natürlich meine Antivirenprogramme (ClamAV, Avira) neu installieren, weil die kaputt waren.

Gruß franc

Nachtrag: Zur Sicherheit noch die Systemwiederherstellungsdateien, den Papierkorb und sonstige temporären Dateien löschen, nochmal mit ComboFix drübergescannt und zum Abschluss Windows reparieren.
Ich nehme an, mein System ist dann wieder blitzsauber ;-)

Muhaha, in der Zeit installiere ich locker ein Windows und kann mir danach wenigstens sicher sein und bin nicht auf Hoffnung angewiesen, denn ich hab schon Fälle erlebt, wo er ratzfatz wieder da war (bzw niemals ganz weg). Na jedem das, was ihm seine (Un)Sicherheit wert ist.

Windows installieren? Kein Problem. 1h.
Die Updates seit SP3? Auch kein Problem, ca. 1h, läuft mehr oder weniger im Hintergrund.

Aber das ist ja nur ein Bruchteil dessen, was zu installieren ist.
Nee - mein Rechner läuft (jetzt wieder) so wie ich ihn mir in langer Zeit schön eingerichtet habe, das will ich nicht wieder einrichten müssen.

Dein Spass, dein Risiko. Ich mache das einfacher: Ich installiere keinen Bagle

Zitat:

Zitat von KarlKarl

... Ich installiere keinen Bagle

Das habe ich bis gestern auch fest geglaubt :-)