|
Plagegeister aller Art und deren Bekämpfung: Rootkit.Bagle entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.03.2009, 12:38 | #1 |
| Rootkit.Bagle entfernt? Hallo zusammen! Habe die letzten Tage mit diesem echt fiesen Virus verbracht. Den Virus habe ich mir leider selbst aus dem Internet geladen, denn ich wollte ein Programm wirklich testen können bevor ich es bezahle ... habe das zum ersten und letzten Mal getan. Die böse Datei hieß run.exe und hat kurz nach dem Ausführen versucht auf das Internet zuzugreifen wurde dabei erstmal blockiert (Fritz! Start Center). Eine vorherige Prüfung durch Avira, Spyware Terminator und Antimalware haben nichts gezeigt. Dann fuhr Windows ohne mein zutun runter was mich sehr stutzig machte. Bevor der Rechner wieder hochfuhr habe ich das Netzwerkkabel gezogen. Dann waren alle Virenprogramme (Avira,Spyware Terminator) außer Antimalware kaputt -> Quick Scan Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1822 Windows 5.1.2600 Service Pack 3 13.03.2009 15:35:09 mbam-log-2009-03-13 (15-35-03).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 67456 Laufzeit: 3 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Dominator\Anwendungsdaten\drivers\winupgro.exe (Trojan.Agent) -> No action taken. Code:
ATTFilter ComboFix 09-03-13.01 - Dominator 2009-03-14 0:52:23.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.657 [GMT 1:00] ausgeführt von:: I:\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers\downld f:\programme\INSTALL.LOG . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SK9OU0S -------\Legacy_SROSA ((((((((((((((((((((((( Dateien erstellt von 2009-02-13 bis 2009-03-13 )))))))))))))))))))))))))))))) . 2009-03-13 22:08 . 2009-03-13 22:08 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys 2009-03-13 22:05 . 2009-03-13 22:05 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\RegRun 2009-03-13 21:35 . 2009-03-13 21:35 <DIR> d-------- c:\windows\RestoreSafeDeleted 2009-03-13 21:34 . 2009-03-13 23:24 29,584 --a------ c:\windows\system32\drivers\regguard.sys 2009-03-13 21:32 . 2008-12-16 11:08 12,752 --a------ c:\windows\system32\drivers\UnHackMeDrv.sys 2009-03-13 21:30 . 2009-03-13 21:30 34,760 --a------ c:\windows\system32\drivers\Partizan.sys 2009-03-13 21:30 . 2009-03-13 21:30 32,480 --a------ c:\windows\system32\Partizan.exe 2009-03-13 21:29 . 2009-03-13 21:29 <DIR> d-------- f:\programme\Greatis 2009-03-13 21:29 . 2008-12-22 17:04 444,128 --a------ c:\windows\RunGuard.exe 2009-03-13 21:29 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp 2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.org 2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.exe 2009-03-13 15:18 . 2009-03-14 00:54 <DIR> d--h----- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers 2009-03-13 13:06 . 2009-03-13 15:18 <DIR> d-------- f:\programme\Hormonal Forecaster 2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Winvdrvr.dll 2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Portprcr.dvr 2009-03-13 13:06 . 2009-03-13 13:34 0 --a------ C:\hfcrgrt.ini 2009-03-08 19:16 . 2009-03-08 19:16 <DIR> d-------- f:\programme\Microsoft Silverlight 2009-03-07 16:02 . 2009-03-07 16:02 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SoftOrbits 2009-03-07 16:02 . 2009-02-18 18:13 1,811,670 --a------ c:\windows\system32\Desk_Cal 2009-03-06 00:08 . 2009-03-13 22:48 <DIR> d-------- f:\programme\Intelore 2009-03-02 16:17 . 2009-03-02 16:17 <DIR> d-------- c:\dokumente und einstellungen\Dominator\.VirtualBox 2009-03-02 16:17 . 2009-02-16 17:46 100,560 --a------ c:\windows\system32\drivers\VBOXDRV.del 2009-03-02 16:15 . 2009-02-16 17:47 129,552 --a------ c:\windows\system32\VBoxNetFltNotify.dll 2009-03-02 16:15 . 2009-02-16 17:47 87,568 --a------ c:\windows\system32\drivers\VBoxNetFlt.sys 2009-03-02 16:14 . 2009-03-02 16:14 <DIR> d-------- f:\programme\Sun 2009-03-02 16:14 . 2009-03-02 16:17 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-03-02 16:14 . 2009-02-16 17:47 41,744 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys 2009-02-25 22:38 . 2009-02-25 22:38 188,416 --a------ c:\windows\system32\HFCdtASP.dll 2009-02-17 22:08 . 2009-02-17 22:08 <DIR> d-------- f:\programme\7-Zip . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-13 23:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-13 22:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-03-13 22:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator 2009-03-13 22:21 --------- d-----w f:\programme\Spyware Terminator 2009-03-13 22:16 --------- d-----w f:\programme\Spybot - Search & Destroy 2009-03-13 21:09 --------- d-----w f:\programme\WinClamAVShield 2009-03-13 21:08 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Spyware Terminator 2009-03-13 20:35 --------- d-----w f:\programme\GEMEINSAME DATEIEN\ReGet Shared 2009-03-13 14:21 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\FRITZ! 2009-03-13 14:17 73,216 ----a-w c:\windows\ST6UNST.EXE 2009-03-13 14:17 286,720 ------w c:\windows\Setup1.exe 2009-03-13 13:04 --------- d-----w f:\programme\eMule 2009-03-12 12:38 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\OpenOffice.org2 2009-03-08 10:49 --------- d-----w f:\programme\GEMEINSAME DATEIEN\Adobe 2009-03-05 22:37 --------- d-----w f:\programme\Malwarebytes' Anti-Malware 2009-03-03 21:33 --------- d-----w f:\programme\ICQ 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-02-09 14:42 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\dvdcss 2009-02-06 11:41 --------- d-----w f:\programme\Hammerexamen 2009-02-03 12:34 --------- d--h--w f:\programme\InstallShield Installation Information 2009-02-03 12:34 --------- d-----w f:\programme\ElsterFormular 2009-01-24 01:44 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Apple Computer 2009-01-23 14:45 --------- d-----w f:\programme\ProtectDisc Driver Installer 2009-01-20 07:48 --------- d-----w f:\programme\C-Media USB Sound 2009-01-20 07:36 --------- d-----w f:\programme\SL-8850 2008-12-29 12:01 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-10-09 10:29 18 ----a-w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SYS386LS.DAT 2007-04-15 16:47 55,296 ----a-w f:\programme\pcwProgramRemap.z.exe 2007-07-09 07:57 848 --sha-w c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan\0 [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-10-15 01:04 39792 f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-04-13 10:09 49152 f:\programme\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ] --a------ 2003-10-14 17:36 38984 f:\progra~1\ICQ\ICQNet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2005-12-07 21:57 30208 f:\programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-03-14 02:43 83608 f:\programme\Java\jre1.6.0_01\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-07-06 18:54 180269 f:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2003-02-27 13:29 47104 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "f:\\Programme\\ICQ\\Icq.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "f:\\Zocker\\Risk 2 [ENG] FIXED\\Risk 2\\RISKII.EXE"= "f:\\Programme\\Message-Bob\\Message-Bob.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "f:\\Zocker\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "f:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "f:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "f:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "f:\\Zocker\\Scorched3D\\scorcheds.exe"= "f:\\Programme\\Mozilla Firefox\\firefox.exe"= "f:\\Programme\\SopCast\\adv\\SopAdver.exe"= "f:\\Programme\\SopCast\\SopCast.exe"= "f:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "f:\\PROGRAMME\\eMule\\emule.exe"= "f:\\Zocker\\callofDuty\\CoD2MP_s.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4672:UDP"= 4672:UDP:Emule Kad R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-03-02 41744] R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-06-18 373568] R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [2007-05-30 201696] R2 IGDCTRL;AVM IGD CTRL Service;f:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2009-03-13 34760] R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-03-02 87568] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-04-17 4352] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.SYS [2007-04-03 17149] S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [2008-04-17 401920] S3 NETGEAR NETGEAR MA101 USB Adapter(A);NETGEAR NETGEAR MA101 USB Adapter(A) Service for NETGEAR MA101 USB Adapter;c:\windows\system32\drivers\MA1012KA.SYS [2007-04-03 73728] S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [2009-03-13 29584] . Inhalt des "geplante Tasks" Ordners 2009-03-13 c:\windows\Tasks\Startup Analyser.job - f:\programme\Greatis\RegRunSuite\TrojanAnalyser.exe [2008-12-22 17:02] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-DAEMON Tools - f:\programme\DAEMON Tools\daemon.exe MSConfigStartUp-DownloadAccelerator - f:\programme\DAP\DAP.EXE MSConfigStartUp-muBlinder - c:\dokumente und einstellungen\Administrator\Desktop\muBlinder.exe MSConfigStartUp-NeroCheck - c:\windows\system32\NeroCheck.exe . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = fritz.box IE: Crawler Search - tbr:iemenu LSP: f:\programme\FRITZ!DSL\\sarah.dll Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - f:\programme\Crawler\Toolbar\ctbr.dll FF - ProfilePath - c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Mozilla\Firefox\Profiles\kdgimhsh.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.spiegel.de FF - component: f:\programme\Crawler\Toolbar\firefox\components\xcomm.dll FF - component: f:\programme\Crawler\Toolbar\firefox\components\xshared.dll FF - component: f:\programme\Crawler\Toolbar\firefox\components\xsupport.dll FF - component: f:\programme\Crawler\Toolbar\firefox\components\xwsg.dll FF - plugin: f:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: f:\programme\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: f:\programme\Veetle\plugins\npVeetle.dll FF - plugin: f:\programme\Veetle\VLC\npvlc.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-14 00:56:14 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-57989841-790525478-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:fa,77,ab,24,df,26,12,7a,31,18,7b,1e,cb,96,06,c8,1b,b0,08,e9,c3,12,b3, 7f,0d,4f,80,b4,a2,cf,69,19,53,ef,f2,12,08,0d,d5,8f,ff,b7,8a,80,e5,ea,f1,d6,\ "??"=hex:56,93,9d,2b,b0,04,14,af,ad,b1,58,3b,40,99,03,55 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(828) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(884) f:\programme\FRITZ!DSL\sarah.dll f:\programme\FRITZ!DSL\block.dll . ------------------------ Weitere laufende Prozesse ------------------------ . f:\programme\AntiVir PersonalEdition Classic\sched.exe f:\programme\AntiVir PersonalEdition Classic\avguard.exe f:\programme\avmwlanstick\WLanNetService.exe f:\programme\CyberLink\Shared files\RichVideo.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-14 1:00:02 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-14 00:00:00 Vor Suchlauf: 1.687.916.544 Bytes frei Nach Suchlauf: 1,615,593,472 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 219 Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:24, on 15.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe F:\PROGRAMME\avmwlanstick\WlanNetService.exe F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE F:\PROGRA~1\SPYWAR~1\sp_rsser.exe F:\Programme\Mozilla Firefox\firefox.exe F:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\svchost.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - F:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\PROGRAMME\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\PROGRAMME\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\PROGRAMME\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - F:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230549361531 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230549336265 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - F:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Adobe LM Service - Adobe Systems - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\PROGRAMME\avmwlanstick\WlanNetService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\PROGRAMME\GEMEINSAME DATEIEN\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsSvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe |
16.03.2009, 14:50 | #2 | |
/// Helfer-Team | Rootkit.Bagle entfernt? Hallo Hellfriend,
__________________bei deinem Bagle hilft im Endeffekt nur noch das hier:http://www.trojaner-board.de/51262-a...sicherung.html! Du hast ja selbst gesehen, was dieser an deinem PC anstellt: Zitat:
Trenne am Besten den PC physikalisch vom Internet! Falls du ne Datensicherung machst, lass vorher die Dateien von einem anitViren-Programm wie z.B. von Malwarebytes AntiMalwar überprüfen! Gruß Handball10 |
16.03.2009, 16:56 | #3 |
| Rootkit.Bagle entfernt? mit MBAM?
__________________Naja, der hat noch am wenigsten gefunden und hat mich echt enttäuscht. Dateien aus dem Internet scanne ich grundsätzlich ersteinmal aber hier haben Avira, Spywareterminator und mbam alle versagt. A-Squared findets ... ich finde das komisch, denn der bagel ist ja nicht gerade neu. RegRun war im Finden und Zertören des Rootkits jedanfalls echt gut. Weil ich mir aber eben nicht sicher sein kann, dass es nicht doch noch irgendwo systemeinträge gibt, die irgendwelche Türchen offenhalten ist es ja selbstverständlich dass ich Neuaufsetze ... eine Frage bleibt da jedoch noch: Aus der Sicht des SIcherheitsaspektes ist es da sinnvoll auf Vista umzusteigen? Also ich werde dann mal aufsetzen... danke |
16.03.2009, 17:02 | #4 |
/// Helfer-Team | Rootkit.Bagle entfernt? Ich glaub das kommt auf das selbe hinaus. Wer brain.exe nicht nutzt, der hat bei fast jedem Betriebssystem verloren.
__________________ A fool with a tool is still a fool |
16.03.2009, 17:57 | #5 | |
/// Helfer-Team | Rootkit.Bagle entfernt? moin, Zitat:
wenn er seine "Schützlinge" nicht immer anpassen und modifizieren würde! Code:
ATTFilter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken. Gruß Handball10 |
Themen zu Rootkit.Bagle entfernt? |
antivir, avira, bho, blockiert, combofix, components, desktop, entfernen, entfernt?, fiese, firefox, firefox.exe, frage, fritz!, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, igdctrl.exe, installation, internet explorer, laufende prozesse, logfile, logon.exe, malwarebytes' anti-malware, mozilla, plug-in, programm, registrierungsschlüssel, scan, security, skype.exe, software, spyware, spyware terminator, stick, suchlauf, system, virus, windows, windows recovery, windows xp |