| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit.Bagle entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.03.2009, 12:38
| #1 |
| |  Rootkit.Bagle entfernt? Hallo zusammen! Habe die letzten Tage mit diesem echt fiesen Virus verbracht. Den Virus habe ich mir leider selbst aus dem Internet geladen, denn ich wollte ein Programm wirklich testen können bevor ich es bezahle ... habe das zum ersten und letzten Mal getan. Die böse Datei hieß run.exe und hat kurz nach dem Ausführen versucht auf das Internet zuzugreifen wurde dabei erstmal blockiert (Fritz! Start Center). Eine vorherige Prüfung durch Avira, Spyware Terminator und Antimalware haben nichts gezeigt. Dann fuhr Windows ohne mein zutun runter was mich sehr stutzig machte. Bevor der Rechner wieder hochfuhr habe ich das Netzwerkkabel gezogen. Dann waren alle Virenprogramme (Avira,Spyware Terminator) außer Antimalware kaputt -> Quick Scan Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1822
Windows 5.1.2600 Service Pack 3
13.03.2009 15:35:09
mbam-log-2009-03-13 (15-35-03).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67456
Laufzeit: 3 minute(s), 23 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Dominator\Anwendungsdaten\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
Code:
ATTFilter ComboFix 09-03-13.01 - Dominator 2009-03-14 0:52:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.657 [GMT 1:00]
ausgeführt von:: I:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers\downld
f:\programme\INSTALL.LOG
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SK9OU0S
-------\Legacy_SROSA
((((((((((((((((((((((( Dateien erstellt von 2009-02-13 bis 2009-03-13 ))))))))))))))))))))))))))))))
.
2009-03-13 22:08 . 2009-03-13 22:08 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-13 22:05 . 2009-03-13 22:05 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\RegRun
2009-03-13 21:35 . 2009-03-13 21:35 <DIR> d-------- c:\windows\RestoreSafeDeleted
2009-03-13 21:34 . 2009-03-13 23:24 29,584 --a------ c:\windows\system32\drivers\regguard.sys
2009-03-13 21:32 . 2008-12-16 11:08 12,752 --a------ c:\windows\system32\drivers\UnHackMeDrv.sys
2009-03-13 21:30 . 2009-03-13 21:30 34,760 --a------ c:\windows\system32\drivers\Partizan.sys
2009-03-13 21:30 . 2009-03-13 21:30 32,480 --a------ c:\windows\system32\Partizan.exe
2009-03-13 21:29 . 2009-03-13 21:29 <DIR> d-------- f:\programme\Greatis
2009-03-13 21:29 . 2008-12-22 17:04 444,128 --a------ c:\windows\RunGuard.exe
2009-03-13 21:29 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.org
2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.exe
2009-03-13 15:18 . 2009-03-14 00:54 <DIR> d--h----- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers
2009-03-13 13:06 . 2009-03-13 15:18 <DIR> d-------- f:\programme\Hormonal Forecaster
2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Winvdrvr.dll
2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Portprcr.dvr
2009-03-13 13:06 . 2009-03-13 13:34 0 --a------ C:\hfcrgrt.ini
2009-03-08 19:16 . 2009-03-08 19:16 <DIR> d-------- f:\programme\Microsoft Silverlight
2009-03-07 16:02 . 2009-03-07 16:02 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SoftOrbits
2009-03-07 16:02 . 2009-02-18 18:13 1,811,670 --a------ c:\windows\system32\Desk_Cal
2009-03-06 00:08 . 2009-03-13 22:48 <DIR> d-------- f:\programme\Intelore
2009-03-02 16:17 . 2009-03-02 16:17 <DIR> d-------- c:\dokumente und einstellungen\Dominator\.VirtualBox
2009-03-02 16:17 . 2009-02-16 17:46 100,560 --a------ c:\windows\system32\drivers\VBOXDRV.del
2009-03-02 16:15 . 2009-02-16 17:47 129,552 --a------ c:\windows\system32\VBoxNetFltNotify.dll
2009-03-02 16:15 . 2009-02-16 17:47 87,568 --a------ c:\windows\system32\drivers\VBoxNetFlt.sys
2009-03-02 16:14 . 2009-03-02 16:14 <DIR> d-------- f:\programme\Sun
2009-03-02 16:14 . 2009-03-02 16:17 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-03-02 16:14 . 2009-02-16 17:47 41,744 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2009-02-25 22:38 . 2009-02-25 22:38 188,416 --a------ c:\windows\system32\HFCdtASP.dll
2009-02-17 22:08 . 2009-02-17 22:08 <DIR> d-------- f:\programme\7-Zip
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 23:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-13 22:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-13 22:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-03-13 22:21 --------- d-----w f:\programme\Spyware Terminator
2009-03-13 22:16 --------- d-----w f:\programme\Spybot - Search & Destroy
2009-03-13 21:09 --------- d-----w f:\programme\WinClamAVShield
2009-03-13 21:08 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Spyware Terminator
2009-03-13 20:35 --------- d-----w f:\programme\GEMEINSAME DATEIEN\ReGet Shared
2009-03-13 14:21 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\FRITZ!
2009-03-13 14:17 73,216 ----a-w c:\windows\ST6UNST.EXE
2009-03-13 14:17 286,720 ------w c:\windows\Setup1.exe
2009-03-13 13:04 --------- d-----w f:\programme\eMule
2009-03-12 12:38 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\OpenOffice.org2
2009-03-08 10:49 --------- d-----w f:\programme\GEMEINSAME DATEIEN\Adobe
2009-03-05 22:37 --------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-03-03 21:33 --------- d-----w f:\programme\ICQ
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:42 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\dvdcss
2009-02-06 11:41 --------- d-----w f:\programme\Hammerexamen
2009-02-03 12:34 --------- d--h--w f:\programme\InstallShield Installation Information
2009-02-03 12:34 --------- d-----w f:\programme\ElsterFormular
2009-01-24 01:44 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Apple Computer
2009-01-23 14:45 --------- d-----w f:\programme\ProtectDisc Driver Installer
2009-01-20 07:48 --------- d-----w f:\programme\C-Media USB Sound
2009-01-20 07:36 --------- d-----w f:\programme\SL-8850
2008-12-29 12:01 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-10-09 10:29 18 ----a-w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SYS386LS.DAT
2007-04-15 16:47 55,296 ----a-w f:\programme\pcwProgramRemap.z.exe
2007-07-09 07:57 848 --sha-w c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan\0
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 10:09 49152 f:\programme\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
--a------ 2003-10-14 17:36 38984 f:\progra~1\ICQ\ICQNet.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 21:57 30208 f:\programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 f:\programme\Java\jre1.6.0_01\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-07-06 18:54 180269 f:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2003-02-27 13:29 47104 c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\ICQ\\Icq.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"f:\\Zocker\\Risk 2 [ENG] FIXED\\Risk 2\\RISKII.EXE"=
"f:\\Programme\\Message-Bob\\Message-Bob.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Zocker\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"f:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"f:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"f:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"f:\\Zocker\\Scorched3D\\scorcheds.exe"=
"f:\\Programme\\Mozilla Firefox\\firefox.exe"=
"f:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"f:\\Programme\\SopCast\\SopCast.exe"=
"f:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\PROGRAMME\\eMule\\emule.exe"=
"f:\\Zocker\\callofDuty\\CoD2MP_s.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:Emule Kad
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-03-02 41744]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-06-18 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [2007-05-30 201696]
R2 IGDCTRL;AVM IGD CTRL Service;f:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2009-03-13 34760]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-03-02 87568]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-04-17 4352]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.SYS [2007-04-03 17149]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [2008-04-17 401920]
S3 NETGEAR NETGEAR MA101 USB Adapter(A);NETGEAR NETGEAR MA101 USB Adapter(A) Service for NETGEAR MA101 USB Adapter;c:\windows\system32\drivers\MA1012KA.SYS [2007-04-03 73728]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [2009-03-13 29584]
.
Inhalt des "geplante Tasks" Ordners
2009-03-13 c:\windows\Tasks\Startup Analyser.job
- f:\programme\Greatis\RegRunSuite\TrojanAnalyser.exe [2008-12-22 17:02]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-DAEMON Tools - f:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-DownloadAccelerator - f:\programme\DAP\DAP.EXE
MSConfigStartUp-muBlinder - c:\dokumente und einstellungen\Administrator\Desktop\muBlinder.exe
MSConfigStartUp-NeroCheck - c:\windows\system32\NeroCheck.exe
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box
IE: Crawler Search - tbr:iemenu
LSP: f:\programme\FRITZ!DSL\\sarah.dll
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - f:\programme\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Mozilla\Firefox\Profiles\kdgimhsh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xcomm.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xwsg.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: f:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: f:\programme\Veetle\VLC\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 00:56:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-57989841-790525478-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fa,77,ab,24,df,26,12,7a,31,18,7b,1e,cb,96,06,c8,1b,b0,08,e9,c3,12,b3,
7f,0d,4f,80,b4,a2,cf,69,19,53,ef,f2,12,08,0d,d5,8f,ff,b7,8a,80,e5,ea,f1,d6,\
"??"=hex:56,93,9d,2b,b0,04,14,af,ad,b1,58,3b,40,99,03,55
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(884)
f:\programme\FRITZ!DSL\sarah.dll
f:\programme\FRITZ!DSL\block.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\programme\AntiVir PersonalEdition Classic\sched.exe
f:\programme\AntiVir PersonalEdition Classic\avguard.exe
f:\programme\avmwlanstick\WLanNetService.exe
f:\programme\CyberLink\Shared files\RichVideo.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 1:00:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 00:00:00
Vor Suchlauf: 1.687.916.544 Bytes frei
Nach Suchlauf: 1,615,593,472 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
219
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:24, on 15.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe F:\PROGRAMME\avmwlanstick\WlanNetService.exe F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE F:\PROGRA~1\SPYWAR~1\sp_rsser.exe F:\Programme\Mozilla Firefox\firefox.exe F:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\svchost.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - F:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\PROGRAMME\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\PROGRAMME\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\PROGRAMME\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - F:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230549361531 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230549336265 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - F:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Adobe LM Service - Adobe Systems - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\PROGRAMME\avmwlanstick\WlanNetService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\PROGRAMME\GEMEINSAME DATEIEN\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsSvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe |
|
16.03.2009, 14:50
| #2 | |
| /// Helfer-Team   | Rootkit.Bagle entfernt? Hallo Hellfriend,
__________________bei deinem Bagle hilft im Endeffekt nur noch das hier:http://www.trojaner-board.de/51262-a...sicherung.html! Du hast ja selbst gesehen, was dieser an deinem PC anstellt: Zitat:
Trenne am Besten den PC physikalisch vom Internet! Falls du ne Datensicherung machst, lass vorher die Dateien von einem anitViren-Programm wie z.B. von Malwarebytes AntiMalwar überprüfen! Gruß Handball10 |
|
16.03.2009, 16:56
| #3 |
| | Rootkit.Bagle entfernt? mit MBAM?
__________________Naja, der hat noch am wenigsten gefunden und hat mich echt enttäuscht. Dateien aus dem Internet scanne ich grundsätzlich ersteinmal aber hier haben Avira, Spywareterminator und mbam alle versagt. A-Squared findets ... ich finde das komisch, denn der bagel ist ja nicht gerade neu. RegRun war im Finden und Zertören des Rootkits jedanfalls echt gut. Weil ich mir aber eben nicht sicher sein kann, dass es nicht doch noch irgendwo systemeinträge gibt, die irgendwelche Türchen offenhalten ist es ja selbstverständlich dass ich Neuaufsetze ... eine Frage bleibt da jedoch noch: Aus der Sicht des SIcherheitsaspektes ist es da sinnvoll auf Vista umzusteigen? Also ich werde dann mal aufsetzen... danke |
|
16.03.2009, 17:02
| #4 |
| /// Helfer-Team    | Rootkit.Bagle entfernt? Ich glaub das kommt auf das selbe hinaus. Wer brain.exe nicht nutzt, der hat bei fast jedem Betriebssystem verloren.
__________________ A fool with a tool is still a fool |
|
16.03.2009, 17:57
| #5 | |
| /// Helfer-Team | Rootkit.Bagle entfernt? moin, Zitat:
wenn er seine "Schützlinge" nicht immer anpassen und modifizieren würde!  Code:
ATTFilter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.
 )Gruß Handball10 |
|
| Themen zu Rootkit.Bagle entfernt? |
| antivir, avira, bho, blockiert, combofix, components, desktop, entfernen, entfernt?, fiese, firefox, firefox.exe, frage, fritz!, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, igdctrl.exe, installation, internet explorer, laufende prozesse, logfile, logon.exe, malwarebytes' anti-malware, mozilla, plug-in, programm, registrierungsschlüssel, scan, security, skype.exe, software, spyware, spyware terminator, stick, suchlauf, system, virus, windows, windows recovery, windows xp |
Linear-Darstellung
