Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit.Bagle entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.03.2009, 12:38   #1
Hellfriend
 
Rootkit.Bagle entfernt? - Standard

Rootkit.Bagle entfernt?



Hallo zusammen!

Habe die letzten Tage mit diesem echt fiesen Virus verbracht.
Den Virus habe ich mir leider selbst aus dem Internet geladen, denn ich wollte ein Programm wirklich testen können bevor ich es bezahle ... habe das zum ersten und letzten Mal getan. Die böse Datei hieß run.exe und hat kurz nach dem Ausführen versucht auf das Internet zuzugreifen wurde dabei erstmal blockiert (Fritz! Start Center). Eine vorherige Prüfung durch Avira, Spyware Terminator und Antimalware haben nichts gezeigt. Dann fuhr Windows ohne mein zutun runter was mich sehr stutzig machte. Bevor der Rechner wieder hochfuhr habe ich das Netzwerkkabel gezogen. Dann waren alle Virenprogramme (Avira,Spyware Terminator) außer Antimalware kaputt -> Quick Scan
Code:
ATTFilter
 Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1822
Windows 5.1.2600 Service Pack 3

13.03.2009 15:35:09
mbam-log-2009-03-13 (15-35-03).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67456
Laufzeit: 3 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Dominator\Anwendungsdaten\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
         
Dann habe ich mit einem anderen Rechner gegoogelt und versucht mit Spybot, Regrun und Combofix das System zu reinigen.
Code:
ATTFilter
ComboFix 09-03-13.01 - Dominator 2009-03-14  0:52:23.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.657 [GMT 1:00]
ausgeführt von:: I:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers\downld
f:\programme\INSTALL.LOG

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SK9OU0S
-------\Legacy_SROSA


(((((((((((((((((((((((   Dateien erstellt von 2009-02-13 bis 2009-03-13  ))))))))))))))))))))))))))))))
.

2009-03-13 22:08 . 2009-03-13 22:08	141,312	--a------	c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-13 22:05 . 2009-03-13 22:05	<DIR>	d--------	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\RegRun
2009-03-13 21:35 . 2009-03-13 21:35	<DIR>	d--------	c:\windows\RestoreSafeDeleted
2009-03-13 21:34 . 2009-03-13 23:24	29,584	--a------	c:\windows\system32\drivers\regguard.sys
2009-03-13 21:32 . 2008-12-16 11:08	12,752	--a------	c:\windows\system32\drivers\UnHackMeDrv.sys
2009-03-13 21:30 . 2009-03-13 21:30	34,760	--a------	c:\windows\system32\drivers\Partizan.sys
2009-03-13 21:30 . 2009-03-13 21:30	32,480	--a------	c:\windows\system32\Partizan.exe
2009-03-13 21:29 . 2009-03-13 21:29	<DIR>	d--------	f:\programme\Greatis
2009-03-13 21:29 . 2008-12-22 17:04	444,128	--a------	c:\windows\RunGuard.exe
2009-03-13 21:29 . 2003-09-06 15:55	57,556	--a------	c:\windows\guard.bmp
2009-03-13 21:29 . 2008-12-22 17:04	20,192	--a------	c:\windows\WinBait.org
2009-03-13 21:29 . 2008-12-22 17:04	20,192	--a------	c:\windows\WinBait.exe
2009-03-13 15:18 . 2009-03-14 00:54	<DIR>	d--h-----	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers
2009-03-13 13:06 . 2009-03-13 15:18	<DIR>	d--------	f:\programme\Hormonal Forecaster
2009-03-13 13:06 . 2009-03-13 13:06	14	--a------	C:\Winvdrvr.dll
2009-03-13 13:06 . 2009-03-13 13:06	14	--a------	C:\Portprcr.dvr
2009-03-13 13:06 . 2009-03-13 13:34	0	--a------	C:\hfcrgrt.ini
2009-03-08 19:16 . 2009-03-08 19:16	<DIR>	d--------	f:\programme\Microsoft Silverlight
2009-03-07 16:02 . 2009-03-07 16:02	<DIR>	d--------	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SoftOrbits
2009-03-07 16:02 . 2009-02-18 18:13	1,811,670	--a------	c:\windows\system32\Desk_Cal
2009-03-06 00:08 . 2009-03-13 22:48	<DIR>	d--------	f:\programme\Intelore
2009-03-02 16:17 . 2009-03-02 16:17	<DIR>	d--------	c:\dokumente und einstellungen\Dominator\.VirtualBox
2009-03-02 16:17 . 2009-02-16 17:46	100,560	--a------	c:\windows\system32\drivers\VBOXDRV.del
2009-03-02 16:15 . 2009-02-16 17:47	129,552	--a------	c:\windows\system32\VBoxNetFltNotify.dll
2009-03-02 16:15 . 2009-02-16 17:47	87,568	--a------	c:\windows\system32\drivers\VBoxNetFlt.sys
2009-03-02 16:14 . 2009-03-02 16:14	<DIR>	d--------	f:\programme\Sun
2009-03-02 16:14 . 2009-03-02 16:17	<DIR>	d----c---	c:\windows\system32\DRVSTORE
2009-03-02 16:14 . 2009-02-16 17:47	41,744	--a------	c:\windows\system32\drivers\VBoxUSBMon.sys
2009-02-25 22:38 . 2009-02-25 22:38	188,416	--a------	c:\windows\system32\HFCdtASP.dll
2009-02-17 22:08 . 2009-02-17 22:08	<DIR>	d--------	f:\programme\7-Zip

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 23:45	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-13 22:26	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-13 22:23	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-03-13 22:21	---------	d-----w	f:\programme\Spyware Terminator
2009-03-13 22:16	---------	d-----w	f:\programme\Spybot - Search & Destroy
2009-03-13 21:09	---------	d-----w	f:\programme\WinClamAVShield
2009-03-13 21:08	---------	d-----w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Spyware Terminator
2009-03-13 20:35	---------	d-----w	f:\programme\GEMEINSAME DATEIEN\ReGet Shared
2009-03-13 14:21	---------	d-----w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\FRITZ!
2009-03-13 14:17	73,216	----a-w	c:\windows\ST6UNST.EXE
2009-03-13 14:17	286,720	------w	c:\windows\Setup1.exe
2009-03-13 13:04	---------	d-----w	f:\programme\eMule
2009-03-12 12:38	---------	d-----w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\OpenOffice.org2
2009-03-08 10:49	---------	d-----w	f:\programme\GEMEINSAME DATEIEN\Adobe
2009-03-05 22:37	---------	d-----w	f:\programme\Malwarebytes' Anti-Malware
2009-03-03 21:33	---------	d-----w	f:\programme\ICQ
2009-02-11 09:19	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-02-09 14:42	---------	d-----w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\dvdcss
2009-02-06 11:41	---------	d-----w	f:\programme\Hammerexamen
2009-02-03 12:34	---------	d--h--w	f:\programme\InstallShield Installation Information
2009-02-03 12:34	---------	d-----w	f:\programme\ElsterFormular
2009-01-24 01:44	---------	d-----w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Apple Computer
2009-01-23 14:45	---------	d-----w	f:\programme\ProtectDisc Driver Installer
2009-01-20 07:48	---------	d-----w	f:\programme\C-Media USB Sound
2009-01-20 07:36	---------	d-----w	f:\programme\SL-8850
2008-12-29 12:01	410,984	----a-w	c:\windows\system32\deploytk.dll
2008-10-09 10:29	18	----a-w	c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SYS386LS.DAT
2007-04-15 16:47	55,296	----a-w	f:\programme\pcwProgramRemap.z.exe
2007-07-09 07:57	848	--sha-w	c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0Partizan\0

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 10:09 49152 f:\programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
--a------ 2003-10-14 17:36 38984 f:\progra~1\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 21:57 30208 f:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 f:\programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-07-06 18:54 180269 f:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2003-02-27 13:29 47104 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\ICQ\\Icq.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"f:\\Zocker\\Risk 2 [ENG] FIXED\\Risk 2\\RISKII.EXE"=
"f:\\Programme\\Message-Bob\\Message-Bob.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Zocker\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"f:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"f:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"f:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"f:\\Zocker\\Scorched3D\\scorcheds.exe"=
"f:\\Programme\\Mozilla Firefox\\firefox.exe"=
"f:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"f:\\Programme\\SopCast\\SopCast.exe"=
"f:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\PROGRAMME\\eMule\\emule.exe"=
"f:\\Zocker\\callofDuty\\CoD2MP_s.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:Emule Kad

R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-03-02 41744]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-06-18 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [2007-05-30 201696]
R2 IGDCTRL;AVM IGD CTRL Service;f:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2009-03-13 34760]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-03-02 87568]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-04-17 4352]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.SYS [2007-04-03 17149]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [2008-04-17 401920]
S3 NETGEAR NETGEAR MA101   USB Adapter(A);NETGEAR NETGEAR MA101   USB Adapter(A) Service for NETGEAR MA101 USB Adapter;c:\windows\system32\drivers\MA1012KA.SYS [2007-04-03 73728]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [2009-03-13 29584]
.
Inhalt des "geplante Tasks" Ordners

2009-03-13 c:\windows\Tasks\Startup Analyser.job
- f:\programme\Greatis\RegRunSuite\TrojanAnalyser.exe [2008-12-22 17:02]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-DAEMON Tools - f:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-DownloadAccelerator - f:\programme\DAP\DAP.EXE
MSConfigStartUp-muBlinder - c:\dokumente und einstellungen\Administrator\Desktop\muBlinder.exe
MSConfigStartUp-NeroCheck - c:\windows\system32\NeroCheck.exe


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box
IE: Crawler Search - tbr:iemenu
LSP: f:\programme\FRITZ!DSL\\sarah.dll
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - f:\programme\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Mozilla\Firefox\Profiles\kdgimhsh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xcomm.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xwsg.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: f:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: f:\programme\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 00:56:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-57989841-790525478-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fa,77,ab,24,df,26,12,7a,31,18,7b,1e,cb,96,06,c8,1b,b0,08,e9,c3,12,b3,
   7f,0d,4f,80,b4,a2,cf,69,19,53,ef,f2,12,08,0d,d5,8f,ff,b7,8a,80,e5,ea,f1,d6,\
"??"=hex:56,93,9d,2b,b0,04,14,af,ad,b1,58,3b,40,99,03,55
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(884)
f:\programme\FRITZ!DSL\sarah.dll
f:\programme\FRITZ!DSL\block.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\programme\AntiVir PersonalEdition Classic\sched.exe
f:\programme\AntiVir PersonalEdition Classic\avguard.exe
f:\programme\avmwlanstick\WLanNetService.exe
f:\programme\CyberLink\Shared files\RichVideo.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14  1:00:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-03-14 00:00:00

Vor Suchlauf: 1.687.916.544 Bytes frei
Nach Suchlauf: 1,615,593,472 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

219
         
Das meiste hat mit Regrun gut geklappt danach habe ich Combofix und den Spybot ausgeführt. Ich denke vor allem unter Regrun hat mein System gut gelitten, da ich als Anfänger nicht sehr gut mit den zahlreichen Funktionen umgehen kann. Anschließend bin ich wieder online gegangen,habe Virenproramme geupdatet und den CCleaner und Avira,Spyware Terminator und A-Squared suchen lassen die alle nichts mehr finden . Mir ist klar, dass das ein Virus war/ist, der sehr schwer zu entfernen ist und gefährlich zu sein scheint. Bevor ich neu aufsetze will ich mir jedoch Vista besorgen und jetzt frage ich mich ob das System bis dahin wieder ausreichend sicher ist. Abschließend noch das HijackThis log :

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:24, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe
F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe
F:\PROGRAMME\avmwlanstick\WlanNetService.exe
F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\svchost.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - F:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\PROGRAMME\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\PROGRAMME\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\PROGRAMME\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - F:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230549361531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230549336265
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - F:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\PROGRAMME\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\PROGRAMME\GEMEINSAME DATEIEN\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
         

Alt 16.03.2009, 14:50   #2
handball10
/// Helfer-Team
 
Rootkit.Bagle entfernt? - Standard

Rootkit.Bagle entfernt?



Hallo Hellfriend,

bei deinem Bagle hilft im Endeffekt nur noch das hier:http://www.trojaner-board.de/51262-a...sicherung.html!

Du hast ja selbst gesehen, was dieser an deinem PC anstellt:
Zitat:
Dann waren alle Virenprogramme (Avira,Spyware Terminator) außer Antimalware kaputt
und das ist noch das harmloseste!

Trenne am Besten den PC physikalisch vom Internet!
Falls du ne Datensicherung machst, lass vorher die Dateien von einem anitViren-Programm wie z.B. von Malwarebytes AntiMalwar überprüfen!

Gruß
Handball10
__________________


Alt 16.03.2009, 16:56   #3
Hellfriend
 
Rootkit.Bagle entfernt? - Standard

Rootkit.Bagle entfernt?



mit MBAM?
Naja, der hat noch am wenigsten gefunden und hat mich echt enttäuscht. Dateien aus dem Internet scanne ich grundsätzlich ersteinmal aber hier haben Avira, Spywareterminator und mbam alle versagt. A-Squared findets ... ich finde das komisch, denn der bagel ist ja nicht gerade neu. RegRun war im Finden und Zertören des Rootkits jedanfalls echt gut.
Weil ich mir aber eben nicht sicher sein kann, dass es nicht doch noch irgendwo systemeinträge gibt, die irgendwelche Türchen offenhalten ist es ja selbstverständlich dass ich Neuaufsetze ... eine Frage bleibt da jedoch noch: Aus der Sicht des SIcherheitsaspektes ist es da sinnvoll auf Vista umzusteigen?
Also ich werde dann mal aufsetzen...

danke
__________________

Alt 16.03.2009, 17:02   #4
Jig Saw
/// Helfer-Team
 
Rootkit.Bagle entfernt? - Standard

Rootkit.Bagle entfernt?



Ich glaub das kommt auf das selbe hinaus. Wer brain.exe nicht nutzt, der hat bei fast jedem Betriebssystem verloren.
__________________
A fool with a tool is still a fool

Alt 16.03.2009, 17:57   #5
handball10
/// Helfer-Team
 
Rootkit.Bagle entfernt? - Standard

Rootkit.Bagle entfernt?



moin,

Zitat:
(...)denn der bagel ist ja nicht gerade neu.
Ehm? Kann ich mir nicht vorstellen! Wäre ja vom Autor recht blöd,
wenn er seine "Schützlinge" nicht immer anpassen und modifizieren würde!

Code:
ATTFilter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.
         
So was hab ich von Bagle noch nie gesehen... Sieht für mich nach etwas neuem aus. (Immerhin: Ich hab was Neues gelernt )

Gruß
Handball10


Antwort

Themen zu Rootkit.Bagle entfernt?
antivir, avira, bho, blockiert, combofix, components, desktop, entfernen, entfernt?, fiese, firefox, firefox.exe, frage, fritz!, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, igdctrl.exe, installation, internet explorer, laufende prozesse, logfile, logon.exe, malwarebytes' anti-malware, mozilla, plug-in, programm, registrierungsschlüssel, scan, security, skype.exe, software, spyware, spyware terminator, stick, suchlauf, system, virus, windows, windows recovery, windows xp




Ähnliche Themen: Rootkit.Bagle entfernt?


  1. Nach GVU Trojaner (bereits entfernt durch euch), möglicherweise noch Rootkit auf meinem Rechner?
    Log-Analyse und Auswertung - 10.01.2013 (11)
  2. Abnow Rootkit (zum Teil wohl entfernt)
    Plagegeister aller Art und deren Bekämpfung - 25.02.2012 (9)
  3. w7 64 bit/rootkit whistler, durch ein kaspersky tool entfernt. combofix durchlaufen lassen
    Log-Analyse und Auswertung - 20.11.2011 (24)
  4. [doppelt]rootkit w7 64 bit whistler, durch ein kaps tool entfernt.
    Mülltonne - 17.11.2011 (3)
  5. Rootkit Patched TDSS GEn entfernt?
    Log-Analyse und Auswertung - 11.04.2011 (21)
  6. Rootkit auf VMWare kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (1)
  7. Rootkit entfernt weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (2)
  8. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  9. Win32/Rootkit.Agent.Odg entfernt - Überprüfung des HJT-Logs
    Log-Analyse und Auswertung - 05.07.2009 (1)
  10. Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
    Plagegeister aller Art und deren Bekämpfung - 12.05.2009 (5)
  11. Trojaner und Rootkit erfolgreich entfernt???
    Log-Analyse und Auswertung - 24.03.2009 (0)
  12. Win32:Rootkit-gen [Rtk] entfernt. System wieder Ok?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2009 (2)
  13. Rootkit / Trojanerbefall- erfolgreich entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 10.10.2008 (25)
  14. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  15. Rechner mit Bagle Rootkit Variante infiziert, brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 29.02.2008 (1)
  16. Bagle / Beagle entfernt!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (3)
  17. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)

Zum Thema Rootkit.Bagle entfernt? - Hallo zusammen! Habe die letzten Tage mit diesem echt fiesen Virus verbracht. Den Virus habe ich mir leider selbst aus dem Internet geladen, denn ich wollte ein Programm wirklich testen - Rootkit.Bagle entfernt?...
Archiv
Du betrachtest: Rootkit.Bagle entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.