Internet blockiert, Bagle noch aktiv?

utc · 26.04.2009, 21:26

Hallo,
nach längerem Suchen in diversen Foren und Ausprobieren diverser Sicherheitsprogrammen und System-Tools, will ich doch hier mal um Rat fragen, bevor ich als letzte Lösung ein Neuaufsetzen meines System angehe.

Vor ein paar Tagen habe ich mir eine Datei heruntergeladen (war auf der Suche nach einer Testversion, bin aber wohl an eine gefakte geraten). Vor dem öffnen der Zip-Datei habe ich auch brav den Virenscanner drüber laufen lassen, der hatte aber nichts gefunden. Später habe ich die Datei online bei virus-total und avira testen lassen und dann kann das eindeutige Ergebnis: Bagle Virus.

Ich habe versucht schnell zu reagieren: ein paar Dateien gelöscht, Virenscanner neu installiert, Systemwiederherstllung abgestellt, bin sogar in den abgesicherten Modus gekommen und habe da spezielle Bagel-Scanner laufen lassen. Die finden nichts mehr. Es scheint auch keine untypische Netzwerkaktivitäten zu geben.

Es bleiben nur folgende Probleme, die ich nicht lösen kann und bei denen ich mich frage, ob Bagel immer noch versteckt auf meinem Rechner ist.
Zone-Alarm startet nicht (auch wenn Hijack This das Programm protokolliert) und wenn ich es manuell starten will kommt die Fehlermeldung „ist keine zulässige Win32-Anwendung“.
Eine Neuinstallation von ZA klappt nicht, da der Download-Server blockiert ist.
Update von Antivira klappt auch nicht, der ist blockiert (ich lade mir nun manuell die aktuelle vdf-Datei herunter)
IE kommt nicht ins Internet
Alle anderen Programme kommen ins Internet, auch die mit denen ich eigentlich arbeite, so dass ich nicht wirklich behindert bin.

Wo ist da der Hacken? Wie kommt es, dass anscheinen weiterhin einzelne IP-Adressen blockiert sind? Ist von Bagle in der Registry etwas geändert worden, das ich rückgängig machen kann?

Hier das Hijack This Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:05, on 26.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programme\java\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\ObjectDock\ObjectDock.exe
D:\Palm\HOTSYNC.EXE
D:\Programme\internet\opera7\Opera.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Daten/Eigene%20Dateien/INTERNET/homepage3/utcindex.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://E:\Daten\Eigene Dateien\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\java\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Copernic Desktop Search - Home - {968631B6-4729-440D-9BF4-251F5593EC9A} - D:\Programme\Copernic Desktop Search 2\DesktopSearchBand300000081.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\ObjectDock\ObjectDock.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184940275796
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\PRG\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\PRG\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 4875 bytes

myrtille · 26.04.2009, 23:44

Meine Vermutung wäre, dass Bagle noch bzw wieder aktiv.

Lasse bitte mal folgendes Tool deinen Rechner scannen:
FindyKill durchsuchen

Schließe alle USB-Sticks/externe Festplatten und Speicherkarten an den Computer an.
(Windows XP & Vista(32bit))

Lade dir die auf den Desktop.

Installiere das Programm in den vorgegebenen Ordner

Auf dem Desktop erscheint dann ->

Doppelklick das FindyKill-Icon auf dem Desktop (Vista User -> Rechtsklick auf und als Administrator ausführen)

Danach öffnet sich ein DOS-Fenster, wähle "E" für englische Sprache

Suche dann mit der Option "1" nach infizierten Dateien -> Warnung mit OK bestätigen

Nach dem Scan wird unter C:\FindyKill.txt ein Report erstellt, poste diesen in deinem nächsten Beitrag

Ich würd aber bei Bagle generell eine Neuaufsetzung empfehlen. Der verändert sehr viele Einstellungen in deinem System, du wirst dein System nie wieder in den Zustand zurückbekommen, in dem es vor den Befall war.

lg myrtille

utc · 27.04.2009, 20:20

Ich glaub, der Scan bringt mich auch nicht wirklich weiter, oder?

############################## [ FindyKill V4.727 ]

# User : *** (Administratoren) # ***-1
# Update on 27/04/09 by Chiquitine29
# Start at: 21:16:52 | 27.04.2009
# Website :

# AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # 3,5 Zoll-Diskettenlaufwerk
# C:\ # Lokale Festplatte # 9,3 Go (1,18 Go free) # FAT32
# D:\ # Lokale Festplatte # 9,3 Go (1,31 Go free) [xxx] # FAT32
# E:\ # Lokale Festplatte # 27,92 Go (6,3 Go free) [xxx] # FAT32
# F:\ # Lokale Festplatte # 27,92 Go (4,16 Go free) [xxx] # FAT32
# G:\ # Lokale Festplatte # 39,99 Go (22,46 Go free) [xxx] # FAT32
# H:\ # Lokale Festplatte # 19,07 Go (16,82 Go free) [xxx] # FAT32
# I:\ # Wechseldatenträger # 1,89 Go (660,69 Mo free) # FAT
# J:\ # Wechseldatenträger
# K:\ # Wechseldatenträger
# L:\ # Wechseldatenträger
# M:\ # CD
# N:\ # CD

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programme\java\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\ObjectDock\ObjectDock.exe
D:\Palm\HOTSYNC.EXE
D:\Programme\internet\opera7\Opera.exe
D:\Programme\internet\pegasus\winpm-32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\programme\windows media player\wmplayer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders ]

Found ! "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\drivers"
Found ! "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\drivers\downld"

################## [ Infected Temp Files ]

################## [ Registry / Infected keys ]

################## [ Searching in removable drives ]

################## [ Registry / Mountpoints2 ]

# -> Not found !

################## [ ! End of report # FindyKill V4.727 ! ]

myrtille · 27.04.2009, 21:51

Hi,

es sind auf jedenfall noch Reste von Bagle ersichtlich. Ich kanns nur nochmal wiederholen: Am besten wäre hier neuaufsetzen.

Wenn nicht, dann:
Ruf FindyKill bitte nochmal auf und lasse die Option 2 durchlaufen.
Poste das Log im Anschluss hier.

Erstelle bitte außerdem ein Log mit Malwarebytes Anti-Malware (ein Quickscan genügt)

lg myrtille

utc · 28.04.2009, 13:14

Danke,
nach einem weiteren Scan und Reperatur fand FindyKill drei korrupte Dateien in ZoneAlarm. Nachdem ich über Umwege an eine Neuinstallation von ZA gekommen bin (vorher war der Server von ZA blockiert), läuft jetzt wieder alles:
Internet mit IE, Updates von Avira

Ich weiß zwar immer noch nicht voran es gelegen hat, aber ich denke jetzt, dass ich bei Bagle noch einmal mit einem blauen Auge davon gekommen bin. Als erstes werde ich wohl ein Systembackup machen.

Danke noch einmal für die Hilfe.

Internet blockiert, Bagle noch aktiv?

Log-Analyse und Auswertung: Internet blockiert, Bagle noch aktiv?