Internet blockiert, Bagle noch aktiv?

utc · 26.04.2009, 21:26

Hallo,
nach längerem Suchen in diversen Foren und Ausprobieren diverser Sicherheitsprogrammen und System-Tools, will ich doch hier mal um Rat fragen, bevor ich als letzte Lösung ein Neuaufsetzen meines System angehe.

Vor ein paar Tagen habe ich mir eine Datei heruntergeladen (war auf der Suche nach einer Testversion, bin aber wohl an eine gefakte geraten). Vor dem öffnen der Zip-Datei habe ich auch brav den Virenscanner drüber laufen lassen, der hatte aber nichts gefunden. Später habe ich die Datei online bei virus-total und avira testen lassen und dann kann das eindeutige Ergebnis: Bagle Virus.

Ich habe versucht schnell zu reagieren: ein paar Dateien gelöscht, Virenscanner neu installiert, Systemwiederherstllung abgestellt, bin sogar in den abgesicherten Modus gekommen und habe da spezielle Bagel-Scanner laufen lassen. Die finden nichts mehr. Es scheint auch keine untypische Netzwerkaktivitäten zu geben.

Es bleiben nur folgende Probleme, die ich nicht lösen kann und bei denen ich mich frage, ob Bagel immer noch versteckt auf meinem Rechner ist.
Zone-Alarm startet nicht (auch wenn Hijack This das Programm protokolliert) und wenn ich es manuell starten will kommt die Fehlermeldung „ist keine zulässige Win32-Anwendung“.
Eine Neuinstallation von ZA klappt nicht, da der Download-Server blockiert ist.
Update von Antivira klappt auch nicht, der ist blockiert (ich lade mir nun manuell die aktuelle vdf-Datei herunter)
IE kommt nicht ins Internet
Alle anderen Programme kommen ins Internet, auch die mit denen ich eigentlich arbeite, so dass ich nicht wirklich behindert bin.

Wo ist da der Hacken? Wie kommt es, dass anscheinen weiterhin einzelne IP-Adressen blockiert sind? Ist von Bagle in der Registry etwas geändert worden, das ich rückgängig machen kann?

Hier das Hijack This Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:05, on 26.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programme\java\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\ObjectDock\ObjectDock.exe
D:\Palm\HOTSYNC.EXE
D:\Programme\internet\opera7\Opera.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Daten/Eigene%20Dateien/INTERNET/homepage3/utcindex.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://E:\Daten\Eigene Dateien\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\java\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Copernic Desktop Search - Home - {968631B6-4729-440D-9BF4-251F5593EC9A} - D:\Programme\Copernic Desktop Search 2\DesktopSearchBand300000081.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\ObjectDock\ObjectDock.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184940275796
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\PRG\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\PRG\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 4875 bytes

Internet blockiert, Bagle noch aktiv?

Log-Analyse und Auswertung: Internet blockiert, Bagle noch aktiv?

Internet blockiert, Bagle noch aktiv?

Ähnliche Themen: Internet blockiert, Bagle noch aktiv?