Hallo,

gestern Abend fing ich mir beim Ausführen einer Setup-Datei einen hartnäckigen Virus ein, der folgende Eigenschaften hat:
- Nach Ausführen der infizierten Setup-Datei wird umgehend die Firewall und AntiVir deaktiviert.
- Danach beim Starten von Anti-Vir und anderen Sicherheitsprogrammen wie u.a. von Hijack-This, Spybot Search & Destroy, findyKill.exe erfolgt die Meldung "keine zulässige Win32 Anwendung".
- AntiVir lässt sich auch nicht über "Dienste" starten; Windows Firewall muss nach jedem Neustart manuell aktiviert werden. Neuinstallationen von Virenprogrammen werden verhindert.
- Hohe Speicherauslastung trotz wenig geöffneter Programme,
- Systemwiederherstellung (Windows XP) nicht möglich, nach Durchführung erfolgt jedesmal eine Fehlermeldung.
- Öffnen von Hijackthis.exe wird auch nach Namensänderung (pruef.com) weiterhin blockiert

Habe mittels F-Secue Blacklight den Rechner gescanned (Ergebnis siehe unten). Parallel hierzu habe ich eben am infizierten Rechner das Programm "RootkitRevealer" laufen, aber es hängt schon seit 30 min fest an der Stelle "cleaning up" (Programm reagiert aber noch). Im Repertoire habe ich noch Sophos (sarsfx.exe) und Gmer; die Analysen stehen noch aus.

Es wäre, wenn jemand von Ihnen / Euch mir weiterhelfen könnte. Möchte ein Neuinstallation möglichst verhindern. Könnten mir die Tuneup-Utilities helfen? Dort sind doch die alte Registry-Daten als Sicherheitskopie vorhanden?

Ich bedanke mich im Voraus für Ihre / Eure Mühe,

shahine

Anbei die Blacklight-Analyse:

05/25/09 02:08:33 [Info]: BlackLight Engine 2.2.1092 initialized
05/25/09 02:08:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/25/09 02:08:33 [Note]: 7019 4
05/25/09 02:08:33 [Note]: 7005 0
05/25/09 02:08:44 [Note]: 7006 0
05/25/09 02:08:44 [Note]: 7011 1756
05/25/09 02:08:44 [Note]: 7035 0
05/25/09 02:08:46 [Note]: 7026 0
05/25/09 02:08:48 [Note]: 7026 0
05/25/09 02:08:48 [Note]: 7024 3
05/25/09 02:08:48 [Info]: Hidden process: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe
05/25/09 02:09:03 [Note]: FSRAW library version 1.7.1024
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966656921.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966658265.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966676093.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966677906.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966679250.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966680500.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966682843.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\downld\966683531.
05/25/09 02:09:06 [Note]: 10002 3
05/25/09 02:09:06 [Note]: 10002 2
05/25/09 02:09:06 [Note]: 10002 2
05/25/09 02:09:06 [Info]: Hidden file: c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\wfsintwq.sys
05/25/09 02:09:06 [Note]: 10002 2
05/25/09 02:09:06 [Info]: Hidden file: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\drivers\winupgro.exe
05/25/09 02:09:06 [Note]: 10002 2
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\AdvrCntr3.dll
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\btc-bar.gif
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\logo.gif
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\NeroAPIGlueLayerUnicode.dll
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\NEROINST.DB
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\NeroPatentActivation.exe
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\NeroUpgrade.exe
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\patentactivationfax.htm
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\rollback.db
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NL3\ShellManager3.dll
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Nero\Shared\NSCLoader.dll
05/25/09 02:11:17 [Note]: 10002 3
05/25/09 02:11:17 [Note]: 10002 2
05/25/09 02:11:17 [Note]: 10002 2
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
05/25/09 02:12:37 [Note]: 10002 3
05/25/09 02:12:37 [Note]: 10002 2
05/25/09 02:12:37 [Note]: 10002 2
05/25/09 02:13:32 [Info]: Hidden file: c:\Programme\Strokes 3.0\autorun.inf
05/25/09 02:13:32 [Note]: 10002 2
05/25/09 02:17:44 [Note]: 10002 2
05/25/09 02:17:44 [Note]: 10002 2
05/25/09 02:19:15 [Note]: 2000 1012
05/25/09 02:19:15 [Note]: 2000 1012
05/25/09 02:19:15 [Note]: 2000 1012
05/25/09 02:37:03 [Note]: 7007 0

Ich habe nun schon einiges versucht, um mit verschiedenen Tools dem Virus zu Leibe zu rücken. Vergebene Mühe, der Virus kennt anscheinend alle Virenentfernungsprogramme. Rootkit Revealer und Sarsfx.exe ließen sich nciht einmal starten. Bei dem Programm Gmer.zip kam ich zwar ein Schritt weiter, aber es war dem Programm nicht möglich, einen vollständigen Scan durchzuführen. Dennoch hat das Programm darauf hingewiesen, dass die Dateien srosa2.sys undi wfsintwg.sys nicht "koscher" sind (beide befinden sich im Verzeichnis: Dokumente und Einstellungen/Administrator/Driver. Die wfsintwg.sys ist versteckt und somit nicht löschbar. Ebenso die Datei winupgrow. Alles in allem handelt es sich wohl um ein Bagle-Virus. Ein Programm zur Beseitigung dieses Viruses habe ich mir runtergeladen (Kaspersky AVZ4). Leider lässt es sich nur zum Teil entpacken, denn der Virus löscht aus dem Verzeichnis 4 wichtige Dateien. Dies macht er übrigens auch auf dem USB-Stick, so dass es gar nicht möglich ist, die fehlenden Dateien in entsprechende Verzeichnis zu verschieben.

Falls jemand von Euch noch Rat weiß, bitte schreiben.

Gruß,
shahine

Hallo,

könntest Du mir den Link zu der Setup.exe bitte als PN (Private nachricht) schicken?

Danach solltest du unverzüglich dein System neu aufsetzen.
Das liest sich alles mehr als übel und Bagle ist ein fieser Worm.

Hier der Link zum neu aufsetzen des Betriebssystems: http://www.trojaner-board.de/51262-a...sicherung.html