Keine .exe, Keine Updates, Keine https
 

Hi,

ich habe vor circa einer woche ein programm von jemand bekommen (sollte so ein kleines spiel sein), ich wollte dies auf meinem lapi installieren, aber bei der installation kam mir der name dieses spiels sehr komisch vor "etoro". ich habe die installation abgebrochen und seid dem nur probleme.

1. virenscaner (nod32) und firewall (zonealarm pro) lassen sich nicht mehr starten - Fehler: ...exe ist keine zulässige win32 anwendung
2. t-online kann ich starten auch emails abrufen, aber ich kann auf keine seiten gehen.
3. systemwiederherstellung funktionierte nicht, da er mir sagt, es gibt nix was installiert wurde, was man rückgängig machen konnte.
4. habe in der regedit (die ich ohne probleme aufrufen kann) nach etoro geschaut und nur einen eintrag gefunden und diesen gelöscht (nach systemstart hab ich nichts mehr gefunden)
5.normale updates von windows konnte ich nicht aus dem internet ziehen, da ja die seiten nicht funktionieren, also habe ich mir updates von winfuture geholt. diese versucht auszuführen, aber immer wieder das selbe...keine zulässige win32 anwendung.
6. spybot oder ähnliches kann ich ebenfalls nicht ausführen.
7. aber jedes "unwichtige" andere programm...nero..spiele usw. kann ich ohne probleme öffnen und benutzen.
8. hatte mal gelesen dass es einen sog. sircam virus gibt, der verhindert exe aufzurufen, habe auch nach diesem in der regedit gesucht..ohne erfolg.
9. bin ratlos und hoffe jemand kann mir helfen. habe ein hijack file gemacht, aber das ging auch nur mit einer veränderten version (qlketzd.com die ich hier gefunden hatte). die richtige exe konnte ich natürlich auch nicht öffen.

hier der log
vielen dank schon mal für die hilfe

Hi,

das ist doch sehr verdächtig.

Blacklight scannen lassen

• Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
• Klicke "I accept the agreement", "next", "Scan".
• wenn der Scan zuende ist, wähle "Close".
• Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl

Hi,

hier der blacklight log:

Danke

Da KarlKarl offline ist, guck mal hier Win32.Beagle

Diese 3 Files gehören zu Beagle, einem gemeinen Backdoor. Trenn die Kiste physikalisch vom Netz und setz neu auf! Anleitung beachten!

Hallo Sky,

danke für die schnelle antwort. das hört sich theoretisch ja schon gut an, aber praktisch..ich hab mal bei sophos nach geschaut, es gibt ja mittlerweile sehr viele kleine programme die solche shit teile löschen und wieder reparieren.hab auch was gefunden für den bagel und hab das installiert, aber leider findet er diesen virus auf meinem pc nicht. dieses program von sophos ist nur dafür da diesen bagel virus zu lokalisieren und die defekte zu reparieren.

hast du vielleicht noch eine andere idee? ich möchte mein system ungern neu aufsetzen, da ich weiß, dass das mit win xp und so ner recovery cd sehr schwierig ist. ich such auch gerne noch weiter, wenn ich das aufsetzen verhindern kann.

danke schon mal und vielleicht hast du oder ein anderer noch einen tip für mich.

hallo nochmal

Hierzu nochmal eine Frage.

kann ich mein system überhaupt neu aufsetzen, wenn mein cd laufwerk kaputt ist und ich "nur" ein externes habe??? das wird doch beim booten nicht erkannt, oder?

vielen dank

Doch, das dürfte IMHO gehen.

Hallo Dark Viruz,

ich hab mich vielleicht etwas wage ausgedrückt. ich meinte mit externem laufwerk ein usb CD/DVD laufwerk. ich dachte usb wird erst durch Windows erkannt, aber booten tu ich doch im dos modus..kann das wirklich funktionieren??

außerdem wie ist das, wenn ich nur eine recovery cd von windows habe. ich habe mal gelesen, dass das nur eine "abgespeckte" version von windows ist und nach dem, bzw. bei dem neu aufsetzten dadurch probleme entstehen?!

habe jetzt auch mal diese threat fire programm zur lösung meines bagle problem runtergeladen und installiert, es hat auch sehr viele sachen gefunden unter anderem auch die 4 berüchtigten dateien, woran man den bagle erkennt und außerdem noch extrem viele sachen von windows aus der regedit. konnte aber da nur auf "gesperrt" gehen, doch das problem besteht leider immer noch, dass alles wichtige durch bagle blockiert wird.

gibt es für dieses rootkit echt keine andere lösung als neu aufsetzen? was ist mit diesen ganzen "tollen" programmen die rootkits finden sollen? finden die die nur und beheben das problem nicht?? ich find es sehr seltsam... vielleicht weiß jemand noch ein gutes program mit dem man diesen kleinen bastard an den kragen gehen kann.

danke nochmal für eure hilfe

Hi,
Bagle wird über Threatfire nur Lachen, das ist schonmal klar.
Mit der Recovery CD meinst du die CD, die beim Rechner dabei war?
Die nimmst du dann zum Neuaufsetzen.
USB dürfte im BIOS erkannt werden, ist mal bei mir der Fall.

Und ich versteh nicht, was du mit Bagle's Rootkit willst. :confused:
Für Rootkits schon, für einen Bagle-Wurm nicht.
Und nein, es gibt keine Programme, die bei einer Bagle-Infektion den Super GAU verhindern würden.

solong..

Das mit Threadfire ist ein Missverständnis: Wenn Du es vorher installiert gehabt hättest, bevor du den Bagle installiert hast, dann hätte es sein können, dass es was verhindert hätte. Hinterher ist es zu spät, das gilt ebenso für die üblichen Virenscanner. Solange die Malware sich noch nicht im System verankert hat ist sie wehrlos, da haben Threadfire und Virenscanner eine Chance (wenn sie es dann erkennen), hinterher aber wird das System von der Malware kontrolliert. Wenn sie will, deinstalliert sie Threadfire & Co. kurzerhand, bzw. macht sie anderweitig funktionsunfähig, gerade Bagle macht das sehr gerne.

Irgendwie bin ich ja auch etwas neugierig, wo Du den Bagle wohl herhast. Vielleicht irgendwas aus P2P? Ist es jedenfalls sehr oft.

Hallo Dark Viruz und KarlKarl,

vielen Dank für eure schnellen antworten. Naja, dann werd ich wohl jetzt meinen Urlaub "sinnvoll" nutzen :heulen: :killpc:

Ja genau. werd auch die neuinstallationshilfe hier im forum benutzen (sicher ist sicher)

Muss ich hierfür was bestimmtes einstellen, oder tun? hab das noch nie von einem usb gerät gemacht.

aus loswerden wollte ich nix damit...sorry..hab nur verschiedene dinge gelesen..einmal ist es ein Virus, dann ein Wurm, dann ein trojaner und dann ein rootkit...wieso ist es so schwierig so einen "wurm" zu entfernen? es gibt doch hunderte programme für so einen mist...wieso gibt es keines, welchen so einen wurm an der wurzel packt und ihn mit einem knall im universum verschwinden lässt? sorry bin ziemlich angepi...t deswegen...hatte bis jetzt noch nie so ein großes problem da ich dachte, dass ich mit nod und zonealarm eigentlich gut geschützt bin, aber programme alleine helfen da nicht..man sollte sich auch nicht jedenmist unterjubeln lassen..das hab ich draus gelernt..naja hatte dann vielleicht doch was gutes :aufsmaul:

werd falls mein system wieder läuft threatfire als zusätzlichen schutz laufen lassen und "freunden" nicht blind vertrauen.

aber zum schluss hab ich noch eine wichtige frage:

kann ich auch andere systeme durch einen usb stick infizieren? musste ja irgendwie die ganze software auf meinen kranken lapi bringen und habe von meinem hauptrechner die sachen aus dem netz gezogen, auf den usb gepackt und auf meinen lapi getan und das mehrere male.
+ kann sich der wurm auf eine externe festplatte übertragen, wenn ich eine sicherungskopie mache?

danke nochmal jungs. ihr wart mir eine große hilfe. :dankeschoen:

tja da is mir doch gerade noch ne frage eingefallen.

bei mir ist das so ich habe einen hauptrechner der an einen "router" angeschlossen ist, der router dient aber hier nicht als router, sondern eigentlich nur als switch (oder hub...wie auch immer).

ich habe daran meinen rechner und manchmal meinen lapi angeschlossen. beide gehen mit unterschiedlichen providern ins netz (deswegen ist im router auch kein benutzername und passwort eingegeben) und er fungiert wie gesagt nur als "vermittler" mit der dsl leitung.

so. der hauptrechner ist immer an und auch meist im netz. den lapi mach ich ab und zu an (beide gehen über lan nicht über wlan ins netz). kann sich der wurm vom lapi auch auf den "router" übertragen haben? ich habe nämlich seit mein lapi infiziert wurde sehr oft abstürtze im internet am hauptrechner.

außerdem ist es möglich das der wurm sich über das lan auf andere rechner überträgt?

was macht dieser wurm genau? sind meine persönlichen daten die evtl. auf dem lapi waren in gefahr? wozu ist dieses ding überhaupt da? nur um andere in den wahnsinn zu treiben :balla:? oder verfolgt es ein höhres ziel :teufel2:?

ich habe nix sinnvolles im netz über diesen bagle gefunden, was ich verstanden hätte.

danke schon mal für eure antworten.

Den Unterschied zwischen Virus, Wurm und Trojaner kannst du bei Wikipedia nachlesen, da ist es teils gut erläutert.
Nein, durch Router sind Netzwerkwürmer oder Würmer mit solchen Nebeneigenschaften hinfällig geworden.
Über Bagle gibt es viel zu erfahren. Damals war er ein Massmailing-Wurm, neben Netsky und Mydoom einer der Verbreitetsten.

Heutzutage ist Bagle sozusagen der regelrechte Super GAU für einen Rechner.
Hauptfunktionen sind:

• Abschießen des Safe Mode
• Löschen/Beenden der Antivirenprogramme und Softwarefirewalls
• Informationen stehlen
• Backdoor erstellen

Hallo Dark,

sind ja tolle aussichten..bin gerade bei der sicherung meiner wichtigsten daten.

ich hatte da noch eine frage unbeantwortet, das mit dem usb! geht der wurm auch auf den stick oder auf die externe festplatte??

ist doch sehr wichtig zu wissen.

danke

Schwer zu sagen, die neuesten Bagle-Würmer verbreiten sich auch via Autorun.
Wenn du keine Autorun.inf auf all deinen Laufwerken (interne Festplatten) finden kannst, geh ich davon aus, das deiner dies nicht tut.

naja xDDD muss ja ein toller freund sein ^^

hi nochmal.

nur um dies zum abschluss zu bringen. hab heute meine platte platt gemacht. hat alles gut funktioniert und mein system ist anscheinend bagle frei.

ich wollte euch allen nur nochmal vielen dank sagen. ihr wart mir echt ne hilfe.

:dankeschoen: