Neue Version von BAGLE? HILFE!!!
 

Hallo! Ich habe mir aus Neugier/Dummheit den Virus Bagle eingefangen ... fragt sich nur, welchen. Mein Norton hat ihn mit den Virusdefinitionen von gestern nicht erkannt und auch durch den Virenscanner von meinem Provider ist er durchgerutscht. So dachte ich mir, es wäre kein Virus (Scheiße!!!) und hab die Datei geöffnet. Sie lag als EXE Datei in dem Archiv 5.zip (ich weiß, ist dumm von mir, aber jetzt ist es nunmal geschehen).
Seither kann ich auf keine Seiten wie z.B. sophos.de mcafee.com symantec.com etc. zugreifen und auch meine Virendefinitionen von norton nicht mehr updaten (sind auf dem Stand von gestern). Bei Antivir funktioniert es aber

Ich habe die Datei - wie auf einigen Seiten beschrieben - winshost.exe von c:\windows\system32 und auch die zweite, die so ähnlich heißt und die Einträge in der Registry entfernt. Ich hoffe, den größten Schaden somit beseitigt zu haben. Jetzt lasse ich gerade das BitDefender Bagle Removal Tool für Win32.Bagle.C-AY,BJ@mm,Backdoor.Bagle.X laufen, das scheint aber nichts zu finden. Hab zuvor schon Antivir laufen lassen, und alle Dateien, die mit Bagle.gen gefunden wurden entfernt (so z.B. A0087900.exe) in Windows/Recent. Jetzt findet Antivir (aktuelle Definitionen) nichts mehr.
Ich habe das Mail dann an Hotmail weitergeleitet, um so vielleicht herauszufinden, was es für eine Version ist. Der findet mit Trend Micro TROJ_BAGLE.GEN - nachgesehen unter Trend Micro ist das das Erkennungsmerkmal für eine unbekannte Bagle Version.

Was ist aber nun mein Problem? Ich kann immer noch nicht auf die diversen Internetseiten von Antivirenfirmen zugreifen - also ist der Wurm irgendwie noch präsent. Angeblich sollen sich einige Varianten des Wurms in die windows\system32\drivers\ets\hots Datei reinschreiben. Diese Datei wurde tatsächlich auch genau zu dem Zeitpunkt, als ich mir den Wurm eingefangen habe, verändert. Allerdings steht dort nur drinnen:
127.0.0.1 localhost
und das ist ja in Ordnung so. Trotzdem gehen die Internetseiten nicht, also das heißt, eigentlich ist eine Weiterleitung eingebaut, die mich manchmal auf die Seite
http://www.eu.com/
und manchmal auf die Seite "kann nicht anzeigen blabla ..." weiterleitet. (ist übrigens auch im Mozilla, der schreibt irgendwas von einer Zeitüberschreitung).
WO KANN DER VERDAMMTE VIRUS DAS REINGESCHRIEBEN HABEN???
Kann der sonst noch was anrichten?
Bitte helft mir weiter, bin schon ziemlich verzweifelt!
Ich kann - wem es vielleicht hilft, mir weiterzuhelfen, auch das Mail mit dem Virus weiterleiten. Ich weiß ja, dass es ganz sicher das war.

Vielen Dank und viele Grüße
Georg

@georg345
scanne dein system mit escan
chaosman

Bin ich gerade dabei ... aber das scannt ja nur ... was soll ich dann tun, wenn es was gefunden hat? (Müsste das Programm ja dann kaufen, oder?)

Hallo georg345,

es steht ja auch in der Anleitung, dass Escan nur "erkennt".
Wie und was zu löschen ist wird Dir hier empfohlen.
Wenn Du die Anleitung genau gelesen hättest, würdest Du jetzt offline sein und den Scan im abgesicherten Modus durchführen.
Im normalen Modus ist das Ergebnis nutzlos.

dartus

Problemlösung
 

Nachdem ich das Problem nun gelöst habe, möchte ich euch die Lösung natürlich nicht vorenthalten:
Der Trojaner - in der Sophos Bezeichnung - bagleDL-Q (wobei jede Anti-Viren Firma ihn ein bißchen anders nennt und auch gar nicht gesagt ist, dass die Beschreibung im Virenlexikon in allen Details zutrifft) hat bei mir einen zweiten Virus heruntergeladen (übrigens die Datei, die im Sophos Virenlexikon erwähnt wird, nämlich ile.exe, war bei mir nicht zu finden).
Im Verzeichnis C:\windows\ wurde die Datei firewall_anti.exe installiert. Die Datei war mit dem Virus Netdeny-A infiziert. Das konnte aber mein Virenscanner zum gegebenen Zeitpunkt nicht feststellen, da die Datei erst mit den Virendefinitionen vom 2. Juni erkennbar war.
Netdeny-A blockiert die genannten Internetseiten, lässt sich aber nun von Sophos (oder manuell durch Löschen der Datei und der Registry-Einträge) entfernen.

Viele Grüße und danke an alle, die versucht haben, mir weiterzuhelfen.