TR/Bagle.Gen.B
 

Hallo, ich habe seit gut drei Tagen einen trojaner auf mein Rechner
TR/Bagle.Gen.B
wenn ich diesen jedoch lösche kommst er beim nächsten Restart wieder. ich habe auch den Ordner exefnd gelöscht, weil er bei C:Windows\xefnd\
ist, der Ordner lässt sich wohl löschen aber beim nächsten Restart ist er wieder da. Was kann ich machen ausser formatieren???
Betriebssystem Windows XP Service Pack 2
Es gibt keine Warnmeldung ausser die von Antivir, wenn ich versuche ins Internet zugehen, dann sagt er das die Datei befallen ist mit dem Trojaner.



lg Benny

Hallo benny,

versorge uns doch bitte mal mit etwas mehr Infos.

In welcher Datei wurde der Trojaner gefunden; kannst du von deinem AV-Programm ein entsprechendes Protokoll hier rein stellen?!

Stelle mal bitte daneben ein hijackthis-Protokoll hier rein.

Gruß
Gerd

Hi gerd die datei heisst

C:Windows\exefnd\745828.exe
aber die 745828 die Zahlen ändern sich immer.
Kann ich dann den HijackThis v.1.99.1 benutzen???
Meintest du damit die datei??
Ich invizierte Datei war sehr wahrscheinlich das Programm "mediaface4.0".

Hi Benny,

ja benutzte Hijackthis 1.9.1.
Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com.

Beachte aber bitte bevor du das Log hier rein stellst die Foren-Hinweise hinsichtlich persönlicher Daten und aktiver Links im hjt-protokoll.

Edit: Und wenn du Antivir von AVIRA einsetzt, dann stelle doch mal bitte den Scan-Report hier rein!

Gruß
Gerd

[QUOTE=Gerd_R;290015]

ja benutzte Hijackthis 1.9.1.
Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com.



Meinst du wenn ich die datei Downloade das ich sie dann umbenenne oder wann???

[QUOTE=Sohn_des_Mondes;290109]Genau! Du änderst Hiajckthis.exe in Prüfung1.com!
Mfg

[QUOTE=.::|||::.;290113]
OT:

Na tolle Sache, ich wundere mich über diese Datei hier im Board, lasse sie online überprüfen, dabei ist es nur HijackThis.exe...

Aber sehr einfallsreich der Name .. :party:

Hi sunny,

OT: Ich habe hier in den Anleitungen zum HJT niergendwo einen Hinweis gefunden, welcher neue Name für die Datei zu verwenden ist. Das eine Umbenennung notwendig ist, da manche Vieren den Aufruf der hjt unter dem Originalnamen erkennen und sich dann "verstecken" ist ja hinreichend bekannt.

Sorry daher für die Verwendung des Namens.

Gruß
Gerd

Ich hoffe das es richtig ist mit dem Logfile

of HijackThis v1.99.1
Scan saved at 20:18:15, on 28.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Astra16VTurbo\Desktop\HijackThis.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\TonAuDi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Also die Warnung von Antivir sieht so aus.
"Auf ihrem Computer wurde ein Virus oder ein unerwünschtes Programm gefunden!
Was soll mit der Datei geschehen?
C:WINDOWS\exefnd\83953.exe
Ist das Trojanische Pferd TR/Bagle.Gen.B
In Quarantäne verschieben
Löschen
Umbenennen
Zugriff verweigern
Ignorieren"

Das ist die Warnung von Antivir, und wenn ich auf löschen oder so gehe kommt die Meldung trotzdem wieder.

Jo hab ebenfalls das Problem. Nebenbei öffnen sich ganz von allein auch hier
und da immer die selben IE-Browser Fenster die ich derzeit mit einem
nebenprogi (ckpopupkiller) immer sofort schliesen lasse.

Wie bekommt man den Ordner "exefnd" weg so das er nicht mehr wieder erscheint?

Ich vermute mal das ein anderes Tool auf den Rechner welches auch immer,
ständig diesen Ordner erstellt und darin den Trojaner erzeugt. So scheint es
mir jedenfalls den wenn ich den Ordner lösche erscheint er kurz darauf wieder
nur ist er leer und erst nach kurzer zeit ist eine nummerische *.exe Datei
Vorhanden. Selbst wenn diese auch durch antivir gelöscht wird so erscheint
nach kurzer Zeit wieder eine *.exe Datei die aber wieder eine andere zahlen
bennung hat. Scheinbar ist das Nest der "exefnd" Ordner. Also Ein Nest worin
etwas zum leben erwacht mus einen Schöpfer haben. Meine Meihnung nach
mus auf den Rechner logischerweise etwas sein das ein Nest (exefnd) baut in
dem sich dann eben der shit TR/Bagle.Gen.B entwickelt. Was auch immer wäre
mal interessant zu erfahren wozu der TR/Bagle.gen.B da ist und was er macht
usw.

Hmm hab genau da gleiche problem und das nervt! Da ich wow spiele und ab und zu meldet sich antvir oder meine firewall und das spiel leuft im hintergrund minimiert weiter. bei maximieren wiederholt sich das dann immer wieder...echt frustierend. kein:sword2:
Mir ist augefallen das muss n neuer trojaner sein denk nicht das dass zufall ist das die einträge in diesem Forum darüber erst seit kurzem drinn sind!