Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32:Beagle- (https://www.trojaner-board.de/56972-win32-beagle.html)

Micha1234 30.07.2008 14:39
Win32:Beagle-
 
Hallo,

ich habe seit einiger Zeit häufiger Meldungen über dem im Titel genanten Wurm/Trojaner.

Ich habe den Befall eher durch Zufall endeckt. Ich habe ein Programme von Ahampoo und dort gibt es unteranderem die Option "FileWiper". Damit bin ich in der Lage verschiede Ordner und Dateien entgültig zu löschen indem ich sie 3, 7 oder 35 mal überschreiben lassen. Als ich mal mit Ashampoo WinOptimizer meine Platte von Internet, Ordner und Regestry Müll leeren lies, weil Internet und Rechner etwas langsamer wurde, und dann die Sachen im Papierkorb mit dem FileWiper (35x überschreiben) vernichtete, war ich erschrocken.

Ich bekam beim ersten mal schätzungweise 10-15 Alarm Meldungen über diesen Virus. Es war immer der Win32:Beagle- XY (XY steht für verschiedene Endungen, so haben sie zum Beispiel: OX, TY, RL, SB, RS, UY, RI... die Liste lässt sich wahllos und zig mal vortsetzen)

Spybot S&D, Avast (Intensiver Scan), Microsoft Tool zum Entfernen bösartiger Software fanden nie etwas. Dennoch finden sich regelmäig, wenn ich den Winoptimizer und anschließend den FileWiper laufen lasse, 1,2,3 verschiedene Beagle Viren. Und nur dann schlägt Avast Alarm. Bisher habe ich sie immer in Quarantäne geschoben. Löschen lassen sie sich auch, aber seit kurzem lasse ich sie in Quarantäne, weil immer wieder neue auftauchen.

------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:33, on 30.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\Shared Files\CTSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1200226725390
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4485 bytes


Ich hoffe ihr könnt mir helfen. Falls ihr noch Info braucht lass ich sie euch wissen.

Windows Updates sind alle auf dem neusten Stand.

nochdigger 30.07.2008 18:09
Hallo

wo wurden die Schädlinge gefunden (Pfad\Dateiname)?

Überprüfe dein System bitte mit Blacklight und poste anschließend das Log
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

MFG

Micha1234 31.07.2008 00:04
Nabend,

habe nun ne ganze Weile mich durch die Foren, FAQ's und weiteren Links gelesen und hatte mich entschloßen XP neu aufzuspielen.

Habe gelesen dass man bei einem Wurm/Trojanerbefall meist um eine Formatierung nicht drum rum kommt. Und bei dem was ich seit beginn endeckt hatte dachte ich dass auch.

Ich weiß nicht den genauen Ursprung, aber ich hatte das Gefühl dass der Virus sich wahllos auf meinen PC breit gemacht hat. Denn ich hab zum Test mal alte Programme und Dateien die ich nicht mehr gebraucht hab gelöscht: z.B. alte Treiber, Patchdateien verschiedener Spiele und WinRar Dateien. Überall waren einzelne Dateien vom diesem Beagle Wurm/Trojaner infiziert. Cache und Cookies waren regelmäßig, wie oben beschrieben, infiziert.

Da ich mir den Stress nicht geben wollte hab ich nun komplett formatiert.

Trotzdem vielen Dank für deine Hilfe.

nochdigger 31.07.2008 04:52
Moin

Zitat:
Da ich mir den Stress nicht geben wollte hab ich nun komplett formatiert.
Wenn der Beagle aktiv im System war eine gute und richtige Entscheidung.

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19