|
Bagle, srosa.sys Hallo, ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach ca. 1-2 Min. mit einem BSOD stehen. Der Dateiname "srosa.sys" wurde mir als Verursacher angezeigt. Ich wußte zu dem Zeitpunk nicht, wie gefährlich dieser Virus ist, und habe daraufhin ca. 30 min als Benutzer mit Adminrechten im abgesicherten Modus weitergearbeitet, weil ich unbedingt etwas fertigstellen musste. Das klappte auch "scheinbar" ganz gut, danach habe ich den Rechner dann ausgeschaltet und vom Netz getrennt und arbeite seitdem an einem Zweitrechner. Die Einträge von Seti@home im Avira-Forum habe ich mir durchgelesen, allerdings habe ich eine spezielle Systemkonfiguration, die mir jetzt vielleicht hilft?! In meinem PC sind 3 Festplatten verbaut, mit je 3 NTFS-Partitionen (die mir nur dazu dienen, die Dateien etwas zu strukturieren): - System (XP Pro SP3) liegt auf hda1 (+hda2,hda3) - Eigene Dateien auf hdb1 (+hdb2,hdb3) - Wichtige Arbeitsdaten auf hdc3 (+hdc2, hdc3). Ich benötige zum Weiterarbeiten unbedingt den Inhalt von hdb1 und hdc1. Von hda1 gibt es ein Backup von Anfang der Woche, es fehlen aber die Daten dieser Woche. Dort befinden sich keine *exe* Dateien, nur Bilder, PDFs, Grafikdaten und MS Office/Open Office-dateien. Es gibt ein komplettes Acronis-Image des Systems von vor ca. 6 Wochen (~35Gb, höchste Kompression, auf einer externen Platte, die zum Zeitpunkt des Befalls verbunden aber ohne Strom war). Ich habe allerdings noch nie ein Image zurückgespielt und weiß nicht, was an aktuellen Daten dadurch ersetzt/gelöscht wird und auch gelesen, dass es im Fall Bagle damit allein nicht getan ist?! Da sich ein Neuaufsetzten scheinbar nicht vermeiden lässt würde ich das als (unfreiwillig willkommen) Anlaß nehmen, meine Konfiguration leicht zu ändern und die Systemplatte gegen eine neu größere und schnellere zu tauschen. Die jetzige infizierte stünde also komplett zum späteren Scan und Extraktion relevanter Daten zur Verfügung. Dennoch bitte ich Euch um Hilfe bei den folgenden Fragen: Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung? 1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)? 2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte? 3. Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung? 4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was? Danke D-O-M |
Hallo, ich hab selten so eine detaillierte Problembeschreibung gesehen, mein Respekt. :daumenhoc Zitat:
Wenn es sich dabei um .exe-Dateien handelt (oder andere ausführbare Programme), würde ich diese gründlichst prüfen, bevor sie erneut ausgeführt werden (Ich denke, es besteht die Möglichkeit, Programme mit zu sichern, da Bagle kein File Infector ist). Wenn es aber geht, generell alle Programme verwerfen. Zitat:
Ich denke, das ist idR das selbe. Zitat:
Zitat:
Zitat:
mfg |
Danke für Deine Antwort. Dann besteht also noch Hoffnung :-) Puppy Linux ist ein sehr kleines Linux, das Windows sehr ähnlich ist. Zur Datensicherung: Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger). Lässt er denn wirklich alles außer *exe* Dateien in Ruhe? +++ Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt... Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig? Danke D-O-M |
Kein Problem. ;) Zitat:
Zitat:
Zitat:
Bei Acronis ist es sehr gut beschrieben, wie du die Images zurückspielst. |
So, kleines Update: Ich habe den Rechner neu zusammengeschraubt und die neue Platte auf dem ein Xp (1) installiert war angesteckt. Nach etwas Hick-Hack im BIOS habe ich jetzt wieder ein funktionierendes XP (1) auf C:. Allerdings ist das ja nicht mein "bisheriges" XP (0), sondern die Platte aus nem anderen Rechner. Das Zurückspielen des Backups mit Acronis scheitert bisher daran, dass die Original (!) Boot-CD von Acronis 11 nicht erkannt wird (fatal error...). Zusätzlich musste ich einige Treiber nachinstallieren, da das XP (1) bisher ja auf anderer Hardware lief. Doof... Schreibe wieder, wenns was Neues gibt. D-O-M |
Du hättest doch das Image (MeinBackup.tib ?) auf der infizierten Platte zurückspielen können. Oder etwa nicht? :confused: |
nein, es ist ja so: Mein bisheriges System läuft nicht mehr. Sobald ich davon starte bleib XP ca. 10 Sekunden nach der Anmeldung stehen. Ich kann darauf also überhaupt nicht mehr arbeiten. Ergo muss ich ja irgendwie eine funktionierende Umgebung schaffen, damit ich das Image wieder zurückbekomme (von der externen Backup-Platte). Das habe ich jetzt erstmal so gelöst, dass ich eine andere physikalische Platte als neue System-hda1 ans Laufen bekommen habe. Diese war aber vorher in einem anderen PC, es sind also komplett andere Daten drauf (die brauch ich nicht mehr). Aber: Win XP läuft jetzt erstmal wieder. Ich kann also soweit arbeiten, dass ich an mein Backup sichtbar (per Win-Explorer) rankomme. Nur mit dem Zurückspielen per Acronis klappt es nicht... Nach meinem Verständnis muss ich doch von einer CD/der Acronis-CD booten, wenn ich das Backup wieder einspielen will (egal auf welche Platte). Nach dem Befall mit dem Virus kann ich ja nicht ausschließen, dass eine Acronis-Installation auf der (bisherigen) Festplatte auch infiziert ist... Oder mache ich da nen Denkfehler? D-O-M |
Huiui, ich komm schon fast durcheinander. :balla: Ich brauch zum Überspielen eines Images keine Acronis CD. Apropos CD, es gibt auch Windows Live CDs, wenn mich nicht alles täuscht. |
ja, vielleicht gehe ich es etwas kompliziert an... :-) WIE... wie soll ich denn ein Image auf eine infizierte Platte zurückspielen auf der alle exe dateien potentiell infiziert sind und auf der ich nicht mehr ins System komme, weil es nach paar Sekunden steht (BSOD) Wie gehst Du denn vor, wenn Du ein Image zurückspielst? Und von WO? btw: hab gesehen, dass das letzte komplette Image von Ende August ist... Grrrrr..... D-O-M |
Zitat:
Oder von der Acronis CD. |
mmmh.... da hab ich dann wohl doch was bei der Installation übersehen. Ich habe diese Option nicht. Werde es nochmal mit der CD versuchen. +++ Noch etwas zur Datensicherung: Kann ich denn meine ehemaligen "Zweitplatten" ohne Sorge in ein Windows-System hängen? Ich möchte darauf zugreifen, die Daten rausziehen und dann formatieren. Danke für Hilfe D-O-M |
Zitat:
Wenn du kein Risiko eingehen willst, würde ich von einer Live CD aus booten. |
meine Sammlung an Live-CDs ist grad verdächtig klein :-) Ich schau mal, ob ich eine heruntergeladen bekomme und melde mich dann mal wieder. Hast Du noch einen Tipp für mich, welche Software im Idealfall direkt nach dem Anstöpseln der Zweitplatten zum Säubern eingesetzt werden sollte (oder welche in welcher Reihenfolge). Danke schonmal für Deine sehr gute Hilfe heute und nen schönen Abend noch. Bin noch ca. ne Viertelstunde im Büro. D-O-M Nachtrag: Jetzt wirds doch nochmal lustig: - Reboot nach der Acronis 11 Installation - ... Boot from Atapi-CD Rom: Starting Acronis Loader... Acronis Loeader fatal error: Boot drive (partition) not found Press <Enter> try to boot your OS... Drücke ich dann Enter kommt die selbe Fehlermeldung immer wieder Starte ich den PC aber ohne CD komme ich ganz problemlos in XP... Also stimmt irgendwas mit dem Loader nicht oder der CD? Ist ne Original-CD von Acronis... |
Zitat:
Zum Überprüfen reicht eigentlich dein AVP und EliBagle. Evtl. wenn du sicher gehen willst, würde auch ein Online Scanner nicht schaden. Zitat:
Edit: Du sagtest du kommst problemlos in XP. Also könntest du theoretisch doch von da aus das Image überspielen, seh ich das richtig? Hast du die Möglichkeit, die CD erneut zu brennen? |
Hallo, neuer Tag, neues Glück... Ich habe jetzt alle bisherigen Platten in meinem System wieder in Betrieb genommen und arbeite derzeit von einem Live-Linux-System aus. Meine nächsten Schritte sind: - Schreibgeschützten USB-Stick besorgen und darauf mit Keypass ab sofort alle Passwörter ablegen. Hat mir dazu jdm. einen Tipp? Irgendwie scheints keine Sticks zu geben, die mind. 2Gb groß, schnell UND sicher sind?? - System komplett scannen, mehrfach und intensiv :-) - Alle wichtigen Daten meiner alten Platten über Linux auf eine externe Platte sichern. Im Zuge dessen werde ich auch ne komplett neue Ablagestruktur einrichten um in Zukunft alle wichtigen Daten schnell wieder zusammenzuhaben. - Windows neu aufsetzen (nerv)... Tipps dazu? Gruß D-O-M |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board