|
Bagle, srosa.sys Hallo, ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach ca. 1-2 Min. mit einem BSOD stehen. Der Dateiname "srosa.sys" wurde mir als Verursacher angezeigt. Ich wußte zu dem Zeitpunk nicht, wie gefährlich dieser Virus ist, und habe daraufhin ca. 30 min als Benutzer mit Adminrechten im abgesicherten Modus weitergearbeitet, weil ich unbedingt etwas fertigstellen musste. Das klappte auch "scheinbar" ganz gut, danach habe ich den Rechner dann ausgeschaltet und vom Netz getrennt und arbeite seitdem an einem Zweitrechner. Die Einträge von Seti@home im Avira-Forum habe ich mir durchgelesen, allerdings habe ich eine spezielle Systemkonfiguration, die mir jetzt vielleicht hilft?! In meinem PC sind 3 Festplatten verbaut, mit je 3 NTFS-Partitionen (die mir nur dazu dienen, die Dateien etwas zu strukturieren): - System (XP Pro SP3) liegt auf hda1 (+hda2,hda3) - Eigene Dateien auf hdb1 (+hdb2,hdb3) - Wichtige Arbeitsdaten auf hdc3 (+hdc2, hdc3). Ich benötige zum Weiterarbeiten unbedingt den Inhalt von hdb1 und hdc1. Von hda1 gibt es ein Backup von Anfang der Woche, es fehlen aber die Daten dieser Woche. Dort befinden sich keine *exe* Dateien, nur Bilder, PDFs, Grafikdaten und MS Office/Open Office-dateien. Es gibt ein komplettes Acronis-Image des Systems von vor ca. 6 Wochen (~35Gb, höchste Kompression, auf einer externen Platte, die zum Zeitpunkt des Befalls verbunden aber ohne Strom war). Ich habe allerdings noch nie ein Image zurückgespielt und weiß nicht, was an aktuellen Daten dadurch ersetzt/gelöscht wird und auch gelesen, dass es im Fall Bagle damit allein nicht getan ist?! Da sich ein Neuaufsetzten scheinbar nicht vermeiden lässt würde ich das als (unfreiwillig willkommen) Anlaß nehmen, meine Konfiguration leicht zu ändern und die Systemplatte gegen eine neu größere und schnellere zu tauschen. Die jetzige infizierte stünde also komplett zum späteren Scan und Extraktion relevanter Daten zur Verfügung. Dennoch bitte ich Euch um Hilfe bei den folgenden Fragen: Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung? 1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)? 2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte? 3. Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung? 4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was? Danke D-O-M |
Hallo, ich hab selten so eine detaillierte Problembeschreibung gesehen, mein Respekt. :daumenhoc Zitat:
Wenn es sich dabei um .exe-Dateien handelt (oder andere ausführbare Programme), würde ich diese gründlichst prüfen, bevor sie erneut ausgeführt werden (Ich denke, es besteht die Möglichkeit, Programme mit zu sichern, da Bagle kein File Infector ist). Wenn es aber geht, generell alle Programme verwerfen. Zitat:
Ich denke, das ist idR das selbe. Zitat:
Zitat:
Zitat:
mfg |
Danke für Deine Antwort. Dann besteht also noch Hoffnung :-) Puppy Linux ist ein sehr kleines Linux, das Windows sehr ähnlich ist. Zur Datensicherung: Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger). Lässt er denn wirklich alles außer *exe* Dateien in Ruhe? +++ Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt... Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig? Danke D-O-M |
Kein Problem. ;) Zitat:
Zitat:
Zitat:
Bei Acronis ist es sehr gut beschrieben, wie du die Images zurückspielst. |
So, kleines Update: Ich habe den Rechner neu zusammengeschraubt und die neue Platte auf dem ein Xp (1) installiert war angesteckt. Nach etwas Hick-Hack im BIOS habe ich jetzt wieder ein funktionierendes XP (1) auf C:. Allerdings ist das ja nicht mein "bisheriges" XP (0), sondern die Platte aus nem anderen Rechner. Das Zurückspielen des Backups mit Acronis scheitert bisher daran, dass die Original (!) Boot-CD von Acronis 11 nicht erkannt wird (fatal error...). Zusätzlich musste ich einige Treiber nachinstallieren, da das XP (1) bisher ja auf anderer Hardware lief. Doof... Schreibe wieder, wenns was Neues gibt. D-O-M |
Du hättest doch das Image (MeinBackup.tib ?) auf der infizierten Platte zurückspielen können. Oder etwa nicht? :confused: |
nein, es ist ja so: Mein bisheriges System läuft nicht mehr. Sobald ich davon starte bleib XP ca. 10 Sekunden nach der Anmeldung stehen. Ich kann darauf also überhaupt nicht mehr arbeiten. Ergo muss ich ja irgendwie eine funktionierende Umgebung schaffen, damit ich das Image wieder zurückbekomme (von der externen Backup-Platte). Das habe ich jetzt erstmal so gelöst, dass ich eine andere physikalische Platte als neue System-hda1 ans Laufen bekommen habe. Diese war aber vorher in einem anderen PC, es sind also komplett andere Daten drauf (die brauch ich nicht mehr). Aber: Win XP läuft jetzt erstmal wieder. Ich kann also soweit arbeiten, dass ich an mein Backup sichtbar (per Win-Explorer) rankomme. Nur mit dem Zurückspielen per Acronis klappt es nicht... Nach meinem Verständnis muss ich doch von einer CD/der Acronis-CD booten, wenn ich das Backup wieder einspielen will (egal auf welche Platte). Nach dem Befall mit dem Virus kann ich ja nicht ausschließen, dass eine Acronis-Installation auf der (bisherigen) Festplatte auch infiziert ist... Oder mache ich da nen Denkfehler? D-O-M |
Huiui, ich komm schon fast durcheinander. :balla: Ich brauch zum Überspielen eines Images keine Acronis CD. Apropos CD, es gibt auch Windows Live CDs, wenn mich nicht alles täuscht. |
ja, vielleicht gehe ich es etwas kompliziert an... :-) WIE... wie soll ich denn ein Image auf eine infizierte Platte zurückspielen auf der alle exe dateien potentiell infiziert sind und auf der ich nicht mehr ins System komme, weil es nach paar Sekunden steht (BSOD) Wie gehst Du denn vor, wenn Du ein Image zurückspielst? Und von WO? btw: hab gesehen, dass das letzte komplette Image von Ende August ist... Grrrrr..... D-O-M |
Zitat:
Oder von der Acronis CD. |
mmmh.... da hab ich dann wohl doch was bei der Installation übersehen. Ich habe diese Option nicht. Werde es nochmal mit der CD versuchen. +++ Noch etwas zur Datensicherung: Kann ich denn meine ehemaligen "Zweitplatten" ohne Sorge in ein Windows-System hängen? Ich möchte darauf zugreifen, die Daten rausziehen und dann formatieren. Danke für Hilfe D-O-M |
Zitat:
Wenn du kein Risiko eingehen willst, würde ich von einer Live CD aus booten. |
meine Sammlung an Live-CDs ist grad verdächtig klein :-) Ich schau mal, ob ich eine heruntergeladen bekomme und melde mich dann mal wieder. Hast Du noch einen Tipp für mich, welche Software im Idealfall direkt nach dem Anstöpseln der Zweitplatten zum Säubern eingesetzt werden sollte (oder welche in welcher Reihenfolge). Danke schonmal für Deine sehr gute Hilfe heute und nen schönen Abend noch. Bin noch ca. ne Viertelstunde im Büro. D-O-M Nachtrag: Jetzt wirds doch nochmal lustig: - Reboot nach der Acronis 11 Installation - ... Boot from Atapi-CD Rom: Starting Acronis Loader... Acronis Loeader fatal error: Boot drive (partition) not found Press <Enter> try to boot your OS... Drücke ich dann Enter kommt die selbe Fehlermeldung immer wieder Starte ich den PC aber ohne CD komme ich ganz problemlos in XP... Also stimmt irgendwas mit dem Loader nicht oder der CD? Ist ne Original-CD von Acronis... |
Zitat:
Zum Überprüfen reicht eigentlich dein AVP und EliBagle. Evtl. wenn du sicher gehen willst, würde auch ein Online Scanner nicht schaden. Zitat:
Edit: Du sagtest du kommst problemlos in XP. Also könntest du theoretisch doch von da aus das Image überspielen, seh ich das richtig? Hast du die Möglichkeit, die CD erneut zu brennen? |
Hallo, neuer Tag, neues Glück... Ich habe jetzt alle bisherigen Platten in meinem System wieder in Betrieb genommen und arbeite derzeit von einem Live-Linux-System aus. Meine nächsten Schritte sind: - Schreibgeschützten USB-Stick besorgen und darauf mit Keypass ab sofort alle Passwörter ablegen. Hat mir dazu jdm. einen Tipp? Irgendwie scheints keine Sticks zu geben, die mind. 2Gb groß, schnell UND sicher sind?? - System komplett scannen, mehrfach und intensiv :-) - Alle wichtigen Daten meiner alten Platten über Linux auf eine externe Platte sichern. Im Zuge dessen werde ich auch ne komplett neue Ablagestruktur einrichten um in Zukunft alle wichtigen Daten schnell wieder zusammenzuhaben. - Windows neu aufsetzen (nerv)... Tipps dazu? Gruß D-O-M |
Hallo, Zitat:
Zitat:
Ansonsten einfach stur der Anleitung nach. :D |
Zitat:
Ne, mal ehrlich. Sticks mit Verschlüsselung etc. - taugen die was oder sollte ich doch die Finger davon lassen? |
Zitat:
Was du aber auf keinen Fall tun solltest, die Passwörter auf dem Rechner lassen. |
Warum Acronis nicht bootet... Hallo, Wieder was gelernt: Warum meine Original-Acronis-CD 11 nicht bootet: "Ab ATI Home 10 Build 8064 fehlen 2 bisher enthaltene Plugins. Du kannst Du sie extra nachladen unter "Registrierte Produkte" in Deinem Acronis-Konto! Bis ATI Home 11 - BartPe plugin und SafeMedia plugin" (von der Seite http:__www.der-wmp.de_backup_Backup.htm) Bis man auf sowas mal kommt... D-O-M |
Ganz ehrlich, ich wäre nicht darauf gekommen. :eek: |
Aktueller Stand - sieht gut aus Hallo, tja, erst muss was schiefgehen, damit man(n) dazulernt. Wie im wahren Leben eben... Aktueller Stand: Nachdem ich mich bei Acronis registriert habe, konnte ich ein Update downloaden von TrueImage (Build8105). Nach Installation auf dem Zweit-PC konnte ich eine Notfall-Boot-CD brennen, die einwandfrei funktioniert. Jetzt kann ich auch Alles das sehen, was Du vermutlich bisher zu sehen bekommen hast. Ein kleines Problem bleibt wohl noch: Auf dem infizierten PC habe ich Acronis vermutlich nicht richtig (also unvollständig) installiert. Ich muss noch versuchen, ob dort das Booten von CD ebenfalls funktioniert. Edit: Getestet, funktioniert NICHT. Man muss also Acronis wirklich komplett richtig VORHER installieren auf dem sauberen XP damit die Boot-CD im Notfall funktioniert. Nachträglich scheint da keine Möglichkeit zu bestehen. Wer Näheres weiß - immer her damit. Irgendwie erscheint mir das Alles bischen sinnfrei: Wenn meine Festplatte schwerer geschädigt worden wäre (z.B. die Acronis Secure Zone) käme ich ja gar nicht mehr an ein Image?! Welche Möglichkeit hätte ich denn auch z.B. bei einem Hardwarefehler oder Crash der Platte? Da müßte ich ja ZUERST WinXP NEU installieren, dann Acronis TI, dann von der Notfall-CD booten und DANN mein Backupimage über das gerade neuinstallierte XP spielen... Das wäre doch total bescheuert?? Oder steh ich auf dem Schlauch? Naja, ein Gutes hat es immerhin: ich lerne... und lerne... und lerne... - und mache für heute die Kiste aus :-) Danke für Deine Antworten und Gute Nacht! D-O-M |
Hallo, ich würde es am besten jetzt so machen: 1. Festplatte formatieren und Windows neuaufspielen 2. Alle Updates einspielen, Treiber installieren und nötige Software installieren 3. Erneutes Image mit Acronis (vollständiges Acronis :D ) machen Zitat:
Außer du hast das Geld für einen Spezialisten, der dir die Daten wiederherstellt (um die 4000€). Zitat:
Es gibt eben keine fehlerfreie Software. :rolleyes: Aber so ist man immer auf einen Ernstfall (wie deiner, mit Bagle) vorbereitet und kann dementsprechend entgegenwirken. Gute Nacht :party: |
Aktueller Stand: Datenrettung gemacht (16Gb) Festplatte formatiert Software und Treiber lade ich gerade herunter Dann: System neu aufsetzen (XP) SP3 einspielen + Treiber Alte Daten auf Konistenz prüfen und alle EXE in die Tonne treten Acronis 11 installieren und Images ziehen Vielleicht noch Ubuntu als Dual-Boot aufsetzen (für die Zukunft) = Frieden und Ruhe bis zum nächsten Mal :daumenhoc Edit: Schöner Nebeneffekt der Aktion: Konnte ca. 50Gb an alten Daten entsorgen. Ein "sehr" umfangreicher Weg altes Zeug zu löschen, aber es befreit richtig! |
Ich koennte einfach nur k*****! Hello everybody, es sind mal wieder paar Stunden vergangen und aktuell siehts so aus: Win XP installiert SP3 installiert (Die IT-Version von MS, die von WinFuture vom Okt08 ging nicht) Avira installiert und upgedatet Acronis installiert und upgedatet Alle relevanten Daten habe ich geprüft (sind okay - zum Glück!) So, und jetzt kommts: Windows wird neu gestartet und ich werde jetzt gezwungen es zu AKTIVIEREN - d.h. ich komme gar nicht dazu ein erstes Image zu machen, BEVOR ich nicht einmal ins Internet gehe. Ich bin kurz davor zu SCHR****!! Mittlerweile hab ich mehr Nerv mit MS als mit dem Trojaner. D-O-M |
Soweit ich weiß kann man das Windows auch per Telefon(kostenlose Hotline) aktivieren.. Ist zwar etwas umständlicher, aber dafür musste du nicht ins inet.. Aber halte schon mal Stift und Papier bereit falls du dir nicht nen Haufen Zahlen merken willst^^ Ich hoffe ich konnte dir helfen MfG dborys |
Stand der Dinge Hallo, ich habe Windows jetzt aktiviert (musste doch für paar Sekunden ins Internet). Es ist absolut unmöglich VORHER irgendwelche Einstellungen an der Firewall oder den Diensten zu vorzunehmen. Zwangsweise ist man also völlig ungeschützt online! Wie dem auch sei. Aktuell habe ich XP soweit, dass ich ein vollständiges Backup erstelle der Systempartition. Blöderweise ist mir bei der Installation von CD ein Fehler passiert: Ich habe XP auf der zweiten Partition der ersten Festplatte installiert. Frage: Ist das von Nachteil, wenn ich anschließend noch Ubuntu installieren möchte? Die Installation von Programmen unter XP funktioniert ja einwandfrei, nur eben auf "Laufwerk E:" (hda2). Ich bilde mir ein, mal gelesen zu haben, dass das sogar von Vorteil sei, weil viele Schadprogramme erstmal auf C: nach Dateien suchen, die sie beschädigen können?! Richtig - Falsch? Sollte ich die Installation nochmal auf C: ändern? Wäre ärgerlicherweise nämlich mit erheblichem Aufwand verbunden :nixda:. Danke D-O-M |
Zitat:
Zitat:
Ubuntu extra auf HDD... Ich würde es auf CD/DVD brennen. ;) |
Frage zur Backup-Erstellung Hallo Shark, :dankeschoen: für Deine Antwort. Fragen: Ich habe mit Gparted die Windows-Partition verkleinert (vorher sauber defragmentiert und beim nächsten Systemstart die Zuordnungstabellen von XP korrigieren lassen). So habe ich jetzt den benötigten Platz für Ubuntu. Als nächstes möchte ich aber erst das Backup der XP-Startpartition (~50Gb) erstellen. Gibt es einen optimalen Weg, dass Acronis für ein komplettes Backup davon nicht 17(!)h benötigt? Auf der Partition ist aktuell ja nur Win-XP +SP und ca. 200Mb Programmdaten drauf, sie ist also zum größten Teil "leer". Oder dauert das einfach so lange? Kann doch eigentlich nicht sein... Gruß D-O-M Edit: Die Dauer der Erstellung scheint maßgeblich von der Einstellung: Methode Sektor-für-Sektor abzuhängen. Ich gehe mal einfach das Risiko ein und erstelle das Image ohne diese Option. |
Mein Festplattenimage der Systempartition (ca. 27 GB) hatte zwei Stunden gedauert. Ich kann dir via Fernanalyse leider nicht sagen, woran das bei dir liegt, das es so lange dauert. |
cronis Hallo Shark, wenn man den Haken bei Methode Sektor-für-Sektor rausnimmt, erhalte ich ein Backup mit ca. 7,5Gb. Die Erstellung dauert dann nur ca. 20min. Es wird langsam... :rolleyes: |
Hm, ich befürchte schlimmes... vermutlich eine W32/PEBCAK-Variante. :p Kämpf dich hier mal durch, ich glaube, das liegt nicht an Acronis. ;) PDF-Handbuch Acronis True Image11 Edit: Um zum Bagle nochmal zu kommen: Zitat:
|
Entwarnung Hallo Shark, ja, war zum Teil ein W32/PEBCAK (keine nette Sache das, in der Tat). Zum aktuellen Stand: - XP läuft wieder - Backup funktioniert auch. Ich habe die Windows-Systempartition verkleinert auf 50Gb und dann ein "normales" Platten-Backup gemacht. - Backup in die Acronis-Secure-Zone hat ebenfalls funktioniert. - Dual-Boot mit Ubuntu hat auch geklappt (bei nochmaligem Befall habe ich also noch eine Zugriffsmöglichkeit auf das XP-System) - restliche Softwareinstallationen ist abgeschlossen. Ich danke vielmals für Eure Hilfe! D-O-M P.S.: Einen besonderen Dank auch an seti@home im Avira-Forum für seine sehr gute Anleitung (Sicherheitskonzept) P.P.S.: Habe mir heute einen Mac bestellt... :twak: |
Schön, das wieder alles läuft: :daumenhoc Kannst du evtl. noch posten, welches Programm mit Bagle präpariert war? PS: Der Mac Tower (bzw. die CPU dessen) meines Vaters hat letzten Monat den Geist aufgegeben. Reparaturkosten: 1000€ |
das ist ja Mist. Allerdings wissen wir ja Alle, dass es soviele PCs gibt, weil ein Mac (scheinbar) teuerer ist: Beim Kauf, beim Verkauf, bei der Reparatur, beim Support, beim Upgrade etc... ++++ Die Datei, die übrigens den ganzen Mist verursacht hatte hieß "upgrader.exe". Die Quelle ist nach nochmaliger Rückfrage "dubios", scheint also was aus dem P2P-Bereich zu sein... :aufsmaul: Gruß D-O-M |
Zitat:
Zitat:
|
Trojaner.exe nein, leider nicht. Ich hab nachdem ich das hier Alles gelesen habe ALLE (!) *.exe die ich nur irgendwo finden konnte mit Umschalt+Entf gelöscht. Danach hab ich von der alten Festplatte die restlichen Daten extrahiert und diese liegt jetzt im Schrank. Wäre sicher nicht doof gewesen, da mal reinzuschauen... Sorry D-O-M P.S.: Wenn mir mal wieder so ein Programm unterkommt melde ich mich :uglyhammer: |
Kein Problem, ich dachte, du hast das Teil via Website geladen. ;) |
nope. In diesem Fall leider nicht. In meiner Mailbox auf dem Server könnte es aber noch rumfliegen. Ich bin eh grad an der Konfiguration, da schau ich mal, obs noch da ist (hoffentlich nicht). |
Solange du die EXE-Datei nicht doppelklickst, kann sie nicht starten, da brauchst du keine Bedenken zu haben. ;) PS: Wenn du dubiose Mails erhalten hast, lösch sie einfach. Auch da besteht keine Gefahr, sofern du keinen Anhang ausführst. :) |
Follow-Up Hallo Silent Shark, es geht (leider) weiter mit den Fragen: http://www.trojaner-board.de/64448-windows-benutzerverwaltung-optimale-einstellungen-nach-neuinstallation.html#post392150 :Boogie: |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board