Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BAGLE.AL, wie bekomm ich ihn weg?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.04.2005, 12:49   #1
Philleicht
 
BAGLE.AL, wie bekomm ich ihn weg? - Standard

BAGLE.AL, wie bekomm ich ihn weg?



Hallo!

Habe folgendes Problem:

Letztens wurde mir eine Email mit falschen Absender geschickt. Dachte es wäre mein Vater und hab die Datei geöffnet.... Leider war dem wohl doch nicht so und ich hab mir den Wurm Bagle.AL drauf geladen. AntiVir hat sofort Meldung gegeben und ich hab versucht ihn zu löschen. Nach einem Neustart sollte eigentlich alles gegessen sein. Dem war aber leider nicht so. Hab dann das Bit Defender "Anti Bagle" Programm geladen. Das hat aber NICHTS (!) gefunden. Keine Ahnung warum. Auch so scheinen die ganzen Programme den Wurm Bagle nicht zu finden, nicht mal im abgesicherten Modus. Auch Escan hab ich schon erfolglos durchlaufen lassen. Dachte daher auch, dass der Wurm nun endlich weg ist, aber auch hier Fehlanzeige. Nach einer Weile am PC kommt das AntiVir Guard Programm mit einer Warnung:

19.04.2005,13:05:49 WARNING: Is the Trojan horse TR/Bagle.AL!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8720FF6B-8EFD-4663-A7A3-5CFCA7B77DB3}\RP176\A0031975.EXE

Diesen Ordner gibt es auf meiner Festplatte aber nicht! Und die Datei habe ich auch schon gesucht und nicht gefunden. Was mache ich jetzt?

HiJackThis hat folgendes ausgespuckt:

Logfile of HijackThis v1.99.1
Scan saved at 13:47:25, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TCAUDIAG.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\MSN Messenger\MsgPlus.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\programme\valve\steam\steam.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\System32\cmd.exe
C:\Programme\Langenscheidt T1 5.0\Engine\mte\bin\engine.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Philipp\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C19C38E-CCA3-4995-9DDD-0C9FCB0986F3}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\Ctsvccda.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe

...
Bin nun langsam mit meinem Latein am Ende.
Was schlagt ihr vor?

Danke im Voraus!

Phil

Alt 19.04.2005, 13:14   #2
rock
 
BAGLE.AL, wie bekomm ich ihn weg? - Standard

BAGLE.AL, wie bekomm ich ihn weg?



wo ist das problem?

die meldung vom scanner die du gepostet hast, kommt deutlich ersichtlich aus der sytemwiederherstellung.

deaktiviere die, und neustarten. dann ist der eintrag weg.

später wieder aktivieren.
__________________


Alt 19.04.2005, 13:21   #3
rock
 
BAGLE.AL, wie bekomm ich ihn weg? - Icon19

BAGLE.AL, wie bekomm ich ihn weg?



abgeshen davon bist du ein richtiges beispiel wie gefährlich mit virenscanner ist, die keine e-mails scannen können!

hättest du dir sparen können auf die Systemwiederherstellung zu verzichten und wieder völlig von vorn beginnen.

der eintrag sollte aber auch nichts anrichten. diverse scanner lassen den restore ordner schon automatisch vom scannen aus, eben wegen der "kaputten leichenpfade" die nichts anrichten...

ist eben ein schönheitsfehler.
__________________

Alt 19.04.2005, 13:37   #4
Gigamail
 
BAGLE.AL, wie bekomm ich ihn weg? - Standard

BAGLE.AL, wie bekomm ich ihn weg?



@ Philleicht

ich vermute da ist noch was im system denn der eintrag gefällt mir nicht
Zitat:
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
Du hast zwar schon escan laufen lassen. mach es nochmal hier ist die Anleitung:

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Wenn du dir das ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\find.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

fixe mit HJT im abgesicherten Modus die Einträge:

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\Ctsvccda.exe (file missing)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Geändert von Gigamail (19.04.2005 um 14:53 Uhr) Grund: falschen Link erwischt ;-)

Antwort

Themen zu BAGLE.AL, wie bekomm ich ihn weg?
antivir, antivir guard, antivir update, avg, bho, cyberlink, defender, email, excel, explorer, festplatte, file missing, google, internet, internet explorer, keine ahnung, langsam, neustart, nvcpl.dll, nvidia, problem, programm, rundll, system, temp, trojan, warnung, windows, windows xp, wurm



Ähnliche Themen: BAGLE.AL, wie bekomm ich ihn weg?


  1. Trojaner Bagle?
    Plagegeister aller Art und deren Bekämpfung - 02.11.2009 (1)
  2. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  3. Bagle Virus
    Plagegeister aller Art und deren Bekämpfung - 24.07.2009 (8)
  4. winupgro bagle?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2009 (9)
  5. Bagle
    Log-Analyse und Auswertung - 08.11.2008 (0)
  6. W32/Bagle.gen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2008 (8)
  7. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  8. Bagle.dk
    Mülltonne - 21.09.2007 (1)
  9. TR/Bagle.Gen.B
    Plagegeister aller Art und deren Bekämpfung - 04.09.2007 (11)
  10. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)
  11. w32 bagle auf mac
    Antiviren-, Firewall- und andere Schutzprogramme - 16.09.2005 (6)
  12. TR/Bagle.al
    Log-Analyse und Auswertung - 16.04.2005 (7)
  13. bagle.bb
    Log-Analyse und Auswertung - 11.03.2005 (1)
  14. Problem mit TR/Bagle.Al
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (7)
  15. Bagle.AT.1 in exe Dateien
    Plagegeister aller Art und deren Bekämpfung - 29.12.2004 (3)
  16. Bagle.AA.HTA
    Plagegeister aller Art und deren Bekämpfung - 06.12.2004 (5)
  17. Bagle
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (2)

Zum Thema BAGLE.AL, wie bekomm ich ihn weg? - Hallo! Habe folgendes Problem: Letztens wurde mir eine Email mit falschen Absender geschickt. Dachte es wäre mein Vater und hab die Datei geöffnet.... Leider war dem wohl doch nicht so - BAGLE.AL, wie bekomm ich ihn weg?...
Archiv
Du betrachtest: BAGLE.AL, wie bekomm ich ihn weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.