Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Habe Bagle wahrscheinlich drauf!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.12.2006, 10:13   #1
MrBurnz
 
Habe Bagle wahrscheinlich drauf! - Unglücklich

Habe Bagle wahrscheinlich drauf!



Hey zusammen,

hab mir gestern beim Klick auf ne exe sehr wahrscheinlich ne Variante des Bagle Wurms eingefangen. Symptome wären da: Deaktivieren von XP Firewall und AntiVir, keine Möglichkeit diese wieder zu aktivieren; keine Möglichkeit auf Systemwiederherstellung auch nicht im abgesicherten Modus; beim Starten von XP öffnet sich der Papierkorb 2x; gelegentlich öffnet sich mein Firefox ein paar mal und will sich mit diversen Seiten verbinden.

Logfile of HijackThis v1.99.1
Scan saved at 11:11:11, on 03.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\runservice.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\internet explorer\iexplore.exe
E:\Programme\Trillian\trillian.exe
E:\Programme\Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bangbros.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O1 - Hosts: 62.75.224.159 www.bns1.net
O1 - Hosts: 62.75.224.159 www.bns2.net
O1 - Hosts: 62.75.224.159 www.bns3.net
O1 - Hosts: 62.75.224.159 www.bns4.net
O1 - Hosts: 62.75.224.159 www.bns5.net
O1 - Hosts: 62.75.224.159 www.bns6.net
O1 - Hosts: 62.75.224.159 www.bns7.net
O1 - Hosts: 62.75.224.159 www.bns8.net
O1 - Hosts: 62.75.224.159 www.cms1.net
O1 - Hosts: 62.75.224.159 www.cms2.net
O1 - Hosts: 62.75.224.159 www.cms3.net
O1 - Hosts: 62.75.224.159 www.cms4.net
O1 - Hosts: 62.75.224.159 www.cms5.net
O1 - Hosts: 62.75.224.159 www.cms6.net
O1 - Hosts: 62.75.224.159 www.cms7.net
O1 - Hosts: 62.75.224.159 www.cms8.net
O1 - Hosts: 62.75.224.159 www.rg1.com
O1 - Hosts: 62.75.224.159 www.rg2.com
O1 - Hosts: 62.75.224.159 www.rg3.com
O1 - Hosts: 62.75.224.159 www.rg4.com
O1 - Hosts: 62.75.224.159 www.rg5.com
O1 - Hosts: 62.75.224.159 www.rg6.com
O1 - Hosts: 62.75.224.159 www.rg7.com
O1 - Hosts: 62.75.224.159 www.rg8.com
O1 - Hosts: 62.75.224.159 www.cjt1.net
O1 - Hosts: 62.75.224.159 www.rgs1.net
O1 - Hosts: 62.75.224.159 www.rgs2.net
O1 - Hosts: 62.75.224.159 www.bns1.net
O1 - Hosts: 62.75.224.159 www.bns2.net
O1 - Hosts: 62.75.224.159 www.cms1.net
O1 - Hosts: 62.75.224.159 www.cms2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 cjt1.net
O1 - Hosts: 62.75.224.159 rgs1.net
O1 - Hosts: 62.75.224.159 rgs2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 j800banners.cjt1.net
O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net
O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net
O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net
O1 - Hosts: 62.75.224.159 javatar.cjt1.net
O1 - Hosts: 62.75.224.159 jbeet.cjt1.net
O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net
O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net
O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net
O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net
O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net
O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net
O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net
O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net
O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net
O1 - Hosts: 62.75.224.159 jhot.cjt1.net
O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net
O1 - Hosts: 62.75.224.159 jicq.cjt1.net
O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net
O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net
O1 - Hosts: 62.75.224.159 jmindset.cjt1.net
O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net
O1 - Hosts: 62.75.224.159 jnictech.cjt1.net
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net
O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net
O1 - Hosts: 62.75.224.159 jsercee.cjt1.net
O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net
O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net
O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net
O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net
O1 - Hosts: 62.75.224.159 www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcms.cydoor.com
O1 - Hosts: 62.75.224.159 cydoor.com
O1 - Hosts: 62.75.224.159 www.cydoor.com
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [gcasServ] "E:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [RemoveWGA] E:\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150_02.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150_02.dll (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7343CDCE-1D59-4619-BFED-54EDAECC98C9}: NameServer = 192.168.10.1,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{7343CDCE-1D59-4619-BFED-54EDAECC98C9}: NameServer = 192.168.10.1,194.25.2.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{7343CDCE-1D59-4619-BFED-54EDAECC98C9}: NameServer = 192.168.10.1,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\C:\WINDOWS\C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)



Wäre für Hilfe sehr dankbar!

Gruß Burnz

Alt 03.12.2006, 10:22   #2
mrrockford
 
Habe Bagle wahrscheinlich drauf! - Standard

Habe Bagle wahrscheinlich drauf!



Howdy,

um deine log vorab etwas zu bereinigen bitte hier lesen.
__________________

__________________

Alt 03.12.2006, 11:00   #3
Rene-gad
 
Habe Bagle wahrscheinlich drauf! - Standard

Habe Bagle wahrscheinlich drauf!



Zitat:
Zitat von mrrockford Beitrag anzeigen
um deine log vorab etwas zu bereinigen ..
Ums Bereinigen kann hier keine Rede sein:
Zitat:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
W32/Rbot-EK - Wurm - Sophos Bedrohungsanalyse
Abhilfe nur hier: http://www.trojaner-board.de/12154-a...sicherung.html
__________________

Alt 03.12.2006, 11:57   #4
MrBurnz
 
Habe Bagle wahrscheinlich drauf! - Standard

Habe Bagle wahrscheinlich drauf!



Ich will dir ja nur ungern wiedersprechen, aber die scvhost.exe hab ich bei mir schon seit eh und je drauf und glaube nicht, dass diese für die beschriebenen Probleme verantwortlich ist. Korrigiert mich, wenn ich was falsches sage.

@mrrockford

Habe die meisten der genannten Vorgänge bereits durchgeführt, hat allerdings nicht zum gewünschten Erfolg geführt.

Alt 03.12.2006, 12:01   #5
Rene-gad
 
Habe Bagle wahrscheinlich drauf! - Standard

Habe Bagle wahrscheinlich drauf!



Zitat:
Zitat von MrBurnz Beitrag anzeigen
Ich will dir ja nur ungern wiedersprechen, aber die scvhost.exe hab ich bei mir schon seit eh und je drauf und glaube nicht
Glauben übt man in der Kirche aus . Zu einem sauberen System gehört die Datei %System%\svchost.exe (merkst du der Unterschied?).
Googlen hier ist auch nicht ganz verkehrt: scvhost.exe - Google-Suche


Alt 03.12.2006, 12:12   #6
MrBurnz
 
Habe Bagle wahrscheinlich drauf! - Standard

Habe Bagle wahrscheinlich drauf!



Ahhh, jetzt wo dus sagst merk ich den kleinen aber feinen Unterschied, verdammt. Und diese scvhost.exe ist also der Verursacher für die beschriebenen Probleme bei mir?!
Gibt es außer Neuaufsetzen des Systems keine weitere Möglichkeit mehr, das Problem loszuwerden?

Antwort

Themen zu Habe Bagle wahrscheinlich drauf!
abgesicherten modus, adobe, antispyware, antivir, avg, bagle, bho, browser, cs3, ellung, excel, exe, explorer, firefox, generic host, generic host process, helper, hijack, hijackthis, internet, internet explorer, magix, seiten, senden, software, starten, windows, windows xp, öffnet



Ähnliche Themen: Habe Bagle wahrscheinlich drauf!


  1. Habe wahrscheinlich ein Virenproblem!
    Plagegeister aller Art und deren Bekämpfung - 30.12.2013 (1)
  2. habe wahrscheinlich einen rotkit
    Log-Analyse und Auswertung - 15.06.2011 (10)
  3. Habe ich ein Trojaner drauf ?
    Log-Analyse und Auswertung - 02.02.2011 (5)
  4. Habe ich den Trojaner TR/Dropper.Gen noch drauf?
    Log-Analyse und Auswertung - 01.03.2010 (1)
  5. ich habe mich Wahrscheinlich Infiziert!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (42)
  6. Habe wahrscheinlich einen Virus
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (0)
  7. Habe ich ein Virus drauf?
    Mülltonne - 20.12.2008 (0)
  8. Habe/hatte Backdoor.VB - ist es noch drauf?
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (5)
  9. Wahrscheinlich habe ich ein Trojaner bitte Prüfen
    Log-Analyse und Auswertung - 14.09.2008 (10)
  10. Hilfe, habe ich einen Backdoorserver drauf?
    Log-Analyse und Auswertung - 21.03.2008 (2)
  11. Laie hat wahrscheinlich win32.bagle virus
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (15)
  12. Habe glaube ich ein Virus drauf
    Log-Analyse und Auswertung - 21.01.2007 (8)
  13. Ich habe wahrscheinlich einen Trojaner und weiss nicht weiter.
    Log-Analyse und Auswertung - 13.01.2007 (2)
  14. Ich habe ein Problem mit meinem PC - Trojaner wahrscheinlich -
    Log-Analyse und Auswertung - 07.09.2006 (6)
  15. Hilfe ich habe den TR/Bagle.DS
    Plagegeister aller Art und deren Bekämpfung - 01.12.2005 (10)
  16. Log sauber - hatte (oder habe noch) bagle.bb auf System!!
    Log-Analyse und Auswertung - 31.03.2005 (11)
  17. Habe Trojaner oder Viren drauf ???
    Log-Analyse und Auswertung - 12.10.2004 (7)

Zum Thema Habe Bagle wahrscheinlich drauf! - Hey zusammen, hab mir gestern beim Klick auf ne exe sehr wahrscheinlich ne Variante des Bagle Wurms eingefangen. Symptome wären da: Deaktivieren von XP Firewall und AntiVir, keine Möglichkeit diese - Habe Bagle wahrscheinlich drauf!...
Archiv
Du betrachtest: Habe Bagle wahrscheinlich drauf! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.