| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Bagle.Gen.BWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.08.2007, 13:11
| #1 |
 |  TR/Bagle.Gen.B Hallo, ich habe seit gut drei Tagen einen trojaner auf mein Rechner TR/Bagle.Gen.B wenn ich diesen jedoch lösche kommst er beim nächsten Restart wieder. ich habe auch den Ordner exefnd gelöscht, weil er bei C:Windows\xefnd\ ist, der Ordner lässt sich wohl löschen aber beim nächsten Restart ist er wieder da. Was kann ich machen ausser formatieren??? Betriebssystem Windows XP Service Pack 2 Es gibt keine Warnmeldung ausser die von Antivir, wenn ich versuche ins Internet zugehen, dann sagt er das die Datei befallen ist mit dem Trojaner. lg Benny |
|
27.08.2007, 13:26
| #2 |
| | TR/Bagle.Gen.B Hallo benny,
__________________versorge uns doch bitte mal mit etwas mehr Infos. In welcher Datei wurde der Trojaner gefunden; kannst du von deinem AV-Programm ein entsprechendes Protokoll hier rein stellen?! Stelle mal bitte daneben ein hijackthis-Protokoll hier rein. Gruß Gerd |
|
27.08.2007, 13:29
| #3 |
| | TR/Bagle.Gen.B Hi gerd die datei heisst
__________________C:Windows\exefnd\745828.exe aber die 745828 die Zahlen ändern sich immer. Kann ich dann den HijackThis v.1.99.1 benutzen??? Meintest du damit die datei?? Ich invizierte Datei war sehr wahrscheinlich das Programm "mediaface4.0". |
|
27.08.2007, 13:33
| #4 |
| | TR/Bagle.Gen.B Hi Benny, ja benutzte HijackThis 1.9.1. Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com. Beachte aber bitte bevor du das Log hier rein stellst die Foren-Hinweise hinsichtlich persönlicher Daten und aktiver Links im hjt-protokoll. Edit: Und wenn du Antivir von AVIRA einsetzt, dann stelle doch mal bitte den Scan-Report hier rein! Gruß Gerd |
|
27.08.2007, 17:47
| #5 |
| | TR/Bagle.Gen.B [QUOTE=Gerd_R;290015] ja benutzte HijackThis 1.9.1. Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com. Meinst du wenn ich die datei Downloade das ich sie dann umbenenne oder wann??? |
|
27.08.2007, 17:50
| #6 | |
  | TR/Bagle.Gen.B [QUOTE=Sohn_des_Mondes;290109] Zitat:
Mfg
__________________ --> TR/Bagle.Gen.B |
|
27.08.2007, 18:19
| #7 | |
| Administrator > Competence Manager | TR/Bagle.Gen.B [QUOTE=.::|||::.;290113] Zitat:
OT: Na tolle Sache, ich wundere mich über diese Datei hier im Board, lasse sie online überprüfen, dabei ist es nur HijackThis.exe... Aber sehr einfallsreich der Name .. 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
28.08.2007, 07:27
| #8 |
| | TR/Bagle.Gen.B Hi sunny, OT: Ich habe hier in den Anleitungen zum HJT niergendwo einen Hinweis gefunden, welcher neue Name für die Datei zu verwenden ist. Das eine Umbenennung notwendig ist, da manche Vieren den Aufruf der hjt unter dem Originalnamen erkennen und sich dann "verstecken" ist ja hinreichend bekannt. Sorry daher für die Verwendung des Namens. Gruß Gerd |
|
28.08.2007, 19:21
| #9 |
| | TR/Bagle.Gen.B Ich hoffe das es richtig ist mit dem Logfile of HijackThis v1.99.1 Scan saved at 20:18:15, on 28.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ElkCtrl.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\hldrrr.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Dokumente und Einstellungen\Astra16VTurbo\Desktop\HijackThis.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\TonAuDi.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing) O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe |
|
29.08.2007, 08:22
| #10 |
| | TR/Bagle.Gen.B Also die Warnung von Antivir sieht so aus. "Auf ihrem Computer wurde ein Virus oder ein unerwünschtes Programm gefunden! Was soll mit der Datei geschehen? C:WINDOWS\exefnd\83953.exe Ist das Trojanische Pferd TR/Bagle.Gen.B In Quarantäne verschieben Löschen Umbenennen Zugriff verweigern Ignorieren" Das ist die Warnung von Antivir, und wenn ich auf löschen oder so gehe kommt die Meldung trotzdem wieder. |
|
01.09.2007, 21:47
| #11 |
| |  TR/Bagle.Gen.B Jo hab ebenfalls das Problem. Nebenbei öffnen sich ganz von allein auch hier und da immer die selben IE-Browser Fenster die ich derzeit mit einem nebenprogi (ckpopupkiller) immer sofort schliesen lasse. Wie bekommt man den Ordner "exefnd" weg so das er nicht mehr wieder erscheint? Ich vermute mal das ein anderes Tool auf den Rechner welches auch immer, ständig diesen Ordner erstellt und darin den Trojaner erzeugt. So scheint es mir jedenfalls den wenn ich den Ordner lösche erscheint er kurz darauf wieder nur ist er leer und erst nach kurzer zeit ist eine nummerische *.exe Datei Vorhanden. Selbst wenn diese auch durch antivir gelöscht wird so erscheint nach kurzer Zeit wieder eine *.exe Datei die aber wieder eine andere zahlen bennung hat. Scheinbar ist das Nest der "exefnd" Ordner. Also Ein Nest worin etwas zum leben erwacht mus einen Schöpfer haben. Meine Meihnung nach mus auf den Rechner logischerweise etwas sein das ein Nest (exefnd) baut in dem sich dann eben der shit TR/Bagle.Gen.B entwickelt. Was auch immer wäre mal interessant zu erfahren wozu der TR/Bagle.gen.B da ist und was er macht usw. |
|
04.09.2007, 03:13
| #12 |
| | TR/Bagle.Gen.B Hmm hab genau da gleiche problem und das nervt! Da ich wow spiele und ab und zu meldet sich antvir oder meine firewall und das spiel leuft im hintergrund minimiert weiter. bei maximieren wiederholt sich das dann immer wieder...echt frustierend. kein  Mir ist augefallen das muss n neuer trojaner sein denk nicht das dass zufall ist das die einträge in diesem Forum darüber erst seit kurzem drinn sind! |
|
| Themen zu TR/Bagle.Gen.B |
| antivir, ausser, befallen, datei, formatiere, formatieren, formatieren?, gelöscht, inter, interne, internet, löschen, meldung, ordner, rechner, restart, service, tagen, troja, trojaner, versuche, warnmeldung, windows, windows xp |
Linear-Darstellung
