Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Bagle.Gen.B

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.08.2007, 14:11   #1
Sohn_des_Mondes
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hallo, ich habe seit gut drei Tagen einen trojaner auf mein Rechner
TR/Bagle.Gen.B
wenn ich diesen jedoch lösche kommst er beim nächsten Restart wieder. ich habe auch den Ordner exefnd gelöscht, weil er bei C:Windows\xefnd\
ist, der Ordner lässt sich wohl löschen aber beim nächsten Restart ist er wieder da. Was kann ich machen ausser formatieren???
Betriebssystem Windows XP Service Pack 2
Es gibt keine Warnmeldung ausser die von Antivir, wenn ich versuche ins Internet zugehen, dann sagt er das die Datei befallen ist mit dem Trojaner.



lg Benny

Alt 27.08.2007, 14:26   #2
Gerd_R
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hallo benny,

versorge uns doch bitte mal mit etwas mehr Infos.

In welcher Datei wurde der Trojaner gefunden; kannst du von deinem AV-Programm ein entsprechendes Protokoll hier rein stellen?!

Stelle mal bitte daneben ein hijackthis-Protokoll hier rein.

Gruß
Gerd
__________________


Alt 27.08.2007, 14:29   #3
Sohn_des_Mondes
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hi gerd die datei heisst

C:Windows\exefnd\745828.exe
aber die 745828 die Zahlen ändern sich immer.
Kann ich dann den HijackThis v.1.99.1 benutzen???
Meintest du damit die datei??
Ich invizierte Datei war sehr wahrscheinlich das Programm "mediaface4.0".
__________________

Alt 27.08.2007, 14:33   #4
Gerd_R
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hi Benny,

ja benutzte HijackThis 1.9.1.
Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com.

Beachte aber bitte bevor du das Log hier rein stellst die Foren-Hinweise hinsichtlich persönlicher Daten und aktiver Links im hjt-protokoll.

Edit: Und wenn du Antivir von AVIRA einsetzt, dann stelle doch mal bitte den Scan-Report hier rein!

Gruß
Gerd

Alt 27.08.2007, 18:47   #5
Sohn_des_Mondes
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



[QUOTE=Gerd_R;290015]

ja benutzte HijackThis 1.9.1.
Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com.



Meinst du wenn ich die datei Downloade das ich sie dann umbenenne oder wann???


Alt 27.08.2007, 18:50   #6
.::|||::.
 

TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



[QUOTE=Sohn_des_Mondes;290109]
Zitat:
Zitat von Gerd_R Beitrag anzeigen

ja benutzte HijackThis 1.9.1.
Benenne aber bitte die Datei hijackthis.exe vorher um in pruefung1.com.



Meinst du wenn ich die datei Downloade das ich sie dann umbenenne oder wann???
Genau! Du änderst Hiajckthis.exe in Prüfung1.com!
Mfg
__________________
--> TR/Bagle.Gen.B

Alt 27.08.2007, 19:19   #7
Sunny
Administrator
> Competence Manager
 

TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



[QUOTE=.::|||::.;290113]
Zitat:
Zitat von Sohn_des_Mondes Beitrag anzeigen
Genau! Du änderst Hiajckthis.exe in Prüfung1.com!
Mfg

OT:


Na tolle Sache, ich wundere mich über diese Datei hier im Board, lasse sie online überprüfen, dabei ist es nur HijackThis.exe...

Aber sehr einfallsreich der Name ..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 28.08.2007, 08:27   #8
Gerd_R
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hi sunny,

OT: Ich habe hier in den Anleitungen zum HJT niergendwo einen Hinweis gefunden, welcher neue Name für die Datei zu verwenden ist. Das eine Umbenennung notwendig ist, da manche Vieren den Aufruf der hjt unter dem Originalnamen erkennen und sich dann "verstecken" ist ja hinreichend bekannt.

Sorry daher für die Verwendung des Namens.

Gruß
Gerd

Alt 28.08.2007, 20:21   #9
Sohn_des_Mondes
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Ich hoffe das es richtig ist mit dem Logfile

of HijackThis v1.99.1
Scan saved at 20:18:15, on 28.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Astra16VTurbo\Desktop\HijackThis.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\TonAuDi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Alt 29.08.2007, 09:22   #10
Sohn_des_Mondes
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Also die Warnung von Antivir sieht so aus.
"Auf ihrem Computer wurde ein Virus oder ein unerwünschtes Programm gefunden!
Was soll mit der Datei geschehen?
C:WINDOWS\exefnd\83953.exe
Ist das Trojanische Pferd TR/Bagle.Gen.B
In Quarantäne verschieben
Löschen
Umbenennen
Zugriff verweigern
Ignorieren"

Das ist die Warnung von Antivir, und wenn ich auf löschen oder so gehe kommt die Meldung trotzdem wieder.

Alt 01.09.2007, 22:47   #11
zimAnius
 
TR/Bagle.Gen.B - Frage

TR/Bagle.Gen.B



Jo hab ebenfalls das Problem. Nebenbei öffnen sich ganz von allein auch hier
und da immer die selben IE-Browser Fenster die ich derzeit mit einem
nebenprogi (ckpopupkiller) immer sofort schliesen lasse.

Wie bekommt man den Ordner "exefnd" weg so das er nicht mehr wieder erscheint?

Ich vermute mal das ein anderes Tool auf den Rechner welches auch immer,
ständig diesen Ordner erstellt und darin den Trojaner erzeugt. So scheint es
mir jedenfalls den wenn ich den Ordner lösche erscheint er kurz darauf wieder
nur ist er leer und erst nach kurzer zeit ist eine nummerische *.exe Datei
Vorhanden. Selbst wenn diese auch durch antivir gelöscht wird so erscheint
nach kurzer Zeit wieder eine *.exe Datei die aber wieder eine andere zahlen
bennung hat. Scheinbar ist das Nest der "exefnd" Ordner. Also Ein Nest worin
etwas zum leben erwacht mus einen Schöpfer haben. Meine Meihnung nach
mus auf den Rechner logischerweise etwas sein das ein Nest (exefnd) baut in
dem sich dann eben der shit TR/Bagle.Gen.B entwickelt. Was auch immer wäre
mal interessant zu erfahren wozu der TR/Bagle.gen.B da ist und was er macht
usw.

Alt 04.09.2007, 04:13   #12
Mudsha
 
TR/Bagle.Gen.B - Standard

TR/Bagle.Gen.B



Hmm hab genau da gleiche problem und das nervt! Da ich wow spiele und ab und zu meldet sich antvir oder meine firewall und das spiel leuft im hintergrund minimiert weiter. bei maximieren wiederholt sich das dann immer wieder...echt frustierend. kein
Mir ist augefallen das muss n neuer trojaner sein denk nicht das dass zufall ist das die einträge in diesem Forum darüber erst seit kurzem drinn sind!

Antwort

Themen zu TR/Bagle.Gen.B
antivir, ausser, befallen, datei, formatiere, formatieren, formatieren?, gelöscht, inter, interne, internet, löschen, meldung, ordner, rechner, restart, service, tagen, troja, trojaner, versuche, warnmeldung, windows, windows xp



Ähnliche Themen: TR/Bagle.Gen.B


  1. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  2. Bagle Virus
    Plagegeister aller Art und deren Bekämpfung - 24.07.2009 (8)
  3. winupgro bagle?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2009 (9)
  4. Bagle
    Log-Analyse und Auswertung - 08.11.2008 (0)
  5. W32/Bagle.gen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2008 (8)
  6. W32/bagle.gen virus?
    Mülltonne - 05.07.2008 (3)
  7. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  8. Infiziert? Bagle....
    Log-Analyse und Auswertung - 08.10.2007 (4)
  9. Bagle.dk
    Mülltonne - 21.09.2007 (1)
  10. TR/Rkit.Bagle.GL
    Plagegeister aller Art und deren Bekämpfung - 08.02.2007 (9)
  11. TR/Dldr.Bagle.Q
    Mülltonne - 11.01.2007 (2)
  12. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)
  13. w32 bagle auf mac
    Antiviren-, Firewall- und andere Schutzprogramme - 16.09.2005 (6)
  14. TR/Bagle.al
    Log-Analyse und Auswertung - 16.04.2005 (7)
  15. bagle.bb
    Log-Analyse und Auswertung - 12.03.2005 (1)
  16. Bagle.AA.HTA
    Plagegeister aller Art und deren Bekämpfung - 06.12.2004 (5)
  17. Bagle
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (2)

Zum Thema TR/Bagle.Gen.B - Hallo, ich habe seit gut drei Tagen einen trojaner auf mein Rechner TR/Bagle.Gen.B wenn ich diesen jedoch lösche kommst er beim nächsten Restart wieder. ich habe auch den Ordner exefnd - TR/Bagle.Gen.B...
Archiv
Du betrachtest: TR/Bagle.Gen.B auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.