Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W32.Beagle.lg.A@mm/trojaner.Downloader

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.03.2008, 17:44   #1
En`forcer
 

W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



Die Logs vom 13. März zeigen keinerlei auffälligkeiten, doch einen Tag später tritt finden meine Viren-Scanner einige Viren, Trojanern, darunter der W32/Bagle.lg

Das system macht zwar wieder was es sollte, mit 4GB USB-Stick kann ich jetzt auch starten, nur Installieren kann ich wenige wichtige Programme immer noch nicht


--------------------------------

hijackthis
F-Secure Blacklight
Spybot SD
Windows-Tool z. entf. bösart. Software
Gmer
melden nichts.


--------------------------------

Sophos Antirootkit:
Zitat:
Unknown hidden file / TMP0000002F65E9D99ABBC3769D
F-Secure:
Zitat:
Scan-Bericht
Freitag, 14. März 2008 16:44:50 - 17:34:59

Computername: UNREAL
Scan-Methode: Computer vollständig überprüfen
Ziel: C:\ D:\ E:\ F:\ G:\ + System + Rootkits
Ergebnis: 3 Malware gefunden
Trojan-Downloader.Win32.Bagle.lg (Virus)

* D:\Dokumente und Einstellungen\En`forcer\Desktop\scan.rar\Spybot - Search & Destroy\TeaTimer.exe
* D:\Dokumente und Einstellungen\En`forcer\Desktop\scan.rar
* E:\RECYCLER\S-1-5-21-1214440339-1659004503-839522115-1004\De25.exe Aktion: umbenannt

Statistiken
Gescannt:

* Dateien: 140609
* Nicht gescannt: 22

Ergebnis:

* Viren: 3
* Spyware: 0
* Verdächtige Elemente: 0
* Riskware: 0

Aktionen:

* Desinfiziert: 0
* Umbenannt: 1
* Gelöscht: 0
* In Quarantäne: 0
* Fehlgeschl.: 0

Boot-Sektoren:

* Gescannt: 1
* Infiziert: 0
* Verdächtige Elemente: 0
* Desinfiziert: 0

Dateien, nicht gescannt:

* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\PAGEFILE.SYS
* Datei im Archiv D:\WINDOWS\SYSTEM32\WBEM\WMITIMEP.DLL kann nicht geöffnet werden.
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\LOKALE EINSTELLUNGEN\TEMP\SMKJKN.EXE
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\ba0001.rar wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv sonst/Diag504cCD.iso kann nicht geöffnet werden.
* Datei im Archiv D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\ba0001.exe kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\OpenOffice.org_Portable.exe wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar\myp_maya85ple_en_win.exe kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\backup002.rar wurde abgebrochen. [F-Secure AVP]
* Datei im Archiv 3D Online Pool\Game\3D Live Pool\game.dat kann nicht geöffnet werden.
* Datei im Archiv 3D Online Pool\Game\Pool 2D\game.dat kann nicht geöffnet werden.
* Datei im Archiv sonst/Diag504cCD.iso kann nicht geöffnet werden.
* Scannen von D:\Dokumente und Einstellungen\En`forcer\Desktop\WAR-Gatebridge.ut3.jpg wurde abgebrochen. [F-Secure AVP]
* Kein Lesezugriff auf Datei D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_47da8307\engine\avewin32.dll.gz\avewin32.dll. [F-Secure Libra]
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
* Datei (Klicken Sie hier, um weitere Informationen zu erhalten.) kann nicht geöffnet werden. D:\DOKUMENTE UND EINSTELLUNGEN\EN`FORCER\DESKTOP\SCAN.RAR\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

Optionen
Version der Definitionen:

* Viren: 2008-03-14_05
* Spyware: 2008-03-14_04

Scan-Module:

* F-Secure AVP: 7.00.171, 2008-03-14
* F-Secure Libra: 2.04.01, 2008-03-13
* F-Secure Orion: 1.02.37, 2008-03-14
* F-Secure Draco: 1.00.35, 2008-02-13
* F-Secure BlackLight: 1.00.64

Scan-Optionen:

* Definierte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
* Archive scannen

Aktionen:

* Viren: Nach Scannen fragen
* Spyware: Nach Scannen fragen

Fehlerinformationen
Fehler "Datei kann nicht geöffnet werden" aufgetreten:
Die Fehlermeldung "Datei kann nicht geöffnet werden" bedeutet, dass der Scanner eine Datei nicht öffnen konnte und diese nicht gescannt wurde. Sie können diese Fehlermeldung gewöhnlich ignorieren, da es viele Gründe dafür geben kann, die keine Sicherheitsbedrohung darstellen:

* Die Datei war eine Systemdatei. Systemdateien sind standardmäßig durch das Betriebssystem geschützt. In diesem Fall können Sie die Meldung ignorieren.
* Sie haben keine Berechtigung, die Datei zu lesen. Melden Sie sich bei einem Benutzerkonto mit entsprechenden Berechtigungen an (beispielsweise bei dem Administratorkonto des Computers) und führen Sie den Scan erneut aus.
* Die Datei wurde von einer Anwendung verwendet, als der Scan durchgeführt wurde. Schließen Sie alle Anwendungen und versuchen Sie es erneut, um diese Datei zu scannen.

Anivir:
Zitat:
HEUR/Malware / switchlayout.zip

habe alle Dateien gereinigt oder in Quarantäne gestellt (soweit möglich)

Geändert von En`forcer (15.03.2008 um 17:53 Uhr)

Alt 15.03.2008, 17:59   #2
Franz1968
/// Helfer-Team
 
W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



Und nun?
__________________

__________________

Alt 15.03.2008, 19:07   #3
En`forcer
 

W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



http://www.trojaner-board.de/50401-p...irentools.html

Ich habe mich zum Neuaufsetzen meines systems entschieden und nun ist er wieder da, wie werde ich den jetzt endgültig los, weil mein antivirenprogramm den erkannt hat aber nicht entfernen konnte. Dann müsste bald wieder alles von vorne los gehen

und was soll ich jetzt machen?

ach ja mein system:

sysProfile: ID: 58355 - En`forcer

im f-secure log steht alles drinnen
die anderen probleme konnte ich alle beheben
bei fragen bitte posten
__________________
__________________

Geändert von En`forcer (15.03.2008 um 19:29 Uhr)

Alt 15.03.2008, 20:10   #4
Franz1968
/// Helfer-Team
 
W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



Zitat:
Ich habe mich zum Neuaufsetzen meines systems entschieden und nun ist er wieder da
Systempartition nicht formatiert? Unsaubere ausführbare Dateien zurückgespielt?
Zitat:
wie werde ich den jetzt endgültig los
Bagle ist so zerstörerisch und greift so tief ins System ein, dass es nur so geht:http://www.trojaner-board.de/12154-a...sicherung.html
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.03.2008, 21:42   #5
En`forcer
 

W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



In diesem fall trifft das Neuaufsetzen noch nicht zu, da mein system noch nicht boykottiert wurde, das sind nur trojaner.downloader also wenn ich glück hab, bekomm ich die noch weg oder sie können sich nicht ausführen, also fällt ein neumaliges Neuaufsetzen weg.

Ich habe alle Partitionen formatiert, absolut alles
Und hab dann alles neu, aus höchstwarscheinlich sicheren daten aufgesetzt.

Der teatimer.exe und die scan.zip müssten im nachhinein infiziert worden sein (spybot serch & destroy), da diese aus einer sicheren Datensammlung, weit vor der Infektion stammen.

Die 3. Datei De25.exe ist mir unbekannt, konnte auch nur umbenannt werden.

Ich hab das system mehr als ordnungsgemäs aufgesetzt, wie im Threat beschrieben abgesehen von den Images, die ich nicht gemacht habe.


Alt 16.03.2008, 17:43   #6
Franz1968
/// Helfer-Team
 
W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



Zitat:
Zitat von En`forcer Beitrag anzeigen
In diesem fall trifft das Neuaufsetzen noch nicht zu, da mein system noch nicht boykottiert wurde, das sind nur trojaner.downloader also wenn ich glück hab, bekomm ich die noch weg oder sie können sich nicht ausführen, also fällt ein neumaliges Neuaufsetzen weg.
Bagle in seinen ungezählten Varianten wird zwar von AV-Programmen auch als "Downloader" klassifiziert. Das heißt aber nicht, dass er nicht auch Backdoor-Funktionen mitbringt und/oder Rootkit-Techniken nutzt, die dein System kompromittieren.

Die Frage ist, wo wurde er jetzt gefunden und wurde er wieder aktiv oder nicht. Aus dem F-Secure-Logfile werde ich diesbezüglich nicht schlau.
(Wo steckt denn der Bagle jetzt? In der teatimer.exe? Die kann doch angeblich nicht geöffnet werden!)
Zitat:
Ich habe alle Partitionen formatiert, absolut alles
Und hab dann alles neu, aus höchstwarscheinlich sicheren daten aufgesetzt.
Ausführbare Dateien von einem kompromittierten System "mitzunehmen" ist nicht "sicher". Wenn du sagst "höchstwahrscheinlich sicher", dann bleibt ein Restrisiko, das von außen nicht eingeschätzt werden kann.
Zitat:
Das system macht zwar wieder was es sollte, mit 4GB USB-Stick kann ich jetzt auch starten, nur Installieren kann ich wenige wichtige Programme immer noch nicht
Und wirklich rund scheint dein Rechner ja immer noch nicht zu laufen.
Zitat:
Der teatimer.exe und die scan.zip müssten im nachhinein infiziert worden sein (spybot serch & destroy), da diese aus einer sicheren Datensammlung, weit vor der Infektion stammen.
Waren sie denn ursprünglich aus einer sicheren Quelle heruntergeladen worden?

Was du machen kannst: Alle nicht mehr benötigten Archive löschen, ebenso Papierkorb und temporäre Dateien. Der Ccleaner leistet dabei gute Dienste (aber ohne Toolbar installieren). Danach ein Escan, und das mit Hilfe der find.bat produzierte Logfile posten. Im Anleitungsforum gibt's dazu eine aktualisierte Anleitung.
__________________
--> W32.Beagle.lg.A@mm/trojaner.Downloader

Alt 17.03.2008, 12:34   #7
En`forcer
 

W32.Beagle.lg.A@mm/trojaner.Downloader - Standard

W32.Beagle.lg.A@mm/trojaner.Downloader



Also, ja ich habe die zip datei einfach gelöscht, da ich diese jetzt eh nicht mehr benötige, hab mir Spybot SD von der Chipseite runtergeladen.

Habe alle dateien gelöscht, gescant, doch die Teatimer.exe vergessen aus dem Papierkorb zu nehmen, habe diese sicher mit CCCleaner entfernt und werde dann vom system meinen freien Speicher komplett löschen, dann kann man sich sicher sein, das er nicht mehr herunterladen kann

Hoffentlich wurde dann mein PC nicht infiziert.

Andernfalls erneutes aufsetzen und ich fang jetzt schon an mit Datenrücksicherung. Für den Fall, das ich sie nochmal brauche oder schon veränderte daten vom letzten backup auf meinem PC sind.

Lasse jetzt nocheinmal von F-Secure und Antivir meinen PC durchkämmen.
Dann nochmal mit Rootkitsoftware alle files und Prozesses so wie unsichtbare.
Sollten keine Probleme auftreten, wars das erstmal oder besser wäre für eine lange Zeit.

Ach ja mit meinem Surfverhalten hab ich noch nie Probleme gehabt, da ich mich ausreichend schütze und ich verwende immer Noscript und so.

Hab eigentich einen sicheren PC, aber gegen sowas kann man sich net wehren.

Das müsste erst mal reichen, danke für die hilfe.

Antwort

Themen zu W32.Beagle.lg.A@mm/trojaner.Downloader
1.exe, antivir, avira, avp, datei kann nicht geöffnet werden, dateien, desktop, einstellungen, fehlermeldung, file, frage, gelöscht, gereinigt, heur/malware, html, ignorieren, malware, nicht öffnen, pdf, programme, quara, riskware, schließen, spyware, starten, system, system32, temp, trojaner, update, usb-stick, virus, wmi



Ähnliche Themen: W32.Beagle.lg.A@mm/trojaner.Downloader


  1. Malware durch dubiosen Downloader (Lightning Downloader)
    Log-Analyse und Auswertung - 10.07.2015 (9)
  2. Möchte meinen PC Trojaner frei bekommen (auch Trojaner Downloader)
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (12)
  3. Trojaner Win32:Beagle-RI[Trj] aber wie
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (9)
  4. Beagle Dekontamination
    Plagegeister aller Art und deren Bekämpfung - 23.05.2009 (12)
  5. Beagle Virus
    Plagegeister aller Art und deren Bekämpfung - 23.11.2008 (23)
  6. Win32:Beagle-
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (3)
  7. Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff
    Log-Analyse und Auswertung - 09.02.2008 (2)
  8. Bagle / Beagle entfernt!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (3)
  9. Beagle/Bagle und widersprüchliche Scanner-Meldungen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2007 (3)
  10. Win32:Beagle-LA [Wrm] / Hijacker
    Plagegeister aller Art und deren Bekämpfung - 19.05.2006 (2)
  11. Beagle-KB2 und Virus in edlm2.exe - zu Hülfäää
    Plagegeister aller Art und deren Bekämpfung - 27.04.2006 (8)
  12. Sicherheitsverletzbarkeit vor Beagle Virus ???
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (7)
  13. Spyware Beagle Viurs..Internet spielt verrückt
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (1)
  14. Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich
    Plagegeister aller Art und deren Bekämpfung - 10.04.2006 (10)
  15. Beagle und sonstiges ?
    Log-Analyse und Auswertung - 08.03.2006 (2)
  16. NIS -> Angriffswarnung kein Schutz vor W32.Beagle.AV@mm
    Antiviren-, Firewall- und andere Schutzprogramme - 03.12.2004 (1)
  17. Wurm Beagle in drei neuen Varianten
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (4)

Zum Thema W32.Beagle.lg.A@mm/trojaner.Downloader - Die Logs vom 13. März zeigen keinerlei auffälligkeiten, doch einen Tag später tritt finden meine Viren-Scanner einige Viren, Trojanern, darunter der W32/Bagle.lg Das system macht zwar wieder was es sollte, - W32.Beagle.lg.A@mm/trojaner.Downloader...
Archiv
Du betrachtest: W32.Beagle.lg.A@mm/trojaner.Downloader auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.