Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe win32.bagle.mm und win32.bagel.qe was tun

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.05.2008, 22:10   #1
fowler
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Hallo,

ich habe leider seit gestern ein Problem. Ich habe mir den win32.bagle.mm und win32.bagle.qe eingefangen.

Leider bekomme ich den Wurm nicht mehr weg. Ich habe Kaspersky Security Suite schon mehrmals scannen lassen. Er hat auch immer wieder Infizierungen gefunden und beseitigt. Leider kommen diese nach dem Neustarten des Rechners immer wieder. Das gleiche mit SpywareDoctor, spywarefighter und a-square free

Mir ist auserdem aufgefallen, dass ich meine versteckten Dateien nicht einblenden kann. Den entsprechenden hacken kann ich nirgendwo setzen.

Mein Wlan geht leider auch nicht mehr und im Abgesichterten Modus starten ebenso nicht.

Mein aktuelles HijackThis logfile sieht so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:05, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198196290109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211574898357
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - C:\Programme\a-squared Free\a2service.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7409 bytes


Vielleicht kann mir ja jemand helfen?

Oder komme ich um ein Neuaufsetzen des Systems nicht drumrum?

Ich freue mich über jede Hilfe.

DANKE!!!

Alt 23.05.2008, 22:22   #2
KarlKarl
/// Helfer-Team
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Hi,

aller Wahrscheinlichtkeit nach wird es auf Neuaufsetzen hinauslaufen. Wir können ja noch einen Scan einschieben zur Bestätigung des Verdachts (auch wenn ich denke dass er schon fast Gewissheit ist):

Blacklight scannen lassen
  • Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl
__________________


Alt 23.05.2008, 22:27   #3
fowler
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Dankefür die schnelle Antwort.

Bing grad dabei.

Post kommt gleich.

__________________

Alt 23.05.2008, 22:48   #4
fowler
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Hier der log von fsbl:

05/23/08 23:35:36 [Info]: BlackLight Engine 1.0.70 initialized
05/23/08 23:35:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/23/08 23:35:36 [Note]: 7019 4
05/23/08 23:35:36 [Note]: 7005 0
05/23/08 23:35:39 [Note]: 7006 0
05/23/08 23:35:39 [Note]: 7011 892
05/23/08 23:35:45 [Note]: 7035 0
05/23/08 23:35:45 [Note]: 7026 0
05/23/08 23:35:46 [Note]: 7026 0
05/23/08 23:35:51 [Note]: FSRAW library version 1.7.1024
05/23/08 23:45:49 [Note]: 2000 1012
05/23/08 23:45:49 [Note]: 2000 1012
05/23/08 23:45:49 [Note]: 2000 1012
05/23/08 23:46:23 [Note]: 7007 0


Sieht ja nicht nach viel aus, aber ich hab auch kein Plan davon.

Grüße

Alt 24.05.2008, 00:12   #5
KarlKarl
/// Helfer-Team
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Das sieht nicht nach Bagle aus. Es besteht allerdings schon länger ein verdacht, dass Bagle Blacklight entgehen kann, wird eben regelmäßig weiterentwickelt. Probieren wir noch ein paar andere andere:

Gmer scannen lassen
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:
  • "Include Empty Locations" -> ein (Haken)
  • "Verify Code Signatures" -> ein (Haken)
  • "Hide Signed Microsoft Entries" -> aus (kein Haken)
Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.


Alt 24.05.2008, 20:30   #6
fowler
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



Danke für die Mühe,

ich hab mich aber jetzt dran gemacht meinen PC neuaufzusetzen.

Dann ist er wenigstens wieder wie neu. Musste eh mal sein.

Hatte so viel unnötiges Zeugs daruf.

Grüße

Alt 24.05.2008, 20:35   #7
KarlKarl
/// Helfer-Team
 
Hilfe win32.bagle.mm und win32.bagel.qe was tun - Standard

Hilfe win32.bagle.mm und win32.bagel.qe was tun



das ist auf jeden Fall sicher. Und hat, wie du angemerkt hast, noch andere positive Nebeneffekte. Ich mach das auch öfter mal, ohne Infektionsverdacht, und freue mich danach.

Antwort

Themen zu Hilfe win32.bagle.mm und win32.bagel.qe was tun
adobe, appinit_dlls, bho, defender, dsl, explorer, f-secure, firefox, gservice, hacken, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, immer wieder, internet, internet explorer, internet security, kaspersky, konvertieren, logfile, mozilla, mozilla firefox, pdf, pdf-datei, scan, security, security suite, software, system, tuneup.defrag, was tun, windows, windows xp, wlan, wurm



Ähnliche Themen: Hilfe win32.bagle.mm und win32.bagel.qe was tun


  1. Win32:Malware-gen, Win32:Adware-gen, Win32:rookit-gen können nicht gelöscht werden
    Log-Analyse und Auswertung - 17.11.2015 (16)
  2. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  3. HILFE für PC-DUMMIE---WIN32/Obfuscator.ZU und WIN32/ShopperReports
    Log-Analyse und Auswertung - 10.08.2012 (29)
  4. Bundestrojaner Österreich und Win32/Bagle.gen.zip worm
    Log-Analyse und Auswertung - 18.07.2012 (3)
  5. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  6. Win32 keine zulässige Anwendung - 0Byte Dateien Bagle Wurm? Was soll ich tun?
    Log-Analyse und Auswertung - 28.12.2009 (7)
  7. Nachwirkungen Win32.Bagle.aic
    Mülltonne - 06.01.2009 (0)
  8. Bagle/mdelk.exe/keine Win32
    Plagegeister aller Art und deren Bekämpfung - 21.12.2008 (3)
  9. Probleme mit Tr/win32.Tiny.h Tr/Win32.Agent.bq! Hilfe
    Mülltonne - 02.10.2008 (0)
  10. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  11. Win32/Adware.Virtumonde - Win32/PrivacyRemover.M64 - TR/Zlob.KA.2 - Hilfe benötigt!
    Log-Analyse und Auswertung - 29.08.2008 (9)
  12. Hilfe, mein Computer zeigtan: WIN32/Adware.Virtumonde&Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 25.08.2008 (2)
  13. Laie hat wahrscheinlich win32.bagle virus
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (15)
  14. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 28.11.2005 (1)
  15. Email-Worm.Win32.Bagle.pac - alt aber noch resistent! Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2005 (12)
  16. Email-Worm Win32 Bagle.pac - Logfile
    Mülltonne - 21.11.2005 (1)
  17. E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!!
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (3)

Zum Thema Hilfe win32.bagle.mm und win32.bagel.qe was tun - Hallo, ich habe leider seit gestern ein Problem. Ich habe mir den win32.bagle.mm und win32.bagle.qe eingefangen. Leider bekomme ich den Wurm nicht mehr weg. Ich habe Kaspersky Security Suite schon - Hilfe win32.bagle.mm und win32.bagel.qe was tun...
Archiv
Du betrachtest: Hilfe win32.bagle.mm und win32.bagel.qe was tun auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.