Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bagle, srosa.sys

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.11.2008, 13:24   #1
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



Hallo,

ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach ca. 1-2 Min. mit einem BSOD stehen. Der Dateiname "srosa.sys" wurde mir als Verursacher angezeigt.
Ich wußte zu dem Zeitpunk nicht, wie gefährlich dieser Virus ist, und habe daraufhin ca. 30 min als Benutzer mit Adminrechten im abgesicherten Modus weitergearbeitet, weil ich unbedingt etwas fertigstellen musste. Das klappte auch "scheinbar" ganz gut, danach habe ich den Rechner dann ausgeschaltet und vom Netz getrennt und arbeite seitdem an einem Zweitrechner.

Die Einträge von Seti@home im Avira-Forum habe ich mir durchgelesen, allerdings habe ich eine spezielle Systemkonfiguration, die mir jetzt vielleicht hilft?!

In meinem PC sind 3 Festplatten verbaut, mit je 3 NTFS-Partitionen (die mir nur dazu dienen, die Dateien etwas zu strukturieren):
- System (XP Pro SP3) liegt auf hda1 (+hda2,hda3)
- Eigene Dateien auf hdb1 (+hdb2,hdb3)
- Wichtige Arbeitsdaten auf hdc3 (+hdc2, hdc3).

Ich benötige zum Weiterarbeiten unbedingt den Inhalt von hdb1 und hdc1. Von hda1 gibt es ein Backup von Anfang der Woche, es fehlen aber die Daten dieser Woche. Dort befinden sich keine *exe* Dateien, nur Bilder, PDFs, Grafikdaten und MS Office/Open Office-dateien.

Es gibt ein komplettes Acronis-Image des Systems von vor ca. 6 Wochen (~35Gb, höchste Kompression, auf einer externen Platte, die zum Zeitpunkt des Befalls verbunden aber ohne Strom war). Ich habe allerdings noch nie ein Image zurückgespielt und weiß nicht, was an aktuellen Daten dadurch ersetzt/gelöscht wird und auch gelesen, dass es im Fall Bagle damit allein nicht getan ist?!

Da sich ein Neuaufsetzten scheinbar nicht vermeiden lässt würde ich das als (unfreiwillig willkommen) Anlaß nehmen, meine Konfiguration leicht zu ändern und die Systemplatte gegen eine neu größere und schnellere zu tauschen. Die jetzige infizierte stünde also komplett zum späteren Scan und Extraktion relevanter Daten zur Verfügung.

Dennoch bitte ich Euch um Hilfe bei den folgenden Fragen:
Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung?
1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)?
2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte?
3. Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung?
4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was?

Danke
D-O-M

Alt 07.11.2008, 14:07   #2
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Hallo,

ich hab selten so eine detaillierte Problembeschreibung gesehen, mein Respekt.

Zitat:
Was sollte ich als Nächstes tun? Kann ich die Daten auf hdb und hdc abschreiben oder besteht Hoffnung?
Deine wichtigen Daten kannst du natürlich sichern, dagegen spricht nichts.
Wenn es sich dabei um .exe-Dateien handelt (oder andere ausführbare Programme), würde ich diese gründlichst prüfen, bevor sie erneut ausgeführt werden (Ich denke, es besteht die Möglichkeit, Programme mit zu sichern, da Bagle kein File Infector ist). Wenn es aber geht, generell alle Programme verwerfen.
Zitat:
1. Datensicherung mit Puppy Linux (tauchte als Tipp auf, habe ich aber so noch nie gemacht)?
Puppy Linux sagt mir spontan nichts, aber bisher wurde Datensicherung meist mit einer Live CD ala Knoppix, Ubuntu, etc. betrieben.
Ich denke, das ist idR das selbe.
Zitat:
2. Neuinstallation von XP auf der neuen Festplatte oder überspielen des Image auf die jetzig infizierte?
Wenn du dir 100% sicher bist, das das erstellte Image clean ist, kannst du auch das machen.
Zitat:
Was mache ich mit den Daten auf hda2 und hda3? Kann ich die abschreiben oder besteht Hoffnung?
Siehe oben.
Zitat:
4. Ich habe was von einem Remover-Tool für Bagle gelesen, taugt der was?
Ich glaube, du meinst Elibagle. Leider nutzt dieses Tool z.Z. nicht viel, da die bisherigen Bagle Varianten das Programm früher erkennt, als umgekehrt.

mfg
__________________

__________________

Alt 07.11.2008, 14:31   #3
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



Danke für Deine Antwort. Dann besteht also noch Hoffnung :-)

Puppy Linux ist ein sehr kleines Linux, das Windows sehr ähnlich ist.

Zur Datensicherung:
Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger).
Lässt er denn wirklich alles außer *exe* Dateien in Ruhe?

+++

Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt...

Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig?

Danke
D-O-M
__________________

Alt 07.11.2008, 14:34   #4
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Kein Problem.
Zitat:
Zur Datensicherung:
Leider habe ich keine wirklich aussagefähige Beschreibung gefunden, was der Bagle tatsächlich macht (ausser Ärger).
Lässt er denn wirklich alles außer *exe* Dateien in Ruhe?
Bagle zerlegt dir sämtliche AVP's, öffnet eine Backdoor => ermöglicht dadurch unbefugten Zugriff von Außen, läd weitere Malware nach und zerstört sehr viel im Windows Kernel.
Zitat:
Image: Nach dem Erlebnis jetzt kann ich nicht zu 100% Prozent ausschließen, dass das Image was abbekommen hat. Ich nutze zwar Spybot, Avira Premium, ne Firewall etc. pp., aber Bagle wurde ja z.B. nicht erkannt...
Da siehst du mal, dass die sog. "Security Programme" im Ernstfall versagen.
Zitat:
Ich würde es allerdings schon gerne erstmal so versuchen. Hast Du Tipps oder Empfehlungen für das Zurückspielen? Da das Backup auf einem externen Datenträger ist, kann ich ja mein infiziertes System nicht mehr verwenden um so darauf zuzugreifen. Richtig?
Was nutzt du für ein Backup-Programm?
Bei Acronis ist es sehr gut beschrieben, wie du die Images zurückspielst.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.11.2008, 18:49   #5
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



So, kleines Update:

Ich habe den Rechner neu zusammengeschraubt und die neue Platte auf dem ein Xp (1) installiert war angesteckt. Nach etwas Hick-Hack im BIOS habe ich jetzt wieder ein funktionierendes XP (1) auf C:. Allerdings ist das ja nicht mein "bisheriges" XP (0), sondern die Platte aus nem anderen Rechner.

Das Zurückspielen des Backups mit Acronis scheitert bisher daran, dass die Original (!) Boot-CD von Acronis 11 nicht erkannt wird (fatal error...).

Zusätzlich musste ich einige Treiber nachinstallieren, da das XP (1) bisher ja auf anderer Hardware lief.

Doof...

Schreibe wieder, wenns was Neues gibt.
D-O-M


Alt 07.11.2008, 18:53   #6
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Du hättest doch das Image (MeinBackup.tib ?) auf der infizierten Platte zurückspielen können. Oder etwa nicht?
__________________
--> Bagle, srosa.sys

Alt 07.11.2008, 19:29   #7
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



nein, es ist ja so:

Mein bisheriges System läuft nicht mehr. Sobald ich davon starte bleib XP ca. 10 Sekunden nach der Anmeldung stehen. Ich kann darauf also überhaupt nicht mehr arbeiten.

Ergo muss ich ja irgendwie eine funktionierende Umgebung schaffen, damit ich das Image wieder zurückbekomme (von der externen Backup-Platte). Das habe ich jetzt erstmal so gelöst, dass ich eine andere physikalische Platte als neue System-hda1 ans Laufen bekommen habe. Diese war aber vorher in einem anderen PC, es sind also komplett andere Daten drauf (die brauch ich nicht mehr). Aber: Win XP läuft jetzt erstmal wieder.

Ich kann also soweit arbeiten, dass ich an mein Backup sichtbar (per Win-Explorer) rankomme. Nur mit dem Zurückspielen per Acronis klappt es nicht...

Nach meinem Verständnis muss ich doch von einer CD/der Acronis-CD booten, wenn ich das Backup wieder einspielen will (egal auf welche Platte). Nach dem Befall mit dem Virus kann ich ja nicht ausschließen, dass eine Acronis-Installation auf der (bisherigen) Festplatte auch infiziert ist...

Oder mache ich da nen Denkfehler?

D-O-M

Alt 07.11.2008, 19:52   #8
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Huiui, ich komm schon fast durcheinander.

Ich brauch zum Überspielen eines Images keine Acronis CD.
Apropos CD, es gibt auch Windows Live CDs, wenn mich nicht alles täuscht.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.11.2008, 20:12   #9
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



ja, vielleicht gehe ich es etwas kompliziert an... :-)

WIE... wie soll ich denn ein Image auf eine infizierte Platte zurückspielen auf der alle exe dateien potentiell infiziert sind und auf der ich nicht mehr ins System komme, weil es nach paar Sekunden steht (BSOD)

Wie gehst Du denn vor, wenn Du ein Image zurückspielst? Und von WO?

btw: hab gesehen, dass das letzte komplette Image von Ende August ist...

Grrrrr.....

D-O-M

Alt 07.11.2008, 20:14   #10
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Zitat:
Wie gehst Du denn vor, wenn Du ein Image zurückspielst? Und von WO?
Ich kann in den Acronis Manager, wenn ich boote.
Oder von der Acronis CD.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.11.2008, 21:00   #11
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



mmmh.... da hab ich dann wohl doch was bei der Installation übersehen. Ich habe diese Option nicht.

Werde es nochmal mit der CD versuchen.

+++

Noch etwas zur Datensicherung: Kann ich denn meine ehemaligen "Zweitplatten" ohne Sorge in ein Windows-System hängen? Ich möchte darauf zugreifen, die Daten rausziehen und dann formatieren.

Danke für Hilfe
D-O-M

Alt 07.11.2008, 21:01   #12
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Zitat:
Noch etwas zur Datensicherung: Kann ich denn meine ehemaligen "Zweitplatten" ohne Sorge in ein Windows-System hängen? Ich möchte darauf zugreifen, die Daten rausziehen und dann formatieren.
Ich denke schon, dass das möglich ist.
Wenn du kein Risiko eingehen willst, würde ich von einer Live CD aus booten.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.11.2008, 21:17   #13
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



meine Sammlung an Live-CDs ist grad verdächtig klein :-)

Ich schau mal, ob ich eine heruntergeladen bekomme und melde mich dann mal wieder.

Hast Du noch einen Tipp für mich, welche Software im Idealfall direkt nach dem Anstöpseln der Zweitplatten zum Säubern eingesetzt werden sollte (oder welche in welcher Reihenfolge).

Danke schonmal für Deine sehr gute Hilfe heute und nen schönen Abend noch. Bin noch ca. ne Viertelstunde im Büro.
D-O-M

Nachtrag:
Jetzt wirds doch nochmal lustig:
- Reboot nach der Acronis 11 Installation
- ... Boot from Atapi-CD Rom:
Starting Acronis Loader...

Acronis Loeader fatal error: Boot drive (partition) not found
Press <Enter> try to boot your OS...

Drücke ich dann Enter kommt die selbe Fehlermeldung immer wieder

Starte ich den PC aber ohne CD komme ich ganz problemlos in XP...
Also stimmt irgendwas mit dem Loader nicht oder der CD? Ist ne Original-CD von Acronis...

Geändert von D-O-M (07.11.2008 um 21:24 Uhr) Grund: Nachtrag

Alt 07.11.2008, 21:20   #14
Silent sharK
 

Bagle, srosa.sys - Standard

Bagle, srosa.sys



Zitat:
Hast Du noch einen Tipp für mich, welche Software im Idealfall direkt nach dem Anstöpseln der Zweitplatten zum Säubern eingesetzt werden sollte (oder welche in welcher Reihenfolge).
Du solltest auf jedenfall keine ausführbare Datei öffnen!
Zum Überprüfen reicht eigentlich dein AVP und EliBagle. Evtl. wenn du sicher gehen willst, würde auch ein Online Scanner nicht schaden.
Zitat:
Danke schonmal für Deine sehr gute Hilfe heute und nen schönen Abend noch.
Danke, den wünsch ich dir ebenfalls.

Edit:
Du sagtest du kommst problemlos in XP.
Also könntest du theoretisch doch von da aus das Image überspielen, seh ich das richtig?
Hast du die Möglichkeit, die CD erneut zu brennen?
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Geändert von Silent sharK (07.11.2008 um 21:30 Uhr)

Alt 08.11.2008, 13:31   #15
D-O-M
 
Bagle, srosa.sys - Standard

Bagle, srosa.sys



Hallo,

neuer Tag, neues Glück...

Ich habe jetzt alle bisherigen Platten in meinem System wieder in Betrieb genommen und arbeite derzeit von einem Live-Linux-System aus.

Meine nächsten Schritte sind:
- Schreibgeschützten USB-Stick besorgen und darauf mit Keypass ab sofort alle Passwörter ablegen. Hat mir dazu jdm. einen Tipp? Irgendwie scheints keine Sticks zu geben, die mind. 2Gb groß, schnell UND sicher sind??
- System komplett scannen, mehrfach und intensiv :-)
- Alle wichtigen Daten meiner alten Platten über Linux auf eine externe Platte sichern. Im Zuge dessen werde ich auch ne komplett neue Ablagestruktur einrichten um in Zukunft alle wichtigen Daten schnell wieder zusammenzuhaben.
- Windows neu aufsetzen (nerv)...

Tipps dazu?

Gruß
D-O-M

Antwort

Themen zu Bagle, srosa.sys
abgesicherten modus, anfang, bagle, datei, dateien, datensicherung, exe, festplatte, folge, frage, gefährlich, home, infizierte, klicke, linux, neue, neuinstallation, programm, rechner, rootkit, scan, sp3, unbedingt, unfreiwillig, virus, win, win xp, überspielen, ändern



Ähnliche Themen: Bagle, srosa.sys


  1. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  2. srosa.sys, kein ezulässigen Win32 Anwendungen etc
    Plagegeister aller Art und deren Bekämpfung - 09.11.2008 (13)
  3. Bagle
    Log-Analyse und Auswertung - 08.11.2008 (0)
  4. W32/Bagle.gen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2008 (8)
  5. W32/bagle.gen virus?
    Mülltonne - 05.07.2008 (3)
  6. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  7. hldrr-/srosa-/wintems-/iexplore-Virus
    Diskussionsforum - 06.02.2008 (29)
  8. Bagle.dk
    Mülltonne - 21.09.2007 (1)
  9. TR/Bagle.Gen.B
    Plagegeister aller Art und deren Bekämpfung - 04.09.2007 (11)
  10. TR/Rkit.Bagle.GL
    Plagegeister aller Art und deren Bekämpfung - 08.02.2007 (9)
  11. TR/Dldr.Bagle.Q
    Mülltonne - 11.01.2007 (2)
  12. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)
  13. w32 bagle auf mac
    Antiviren-, Firewall- und andere Schutzprogramme - 16.09.2005 (6)
  14. TR/Bagle.al
    Log-Analyse und Auswertung - 16.04.2005 (7)
  15. bagle.bb
    Log-Analyse und Auswertung - 12.03.2005 (1)
  16. Bagle.AA.HTA
    Plagegeister aller Art und deren Bekämpfung - 06.12.2004 (5)
  17. Bagle
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (2)

Zum Thema Bagle, srosa.sys - Hallo, ich habe mir gestern durch ein Programm, dass mir von einer vermeintlich sicheren Quelle geschickt wurde einen Bagle mit Rootkit installiert. Win XP blieb nach Anklicken der exe nach - Bagle, srosa.sys...
Archiv
Du betrachtest: Bagle, srosa.sys auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.