Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!! (https://www.trojaner-board.de/20309-e-mail-worm-win32-bagle-bn-bitte-helft-mir.html)

weaselmania 29.07.2005 19:24
E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!!
 
Moin leute!
bin eigentlich ziemlich vorsichtig was emails angeht, aber diesmal hats mich erwischt. Hab leider Gottes die txt datei ausgeführt, weil ich dachte das es ne mail von nem kumpel wäre. hab jetzt mal im Intenet gesucht, aber nur gefunden was der Virus/Wurm bewirkt, aber nicht wie man ihn wieder wegbekommt. Hoffentlich könnt ihr mir helfen!!!

Zitat:
Gefährliche Modifikation des bereits bekannten "I-Worm.Bagle" mit dem Titel "E-Mail-Worm.Win32.Bagle.bn" unterwegs. Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die eine mit PeX gepackte exe-Datei enthält, befindet sich im E-Mail-Anhang. Die exe-Datei trägt die Bezeichnung 19_04_2005.exe und hat gepackt eine Größe von 19 KB.

Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Deren Name beginnt mit dem Tilde-Symbol und trägt die Dateiendung "txt". Der restliche Teil des Namens wird zufällig erzeugt. Bagle.bn verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort "Sorry" angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.

Der Wurm blockiert die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die Hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. Bagle.bn ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techniken verwenden, um weitere Repliken des Wurms massenhaft zu verbreiten.

felix1 29.07.2005 19:34
Um zu sehen, was wirklich womit infiziert ist, mache einen escan genau nach Anleitung und poste das mit der Datei find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

weaselmania 30.07.2005 00:37
Datei C:\WINDOWS\system32\wiwshost.exe infiziert von "Email-Worm.Win32.Bagle.bj" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\winshost.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\pxsfs.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\unvise32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2582BD1F-69F7-4C58-ACF7-600DB0AC1BD7}" refers to invalid object "C:\PROGRA~1\Ahead\Nero\WAVEED~1\RECORD~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{42A3A9AB-F7B4-40B1-B2AA-F31E35459D4A}" refers to invalid object "C:\PROGRA~1\Ahead\Nero\WAVEED~1\RECORD~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Map.EU" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Map.EU.9" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Template.EU.9" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler.1" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Desktop\8.zip infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temp\~4B.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDKRA1M5\osa[2].gif infiziert von "Trojan-Downloader.Win32.Small.beq" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IZUBQ1AZ\osa[2].gif infiziert von "Email-Worm.Win32.Bagle.pac" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\RECYCLER\S-1-5-21-3369531988-3907707769-1987657003-1007\Dc1.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\RECYCLER\S-1-5-21-3369531988-3907707769-1987657003-1007\Dc3.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Email-Worm.Win32.Bagle.pac" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\eraseme_84467.exe infiziert von "Backdoor.Win32.SdBot.xd" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\wiwshost.exe infiziert von "Email-Worm.Win32.Bagle.bj" Virus. Aktion vorgenommen: No Action Taken.
Datei D:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

dartus 30.07.2005 14:39
Hallo weaselmania,

Zitat:
Datei C:\WINDOWS\system32\eraseme_84467.exe infiziert von "Backdoor.Win32.SdBot.xd"
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung
# Wird für DOS-Attacken verwendet

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:40 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129