Email-Worm.Win32.Bagle.pac - alt aber noch resistent! Was kann ich tun?
 

hallo,

habe einen recht alten trojaner auf meinem system. was kann ich tun?

Servus!
http://www.nod32.it/tools/BAGLEFIX.ZIP Bagelfixtool - auf eigene Gefahr!
Und poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

danke für das baglefixtool.
komischerweise hat das tool keinen bagle auf m. pc gefunden?

merkwürdig:mad:

ich probiere jetzt die andere möglichkeit

ginalinagirl

hier das logfile

Logfile of HijackThis v1.99.1
Scan saved at 19:51:30, on 21.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\cisvc.exe
D:\Downloads\Anti-Virus\fsgk32st.exe
D:\Downloads\Anti-Virus\FSGK32.EXE
D:\Downloads\Anti-Virus\fssm32.exe
D:\Downloads\Common\FSMA32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\windows\system32\cidaemon.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\explorer.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\windows\Mixer.exe
E:\Musik\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\eBayTBDaemon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
D:\Downloads\Common\FSM32.EXE
D:\Downloads\Common\FSMB32.EXE
D:\Downloads\Common\FCH32.EXE
D:\Downloads\backweb\154149\program\fsbwsys.exe
D:\DOWNLO~1\backweb\154149\Program\SERVIC~1.EXE
D:\Downloads\Common\FAMEH32.EXE
D:\Downloads\FWES\Program\fsdfwd.exe
D:\Downloads\backweb\154149\Program\fspex.exe
D:\Downloads\Anti-Virus\fsav32.exe
D:\Downloads\FSGUI\fsguiexe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\g******a\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = w**.tedora.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ebay.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w**.tedora.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\eBayTb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\eBayTb.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "E:\Musik\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [auto__hloader__key] C:\windows\system32\hloader_exe.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\windows\system32\antiav_exe.exe
O4 - HKLM\..\Run: [eBayToolbar] D:\eBayTBDaemon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Downloads\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Downloads\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Downloads\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [frosch] "c:\programme\citroËn deutschland ag\citroËn c1 - frosch\frosch.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Skype] "D:\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [auto__hloader__key] C:\windows\system32\hloader_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\windows\system32\antiav_exe.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://D:\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37440.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myfirewall/myfirewall20.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5D62CB-F8A6-409B-8A20-89756249011A}: NameServer = 195.50.140.250 145.253.2.203
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - D:\DOWNLO~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Downloads\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - D:\Downloads\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Downloads\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Downloads\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


könnt ihr damit was anfangen?

ginalinagirl

bitte, ein posting in einem forum reicht ;)

GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif
(aus dem buch:"winke, winke mit dem zaunpfahl")

danke für den hinweis, nur ich bin neu und wusste nicht wohin.
Klar?;)

Servus wieder!
Zuallererst: Verschiebe HJT aus dem Temporärordner in ein eigenes Verzeichnis - sonst funktioniert die Backupfunktion nicht!
Hier hast Du den bagle!
Jetzt könntest Du noch dieses Tool versuchen (auf eigene Gefahr) http://securityresponse.symantec.com...oval.tool.html oder
Fixe diese Einträge im abgesicherten Modus (siehe Anleitung HJT) und lösche anschließend diese Dateien (ebenfalls im abgesicherten Modus)

Was soll dieser Eintrag sein - sagt Dir das irgend etwas? Lass´ mal folgende Datei bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Dein PFW.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
stupormundi

hallo,

ich merk schon, dass was du mir da erzählst ist mir echt zu hoch.
dachte schon ich kenn mich aus, hoffe ich kann das alles machen, denn ich versteh nur "bahnhof":dummguck:
übrigens das mit frosch.exe ist ein gimmick - ein frosch als bildschirmschoner;)

ich meld mich sobald ich zuhause bin und m. rechner damit fordere.

ginalinagirl

leider hat das mit dem tool nicht geklappt. ich glaub mir bleibt nichts anderes mehr übrig, als das system neu aufzuspielen. gibts noch ne andre lösung?

ginalinagirl:balla:

Hallo Ginalinagirl,
das wäre natürlich die sauberste aller Lösungen.Und wenn du zukünftig die Finger von dubiosen EMailanhängen läßt und dich an diesen Threat hältst.Dann sollte dir zukünftig solch ein Ärger erspart bleiben.
http://www.trojaner-board.de/showthread.php?t=12154
Um nochmal freundlich mit dem Zaunpfahl zu winken........
Auf der Seite kannst du unten ein PDF downloaden mit den Anweisungen.
Am Besten bevor du beginnst neu aufzusetzen.
Winke winke verstanden ?
Irrlicht

hallo irrlicht,

einen 100%igen schutz gibt es nicht, dass kannst noch nicht mal du mir erzählen. aber es wird mir eine lehre sein, emails zu öffnen, die ich nicht kenne. nur wer kann schon von sich behaupten dass alles gut geht.

es gab mal eine zeit vor jahren, wenn ich da einen virus hatte und das tool runtergeladen habe, war er weg, leider ist das nicht mehr so. warscheinlich werden auch trojaner bzw. würmer resistenter!

ginalinagirl

p.s. bin ja nicht umsonst hier gelandet! werd mir deinen tipp merken!

@ginalinagirl
Sag bloß nicht, dass du es nur jetzt-gleich-heute früh erfahren hast ;).
Wer (an Entfernungstools) glaubt, wird selig. Die funzen gegen nur einen Typ des Viruses, sehr selten - gegen eines Generics und nie - gegen polymorphen Viren, da die sich sehr stark vom vorgegebenen Suchmuster unterscheiden.

du wirst lachen, es gibt leute die glauben heute noch an den weihnachtsmann:teufel1:

ich für meinen teil hatte bis vor einigen wochen noch keine richtigen probleme, nur da ich sehr viel recherchieren muss im netz weiß ich nicht immer was ich mir einfange.....

diese tools haben mir früher immer geholfen:crazy: