|
Laie hat wahrscheinlich win32.bagle virus Hallöchen, aller wahrscheinlichkeit habe ich mir, nach eigener internetrecherche, auf meinem Rechner den win32.bagle.cu virus eingefangen. nun weiß ich nicht weiter, habe mir folgende programme runtergeladen: gmer fsbl Rootkid revealer Bin damit jetzt komplett überfordert und weiß nicht, wie es weitergehen soll. Kann mir vielleicht jemand helfen ?:heulen: Vielen Dank im Voraus, Clara |
Lad dir erstmal Das Programm Hijackthis auf den Rechner: http://www.trojaner-board.de/17493-a...ijackthis.html und benenne die Datei in This.exe um, Hijackthis muss einen Eigene Ordner haben. |
Führe bitte auch Blcklight ("fsbl" in deinem Posting) aus und poste das Logfile, zu finden i.d.R. unter c:\fsbl*****.log Wenn es wirklich Bagle ist, sollte Blacklight ihn finden; zuverlässig entfernen lässt er sich aber leider nicht. Übrigens: Wie kommst du darauf, dass es Bagle ist? |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:11:48, on 10.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.claras-world.de/discl.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [wait4ip] c:\net2plug\tools\wait4IP.exe O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [Automatisch EPSON Stylus Photo RX420 Series auf MM-D8K1Y6P5FB0P] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P63 "Automatisch EPSON Stylus Photo RX420 Series auf MM-D8K1Y6P5FB0P" /O26 "\\MM-D8K1Y6P5FB0P\Drucker2" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: o4mdl - http://image.one4.de/o4/cab/o4mdl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126137472671 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe (file missing) O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\swdsvc.exe (file missing) -- End of file - 5785 bytes |
Ich komme darauf, dass es der win32.bagel.cu ist, weil mein rechner nach dem starten immer eine internetverbindung mit cortinasdoncarlos.com.ar aufbauen will, ich aber niemals auf dieser Seite war...zudem sind mein virenscanner und einige andere Funktionen eingeschränkt bzw. gelöscht. diesen sachverhalt habe ich mal gegoogelt und bin auf den genannten virus gestoßen...da ich aber totaler laie bin, habe ich keine ahnung, ob das stimmt, geschweige denn, was ich nun tun soll. jetzt ist auch noch meine maus ausgefallen und ich muss mich mit mir unbekannten tastenkombis hier durchs netz schleppen;-( |
Hallo Fixe mit HJT folgende einträge Code: O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe |
01/10/08 07:58:00 [Info]: BlackLight Engine 1.0.67 initialized 01/10/08 07:58:00 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/10/08 07:58:01 [Note]: 7019 4 01/10/08 07:58:01 [Note]: 7005 0 01/10/08 08:09:08 [Note]: 7006 0 01/10/08 08:09:08 [Note]: 7011 1320 01/10/08 08:09:08 [Note]: 7026 0 01/10/08 08:09:09 [Note]: 7026 0 01/10/08 08:09:09 [Note]: 7024 3 01/10/08 08:09:09 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe 01/10/08 08:09:22 [Note]: FSRAW library version 1.7.1024 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg 01/10/08 08:11:46 [Note]: 10002 3 01/10/08 08:11:46 [Note]: 10002 2 01/10/08 08:11:46 [Note]: 10002 2 01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\EPCCNV00.DLL 01/10/08 08:12:00 [Note]: 10002 3 01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\EPCCNV01.DLL 01/10/08 08:12:00 [Note]: 10002 3 01/10/08 08:12:00 [Info]: Hidden file: c:\Programme\Smart Panel\Shared\epccnv02.dll 01/10/08 08:12:00 [Note]: 10002 3 01/10/08 08:12:00 [Note]: 10002 2 01/10/08 08:12:00 [Note]: 10002 2 01/10/08 08:18:45 [Note]: 10002 2 01/10/08 08:18:45 [Note]: 10002 2 01/10/08 08:20:28 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe 01/10/08 08:20:28 [Note]: 10002 2 01/10/08 08:20:28 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys 01/10/08 08:20:28 [Note]: 10002 2 01/10/08 08:22:29 [Note]: 2000 1012 01/10/08 08:53:48 [Note]: 7007 0 |
Hallöchen, vielen dank, soll ich das jetzt gleich machen oder erst nach einem Systemstart? Ist es denn dieser wurm? Was mache ich mit diesem logeintrag von fsbl? |
Hallo Starte erstmal neu und dann: Lass die Datei c:\WINDOWS\system32\drivers\srosa.sys -Hier: VirusTotal Oder -Hier: Online Malware scan überprüfen. Poste das Ergebnis. Hier ein Paar Details über den Trojaner |
Leider kann ich die datei nicht finden, der ordner drivers fehlt in meinem system32 ordner Und nun ? Soll ich dann erstmal mit dem fixen der zwei sachen anfangen? |
Fixe erstmal diese Einträge und dann mach am besten mal alle versteckten Dateien und Ordner sichtbar unter Extras>Ordneroptionen>Reiter Ansicht> und da bei versteckte Dateien und Ordner den Haken Vor "Alle Dateien und Ordner anzeigen setzen. Such dann nochmal nach der Datei. |
-> SilverDragon, was soll das bringen? -> clarasworld, Sorry aber für dich bleibt nur das: http://www.trojaner-board.de/12154-a...sicherung.html |
Zitat:
Ob wir dein System noch retten können ist die eine Seite, aber bitte erst mal garnichts fixen, sondern das hier abarbeiten: SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. Cureit Dr.Web
NEW CureIt!
|
Egal was ich mache, in den abgesicherten Modus komm ich einfach nicht rein,immer wenn ich wähle Abgesicherter Modus dann startet er neu. Bin nun wieder im normalen windows |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board