Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

WORM/Bagle.Gen

habe das Problem, daß ich jedes Mal, wenn ich das Internet starte ein neues Verzeichnis "exefld" im windows-verzeichnis habe, welches dann zwei .exe-Dateien enthält die aus 6 Ziffern bestehen. AntiVir von Avira, erkennt dann in diesen Dateien: "WORM/Bagle.Gen".
Nach jedem Neustart des Rechners sind diese erneut vorhanden. Auch eine scannen aller Dateien mit Ani-Vir (mit neustem Update) konnte daran nichts ändern. Auch F-Prot hat nichts gefunden. Ich habe auch entsprechend den Anweisungen eines früheren Themas in diesem Forum im abgesicherten Modus, bei deaktivierter Systemwiederherstellung ein Anti-Bagle-Tool von F-Secure laufen lassen, leider ohne Erfolg.

Wäre sehr dankbar, wenn mir jemand bei dem Problem helfen könnte.

stefan



Antworten zu WORM/Bagle.Gen:

Hi.Erstelle ein HJThis Logfile und stelle dies herein.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sitz wahrscheinlich in der Systemwiederherstellung .....

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Unbedingt :
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS , (vorsicht, alle Punkte sind dann weg)
Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS / AN
Rechtsklick auf Arbeitsplatz
Eigenschaften
Systemwiederherstellung
Deaktivieren anhaken : <<< Vorsicht , damit sind ALLE Punkte weg !!
Fertig damit :
Haken wieder RAUS !!

-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

------------------------------------------------------------------------------------------------------------- 

sorry,

den Begriff: "HJThis" kenne ich nicht.

Wie erstelle ich dieses Log-File?

Aber vielen Dank schon Mal für den Hinweis.

Stefan

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Klick doch drauf , das ist eine Anleitung ...

Hallo stefan01,
der Link
http://www.sophos.de/security/analyses/trojlohave.html von kasper6fan wird uns nicht weiter helfen, da er zu alt ist.
Überprüfe deinen PC dringend mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan  vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

 

Hallo,

...nur weil der Link von 2004 ist,kann er nicht mehr in verseuchten Emails vorkommen und auch angklickt werden ?

Du dürftest mit dieser Aussage recht allein dastehen.....
Sir Reklov

Hallo,

...nur weil der Link von 2004 ist,kann er nicht mehr in verseuchten Emails vorkommen und auch angklickt werden ?

Du dürftest mit dieser Aussage recht allein dastehen.....
Sir Reklov

Hier die Begründung zu meinen Betrag:
Ich gehe davon aus, dass die Signaturen von AntiVir bei stefan01 nicht älter als 14 Tage sind, sprich wäre es eine Bagle Variante aus 2004, dann würde dies AntiVir korrekt erkennen und eine Infektion verhindern.
Wir sollten davon ausgehen, das es sich hier aber um eine neue Bagle Variante handelt. In den letzten Tagen wurde mehrere Dutzend im Umlauf gebracht, auch über Mail. 

habe exakt dasselbe problem wie oben genannt!Werde jetzt probieren alle genannten punkte abzuarbeiten und dannach alles logfiles hier posten.Hoffentlich kann man uns dann besser helfen.

Gruß Torsten

Gestoßen bin ich auf den Wurm durch eine Warnung von Antivir über den Wurm "WORM/Bagle.GEN". Es erscheinen wie oben schon angeführt zwei Dateien die aus sechs Ziffern bestehen ("xxxxxx.exe") in dem Verzeichnis C:\WINDOWS\exefld\.Diese Dateien werden nachdem ich sie gelöscht habe und den PC neu gestartet habe immer wieder neu erstellt. Wie vermutet muss der Wurm also in der Systemwiederherstellung sitzen.

Ich hae also die Systemwiederherstellung deaktiviert und den CCleaner angewandt. Dannach den F-Secure Online Scanner benutzt und eine HijackThis-Logfile erstellt.Hier die Ergebnisse:

F-Secure Online Scanner

Computer name: TORSTEN
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
Result: 2 malware found
Trojan-Downloader.Win32.Bagle.bp (virus)

    * C:\WINDOWS\SYSTEM32\HLDRRR.EXE (Renamed & Submitted)

W32/Banker.gen1 (virus)

    * C:\PROGRAMME\SFT LOADER 2007\LEECHER.EXE (Submitted)

Statistics
Scanned:

    * Files: 30176
    * System: 4626
    * Not scanned: 5

Actions:

    * Disinfected: 0
    * Renamed: 1
    * Deleted: 0
    * None: 1
    * Submitted: 2

Files not scanned:

    * C:\HIBERFIL.SYS
    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\DRIVERS\DTSCSI.SYS
    * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-02-24
    * F-Secure AVP: 7.0.171, 2007-02-24
    * F-Secure Orion: 1.2.37, 2007-02-25
    * F-Secure Blacklight: 1.0.53, 0000-00-00
    * F-Secure Draco: 1.0.35, 0260-02-44
    * F-Secure Pegasus: 1.19.0, 2007-01-22

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
    * Use Advanced heuristics






Logfile of HijackThis v1.99.1
Scan saved at 13:25:05, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe
C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
c:\WINDOWS\system32\wisptis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106658605437
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B20941B-47CB-4B6E-AA52-9E2395A564FF}: NameServer = 192.168.2.1,212.185.253.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B20941B-47CB-4B6E-AA52-9E2395A564FF}: NameServer = 192.168.2.1,212.185.253.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B20941B-47CB-4B6E-AA52-9E2395A564FF}: NameServer = 192.168.2.1,212.185.253.70
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
oder
http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html

[?] - O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
[?] - O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

>>> Hier schauen , Google sagt alles <<<

« Letzte Änderung: 25.02.07, 14:46:30 von HCK »

Also die Dateien sind gefixed mal sehn ob der Wurm sich noch bemerkbar macht! Werde meine Beobachtungen dann hier posten! Danke an alle schonmal im voraus!

Die folgenden Linke passen schon eher auf die hier beschriebene Malwareinfektion:
http://www.sophos.com/security/analyses/trojbagledlca.html
http://www.sophos.com/security/analyses/trojbagledlcm.html

Torsten2k7,
führe zur Kontrolle noch eine Überprüfung mit dem kostenlosen Online-Scanner von Panda ActiveScan aus.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier wieder.

habe mittlerweile folgendes Problem.

f-secure hat bei mir nichts gefunden, allerdings hatte AntiVir bei mir schon zuvor bei dieser Sitzung die beiden exe-Dateien entfernt.

danach führte ich die oben angegebenen Schritte mit HJThis durchgeführt und CCleaner Durchgeführt. Nach dem nächsten Start kam wieder die Virusmeldung von AntiVir, diesmal stellte ich auf Ignorieren und wollte mit F-Prot testen, was dieses Programm meldet. Hierbei kam es zu einem Blue Screen und einem sofortigen Absturz des Rechners.
Nach dem Neustart konnte ich werder schnurlos noch über Kabel eine Verbindung ins Internet herstellen. Die Neukonfiguration mit Hilfe von Windows konnte ich nicht vornehmen, da egal welche Eingabe bei SSID machte die Meldung kam, daß ich ungültige Zeichen verwendet hätte.

Melde mich über den Rechner meiner Freundin.

Ist das ein völlig anderes Problem, oder hat dies vielleicht mit dem Virus zu tun?


« Habe die Meldung : Auf Ihrem Computer wurde ein Virus gefunden. Win XP: zeigte mir beim installieren immer ein virus an »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Malware
Mit Malware bezeichnet man allgemein Schadprogramme, die dazu entwickelt worden schädliche Funktionen auf Computern auszuführen. Das Wort setzt sich zusammen au...

Internet
Internet ist ein zusammengesetztes Wort aus International Network. Dieses globale digitale Netzwerk verknüpft hauptsächlich Rechner in Forschungszentren, aber a...

Internet Time
Siehe Swatch Internet Time. ...