#1 12. Februar 2006 Habe mal gegoogelt und nix über diesen Virus herrausgefunden dachte mal vielleicht gibt es hier ein paar Experten die helfen können. Ich brauche unbedingt ein Tool um diesen Bagle-Müll zu enfernen: IST NE LISTE was ich alles habe von diesem Bagle {bild-down: http://img345.imageshack.us/img345/9312/virus0ct.png} Wer Hilft bekommt nen 10er und ist mein VIP
#2 12. Februar 2006 es handelt sich bei dem bagle wurm, um eine modifizierte version eines email wurmes. der wurm macht folgendes 1. er schreibt eine datei in das verzeichnis c:/windows 2. er setzt ein paar registry einträge, die folgendes machen 2.1 autostart der datei bei jedem windowsstart 2.2 er deaktiviert die windows firewall 2.3 er deaktiviert die meisten gängigen antivirenprogramme 3. danach durchsucht der wurm deine platte nach email adressen und verschickt sich direkt weiter. 4. der wurm kopiert sich in verzeichnisse die die bezeichnung «Shar» enthalten. damit will er sich über p2p verbreiten 5. der wurm versucht von diversen intenetseiten dateien zu laden 6. der wurm blockiert den aufruf diverser anderer internetseiten 7. der wurm blockiert in der registry den aufruf von "my AV" und "icq net" nun, es ist nicht ganz einfach, den wurm zu lschen, da er sich sehr gerne überall hinkopiert. löschst du eine datei, wird sie sehr schnell wieder neu erstellt. wie du dem wurm beikommen kannst. nun. zunächst musst du jede datei identifizieren. was aber nict leicht werden würde, da escan anleitung wahrscheinlich nicht funktionieren würde. (gehe bis zu dem punkt neustart im abgesicherten modus wie in der anleitung dort vor, danach lese hier weiter (vor dem neustart) deshalb gehe ich jetzt einmal etwas anders vor. a. Vorbereitung lade dir die folgenden programme herunter 1. Windows Sysinternals: Documentation, downloads and additional resources (lade dir von dort den process explorer und autoruns herunter) 2. Killbox 3. Unlocker 4. Hijackthis Anleitung 5. datfindbat Anleitung b. identifikation 1. starte den pc im abgesicherten modus. 2. starte den procexx explorer beende jeden process, der nicht direkt zum system gehört. 3. starte hijackthis. erstelle ein logfile, nenne es hjt1.txt 4. starte autoruns, suche nach allen einträgen, die nicht von microsoft kommen. alles, dass du mit dem virus in verbindung setzen kannst, aber vorsicht, es gilt der grundsatz, ich kenne es nicht, es gehört zum system. deaktiviere auch deine installierte av software !!! und alles andere, das du normalerweise im autostart hast. (ICQ !!!) 5. versuche jetzt escan auszuführen. 5.1 es geht, (also du hast vorher die avsignaturen implementieren können...) 5.11 öffne die escan logfile mit nem ediitor und suche nach dem wort "infected". erstelle eine neue txt datei und kopiere jede ZEILE, die das wort enhält herüber. in jeder zeile findest du einen vereichnispfad. kopiere diese in das programm killbox. aktiviere den punkt delete on next reboot 5.12 suche nach folgenden einträgen in der registry (start ausführen regedit) HKCU\Software\Microsoft\Windows\CurrentVersion\Run "Name der infizierten datei" 5.13 neustart, 5.2 es geht nicht. suche in deinem system nach folgenden dateien ... schau dir eine von den infizierten dateien an, aus deinem screenshot. achte auf das datum, wann es erstellt wurde. merke es dir. auch die uhrzeit. mit dem batchdatei datfindbat 4 logfile erstellen. diese logs nach diesem datum durchsuchen und alle dateien in killbox einfügen. suche auf deinem gesamten restlichen pc nach filgenden dateien Code: 0.exe 1.exe 2.exe 3.exe 4.exe 5.scr 6.exe 7.exe 8.exe 9.exe 10.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe 21_price.zip February_price.zip guupd02.zip Jol03.zip new_price.zip price.zip pricelist.zip pricelst.zip siupd02.zip upd02.zip viupd02.zip wsd01.zip zupd02.zip sysformat.exe ddd*.jpg (sternchen als platzhalter ... ... ... im grunde alle dateien, die zu ungefähr der zeit erstellt wurden, bzw nach dem ersten systemneustart ... trage sie alle in killbox ein neustart. dann melde dich wieder und teste ob du hier [URL=http://virus-protect.org/onlinescan.html]http://virus-protect.org/onlinescan.html[/URL] einen onlinevirenscan nutzen kannst. (wenn escan funktioniert hat, nimm nicht kaspersky) ODER FORMATIERE EINFACH !!!