Virus Bagle.JV

Dieses Thema im Forum "Windows" wurde erstellt von 4realUNIT, 12. Februar 2006 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 12. Februar 2006
    Habe mal gegoogelt und nix über diesen Virus herrausgefunden dachte mal vielleicht gibt es hier ein paar Experten die helfen können.
    Ich brauche unbedingt ein Tool um diesen Bagle-Müll zu enfernen:

    IST NE LISTE was ich alles habe von diesem Bagle
    {bild-down: http://img345.imageshack.us/img345/9312/virus0ct.png}


    Wer Hilft bekommt nen 10er und ist mein VIP
     
  3. 12. Februar 2006
    es handelt sich bei dem bagle wurm, um eine modifizierte version eines email wurmes.

    der wurm macht folgendes

    1. er schreibt eine datei in das verzeichnis c:/windows

    2. er setzt ein paar registry einträge, die folgendes machen
    2.1 autostart der datei bei jedem windowsstart
    2.2 er deaktiviert die windows firewall
    2.3 er deaktiviert die meisten gängigen antivirenprogramme

    3. danach durchsucht der wurm deine platte nach email adressen und verschickt sich direkt weiter.

    4. der wurm kopiert sich in verzeichnisse die die bezeichnung «Shar» enthalten. damit will er sich über p2p verbreiten

    5. der wurm versucht von diversen intenetseiten dateien zu laden

    6. der wurm blockiert den aufruf diverser anderer internetseiten

    7. der wurm blockiert in der registry den aufruf von "my AV" und "icq net"

    nun, es ist nicht ganz einfach, den wurm zu lschen, da er sich sehr gerne überall hinkopiert.
    löschst du eine datei, wird sie sehr schnell wieder neu erstellt.

    wie du dem wurm beikommen kannst.

    nun.
    zunächst musst du jede datei identifizieren.
    was aber nict leicht werden würde, da escan anleitung wahrscheinlich nicht funktionieren würde. (gehe bis zu dem punkt neustart im abgesicherten modus wie in der anleitung dort vor, danach lese hier weiter (vor dem neustart)
    deshalb gehe ich jetzt einmal etwas anders vor.

    a. Vorbereitung lade dir die folgenden programme herunter
    1. Windows Sysinternals: Documentation, downloads and additional resources
    (lade dir von dort den process explorer und autoruns herunter)
    2. Killbox
    3. Unlocker
    4. Hijackthis Anleitung
    5. datfindbat Anleitung

    b. identifikation

    1. starte den pc im abgesicherten modus.

    2. starte den procexx explorer
    beende jeden process, der nicht direkt zum system gehört.

    3. starte hijackthis. erstelle ein logfile, nenne es hjt1.txt

    4. starte autoruns, suche nach allen einträgen, die nicht von microsoft kommen.
    alles, dass du mit dem virus in verbindung setzen kannst, aber vorsicht, es gilt der grundsatz, ich kenne es nicht, es gehört zum system. deaktiviere auch deine installierte av software !!! und alles andere, das du normalerweise im autostart hast. (ICQ !!!)

    5. versuche jetzt escan auszuführen.

    5.1 es geht, (also du hast vorher die avsignaturen implementieren können...)

    5.11 öffne die escan logfile mit nem ediitor und suche nach dem wort "infected". erstelle eine neue txt datei und kopiere jede ZEILE, die das wort enhält herüber.

    in jeder zeile findest du einen vereichnispfad.
    kopiere diese in das programm killbox.

    aktiviere den punkt delete on next reboot

    5.12 suche nach folgenden einträgen in der registry (start ausführen regedit)
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run "Name der infizierten datei"

    5.13 neustart,

    5.2 es geht nicht.

    suche in deinem system nach folgenden dateien ...

    schau dir eine von den infizierten dateien an, aus deinem screenshot.
    achte auf das datum, wann es erstellt wurde. merke es dir. auch die uhrzeit.

    mit dem batchdatei datfindbat 4 logfile erstellen.
    diese logs nach diesem datum durchsuchen und alle dateien in killbox einfügen.

    suche auf deinem gesamten restlichen pc nach filgenden dateien

    Code:
    0.exe
1.exe 
2.exe 
3.exe 
4.exe 
5.scr 
6.exe 
7.exe 
8.exe 
9.exe 
10.exe 
Ahead Nero 7.exe 
Windown Longhorn Beta Leak.exe 
Opera 8 New!.exe 
XXX hardcore images.exe 
WinAmp 6 New!.exe 
WinAmp 5 Pro Keygen Crack Update.exe 
Adobe Photoshop 9 full.exe 
Matrix 3 Revolution English Subtitles.exe 
ACDSee 9.exe
21_price.zip
February_price.zip
guupd02.zip
Jol03.zip
new_price.zip
price.zip
pricelist.zip
pricelst.zip
siupd02.zip
upd02.zip
viupd02.zip
wsd01.zip
zupd02.zip
sysformat.exe
ddd*.jpg (sternchen als platzhalter
... ... ...
im grunde alle dateien, die zu ungefähr der zeit erstellt wurden, bzw nach dem ersten systemneustart ...

trage sie alle in killbox ein 

neustart.

dann melde dich wieder und teste ob du hier [URL=http://virus-protect.org/onlinescan.html]http://virus-protect.org/onlinescan.html[/URL] einen onlinevirenscan nutzen kannst. (wenn escan funktioniert hat, nimm nicht kaspersky) 

ODER FORMATIERE EINFACH !!!
     
  4. 12. Februar 2006
    Oder wie wäre es damit:

    Klick mich

    Vielleicht konnte ich dir ja helfen :]
     
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.