Показано с 1 по 11 из 11.

Bagle Virus Infection??

  1. #1
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30

    Bagle Virus Infection??

    Hello there,
    I got the suspicion that my computer has been infected with a Bagle-Virus.

    It started all with downloading an archive that obviously contained malware. I did not even open it, my virus scanner alerted. I chose to delete the file immediately. Soon after this my virus scanner alerted again, asking if I was sure to turn it off by script. I chose NO, but then the whole computer turned down and restarted itself without my control. After this my virus scanner (avast at that time) was gone and could not be started again. Windows Firewall, Update functions and Windows-Defender were turned off.
    I shut down the system and ran an offline scan. My virus-scanner removed then about 160 files that seemed infected. Most of those files seemed to contain a bagle.aen virus or bagle.b. I searched for more information on to that virus on my laptop but could not find the files on my computer that the virus should create. I installed another virus scanner (avira) and let it scan again, it did not find anything but the files renamed previously in offline scan and removed them.

    I started then the windows defender, update and win firewall services manually, so they are up now again and working. But with the avptool i still found two files containing viruses in a recyclebin-folder. I am worried that my comuter is not really clean.

    Could you please check the attached avptool_syscheck.zip file for me?

    Please excuse my bad english, please tell me if there was anything not quite understandable.

    Thank you in adance.
    Вложения Вложения

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Switch off:
    - Antivirus and and, if you have - Firewall.
    - System Restore

    - Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('srosa');
     QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa.sys','');
     QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\flec006.exe','');
     QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\winupgro.exe','');
     QuarantineFile('C:\Windows\system32\wintems.exe','');
     DeleteService('srosa');
     DeleteFile('C:\Windows\system32\wintems.exe');
     DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\winupgro.exe');
     DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\flec006.exe');
     DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('srosa');
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot:
    - Clean Temp-Maps, Cache of Browsers, Recycler. Use Windows service tool cleanmgr or CCleaner or ClearProg
    - Close all the programs and start only Internet Explorer!!!
    - Repeat 3 log files in accordance with the rules.
    - Switch Antivirus and, if you have - Firewall, on.
    - Go On-Line
    - Upload the quarantine over the link Upload quarantined files on the top of this page.
    - Attach 3 logs to your new post..

  3. #3
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    Hi Rene-gad,

    i have followed these steps and here are the logfiles too (see below).
    I will add the quarantined files from the AVZ-Tools after i've sent off this post, but I think those files detected are uncritical. (??)
    The avp-tool did not find the files requested - where would it put those files?
    BUT: your script searched for C:\Users\hQuadrat\Appdata\Roaming\drivers\srosa.sy s.
    I've checked the files searched for manually and found:

    C:/Users/hQuadrat/AppData/Roaming/drivers/srosa2.sys


    Maybe this hint helps anything? What shall I do with this file? Upload it too?

    I hope you can tell me a little more after having had a look through the material i now uploaded. Hopingly my system is clean and secure...

    EDIT: virus.zip uploaded via the link supplied.
    Вложения Вложения

  4. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от hquadrat Посмотреть сообщение
    I've checked the files searched for manually and found:

    C:/Users/hQuadrat/AppData/Roaming/drivers/srosa2.sys
    Ich kann diese Datei in den Logfiles nicht sehen. Wenn's geht - benenne sie um in z.B. srosa2.sys.old, verpacke in ein ZIP-Archiv (PW-geschützt, Passwort virus) und uploade es über den roten Link.
    Mache noch bitte den Scan mit Malwarebytes Antimalware, lösche aber nichts!!! und hänge den Log zum nächsten Beitrag an.

  5. #5
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    ok. ich habe die Datei umbenannt mit der endung xxx (hatte ich davor schon gemacht, falls die Datei wirklich net so gut ist fьr mein System). Virenscanner sagte bei mir auch nix zu der Datei...
    In demselben Ordner gibt es zudem noch einen Unterordner mit dem Namen "downld" und enthдlt 51 kleine (1-5kb groЯ) exe-Dateien, die nur mit Nummern benannt sind... also z.B. 95218.exe usw. Virenscanner (Avira) sagt dazu wiederum nix, aber ein wenig verdдchtig kommen mir diese Dateien schon vor... mal schauen ob ich die alle mal noch umbenannt bekomme. Muss jetzt erstmal wieder ins Bett... (scheiss Grippe, ich kann das Wort Virus bald nimmer leiden )

    So... der Scan mit Malwarebytes ist fertig
    Unter anderen Treffern ist auch unsere srosa2.sys drunter. Naja, schau Dir das Log am besten selbst an, wird Dir vielleicht mehr sagen als mir... Die srosa-Datei lade ich gleich noch hoch.

    LG und danke fьr Deine Hilfe...
    hQuadrat

    EDIT: virus1.zip, PW: virus
    Вложения Вложения
    Последний раз редактировалось hquadrat; 23.12.2008 в 00:07.

  6. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    K.A., was MBAM meint Bitte

    - Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa2.sys.xxx','');
    QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\srvlist.oct','');
    QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\list.oct','');
    QuarantineFile('C:\Program Files\Live_TV\INSTALL.LOG','');
    QuarantineFile('C:\Windows\System32\drivers\utexmtm2.sys','');
    DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\list.oct');
    DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\srvlist.oct');
    DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa2.sys.xxx');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Quarantäne bitte regelgerecht uploaden.
    Gute Besserung (Dir und Deinem PC) und Frohe Weihnachten

  7. #7
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    Hallo nochmals,

    ich habe das Skript mit dem Kaperski Virus Removal Tool ausgefьhrt. Die Quarantine-Dateien (.dta) sind nun aber in dessen Unterordner und nicht in dessen des AVZ-Tools... Verschieben (in den Quarantine-Ordner des AVZ-Tools) kann ich die Dateien nun nicht, da ich offensichtlich keinen Zugriff auf diese .dta - Dateien habe. So weiss ich also gerade nicht, wie ich diese in ein Zip-Archiv bekomme, um sie hier uploaden zu kцnnen. (Mit AVZ konnte ich das letzte Mal die Quarantine einsehen und eine solche Zip-Datei generieren.)
    Vielleicht hast Du mir hier noch einen kleinen Tipp dazu? (Ich habe in den FAQs nichts dazu gefunden... oder hдtte es ьbersehen.)

    Naja, wie dem auch sei. Ich fahre nun zu meiner Familie ьber Weihnachten/Silvester und habe wohl erst mitte Januar wieder Zugriff auf den betroffenen PC. Ich melde mich dann zurьck.

    Soweit erstmal vielen Dank fьr die nette Hilfe und ebenfalls frohe Weihnachten und einen guten Rutsch!
    LG, hQuadrat

  8. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от hquadrat Посмотреть сообщение
    Die Quarantine-Dateien (.dta) sind nun aber in dessen Unterordner und nicht in dessen des AVZ-Tools... Verschieben (in den Quarantine-Ordner des AVZ-Tools) kann ich die Dateien nun nicht
    Brauchst Du auch nicht: verpacke den Inhalt der Quarantine-Unterordner in ein PW-geschütztes ZIP-Archiv mit bloßen Händen. Bitte keine Umlauts im Namen verwenden .

  9. #9
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    Hallo
    bevor ich nun fahre, lade ich dies also noch kurz hoch, ich hoffe es hilft weiter zu einer Diagnose...

    Hochgeladen als virus2.zip, PW wie sonst auch: virus

    Ich lasse meinen Rechner hier mal laufen - ich kann ihn dann sonst auch per Remote herunterfahren. Zugriff ist also quasi gegeben, aber eben nur eingeschrдnkt (vermutlich wird ein Reboot nicht klappen!)

  10. #10
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    Hallo rene-gad,
    ich bin wieder daheim bei meinem Rechner... (Urlaub war schцn und die Grippe ist auch gut ausgeheilt ). Nun... wie sieht es aus mit meinem Rechner...? Sollte ich besser eine Neuinstallation machen oder kann ich die bestehende noch retten? Wie sieht es mit der Sicherheit aus - sollte ich an dem befallenen Rechner besser kein eBanking etc. machen?

    LG, hQuadrat

    EDIT: ьbrigens: gutes neues Jahr

  11. #11
    Junior Member Репутация
    Регистрация
    20.12.2008
    Сообщений
    7
    Вес репутации
    30
    Hallo nochmals...
    Da ich noch keine Antwort bekommen habe, erinnere ich vielleicht kurz an mein letztes Posting. Zudem gibt es Neuigkeiten dazu. Mein Website-Hoster hat mich angeschrieben, dass ьber mein (!!) FTP-Account ein Skript auf mein Webspace geladen wurde, welches Emails versandt hat. Wenige Minuten spдter wurde das Skript auch wieder gelцscht. Die Passwцrter habe ich natьrlich gleich geдndert...

    Ich denke, es ist insgesamt sicherer, wenn ich meinen Computer so bald wie mцglich neu installiere, als wenn ich weiterhin versuche, mцglicherweise geschaffene Sicherheitslьcken zu finden...

    LG, hQuadrat

Похожие темы

  1. Virus infection - Kaspersky Virus removal tool Log file
    От ksantosh3006 в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 05.05.2010, 12:20
  2. Virus Infection
    От bedek78 в разделе Malware Removal Service
    Ответов: 2
    Последнее сообщение: 30.04.2010, 14:39
  3. Bagle Virus?
    От blue67 в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 11.07.2009, 14:14
  4. W32.Bagle Infection
    От mbenfele в разделе Malware Removal Service
    Ответов: 0
    Последнее сообщение: 12.07.2008, 20:58
  5. Bagle virus attacking my computer
    От godsdsipl в разделе Malware Removal Service
    Ответов: 25
    Последнее сообщение: 16.02.2008, 09:32

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00833 seconds with 20 queries