Bagle Virus Infection??

Hello there,
I got the suspicion that my computer has been infected with a Bagle-Virus.

It started all with downloading an archive that obviously contained malware. I did not even open it, my virus scanner alerted. I chose to delete the file immediately. Soon after this my virus scanner alerted again, asking if I was sure to turn it off by script. I chose NO, but then the whole computer turned down and restarted itself without my control. After this my virus scanner (avast at that time) was gone and could not be started again. Windows Firewall, Update functions and Windows-Defender were turned off.
I shut down the system and ran an offline scan. My virus-scanner removed then about 160 files that seemed infected. Most of those files seemed to contain a bagle.aen virus or bagle.b. I searched for more information on to that virus on my laptop but could not find the files on my computer that the virus should create. I installed another virus scanner (avira) and let it scan again, it did not find anything but the files renamed previously in offline scan and removed them.

I started then the windows defender, update and win firewall services manually, so they are up now again and working. But with the avptool i still found two files containing viruses in a recyclebin-folder. I am worried that my comuter is not really clean.

Could you please check the attached avptool_syscheck.zip file for me?

Please excuse my bad english, please tell me if there was anything not quite understandable.

Thank you in adance.

Switch off:
- Antivirus and and, if you have - Firewall.
- System Restore

- [URL="http://virusinfo.info/showthread.php?t=9207"]Execute following script[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('srosa');
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa.sys','');
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\flec006.exe','');
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\winupgro.exe','');
QuarantineFile('C:\Windows\system32\wintems.exe','');
DeleteService('srosa');
DeleteFile('C:\Windows\system32\wintems.exe');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\winupgro.exe');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\flec006.exe');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
After reboot:
- Clean Temp-Maps, Cache of Browsers, Recycler. Use Windows service tool [URL="http://support.microsoft.com/?scid=kb%3Ben-us%3B315246&x=17&y=6"]cleanmgr[/URL] or [URL="http://www.ccleaner.com/"]CCleaner[/URL] or [URL="http://www.clearprog.de/"]ClearProg[/URL]
- Close all the programs and start only Internet Explorer!!!
- Repeat 3 log files in accordance with the [URL="http://virusinfo.info/showthread.php?t=9184"]rules[/URL].
- Switch Antivirus and, if you have - Firewall, on.
- Go On-Line
- Upload the quarantine over the link [COLOR="Red"][B]Upload quarantined files[/B][/COLOR] on the top of this page.
- Attach 3 logs to your new post..

Hi Rene-gad,

i have followed these steps and here are the logfiles too (see below).
I will add the quarantined files from the AVZ-Tools after i've sent off this post, but I think those files detected are uncritical. (??)
The avp-tool did not find the files requested -[B] where would it put those files?[/B]
BUT: your script searched for C:\Users\hQuadrat\Appdata\Roaming\drivers\srosa.sys.
I've checked the files searched for manually and found:
[B][I]
C:/Users/hQuadrat/AppData/Roaming/drivers/srosa2.sys[/I][/B]

Maybe this hint helps anything? What shall I do with this file? Upload it too?

I hope you can tell me a little more after having had a look through the material i now uploaded. Hopingly my system is clean and secure...

EDIT: virus.zip uploaded via the link supplied.

[QUOTE=hquadrat;324998]
I've checked the files searched for manually and found:
[B][I]
C:/Users/hQuadrat/AppData/Roaming/drivers/srosa2.sys[/I][/B]
[/QUOTE]Ich kann diese Datei in den Logfiles nicht sehen. Wenn's geht - benenne sie um in z.B. [U][B]srosa2.sys.old[/B][/U], verpacke in ein ZIP-Archiv (PW-geschützt, Passwort [B]virus[/B]) und uploade es über den roten Link.
Mache noch bitte den Scan mit Malwarebytes Antimalware, [B]lösche aber nichts!!! [/B]und hänge den Log zum nächsten Beitrag an.

:xmas: ok. ich habe die Datei umbenannt mit der endung xxx (hatte ich davor schon gemacht, falls die Datei wirklich net so gut ist fьr mein System). Virenscanner sagte bei mir auch nix zu der Datei...
In demselben Ordner gibt es zudem noch einen Unterordner mit dem Namen "downld" und enthдlt 51 kleine (1-5kb groЯ) exe-Dateien, die nur mit Nummern benannt sind... also z.B. 95218.exe usw. Virenscanner (Avira) sagt dazu wiederum nix, aber ein wenig verdдchtig kommen mir diese Dateien schon vor... mal schauen ob ich die alle mal noch umbenannt bekomme. Muss jetzt erstmal wieder ins Bett... (scheiss Grippe, ich kann das Wort Virus bald nimmer leiden :huh: )

So... der Scan mit Malwarebytes ist fertig :sad:
Unter anderen Treffern ist auch unsere srosa2.sys drunter. Naja, schau Dir das Log am besten selbst an, wird Dir vielleicht mehr sagen als mir... Die srosa-Datei lade ich gleich noch hoch.

LG und danke fьr Deine Hilfe...
hQuadrat

EDIT: virus1.zip, PW: virus

K.A., was MBAM meint :D Bitte

- [URL="http://virusinfo.info/showthread.php?t=9207"]Execute following script[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa2.sys.xxx','');
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\srvlist.oct','');
QuarantineFile('C:\Users\hQuadrat\AppData\Roaming\m\list.oct','');
QuarantineFile('C:\Program Files\Live_TV\INSTALL.LOG','');
QuarantineFile('C:\Windows\System32\drivers\utexmtm2.sys','');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\list.oct');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\m\srvlist.oct');
DeleteFile('C:\Users\hQuadrat\AppData\Roaming\drivers\srosa2.sys.xxx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Quarantäne bitte regelgerecht uploaden.
Gute Besserung (Dir und Deinem PC) und Frohe Weihnachten ;)

Hallo nochmals,

ich habe das Skript mit dem Kaperski Virus Removal Tool ausgefьhrt. Die Quarantine-Dateien (.dta) sind nun aber in dessen Unterordner und nicht in dessen des AVZ-Tools... Verschieben (in den Quarantine-Ordner des AVZ-Tools) kann ich die Dateien nun nicht, da ich offensichtlich keinen Zugriff auf diese .dta - Dateien habe. So weiss ich also gerade nicht, wie ich diese in ein Zip-Archiv bekomme, um sie hier uploaden zu kцnnen. (Mit AVZ konnte ich das letzte Mal die Quarantine einsehen und eine solche Zip-Datei generieren.)
Vielleicht hast Du mir hier noch einen kleinen Tipp dazu? (Ich habe in den FAQs nichts dazu gefunden... oder hдtte es ьbersehen.)

Naja, wie dem auch sei. Ich fahre nun zu meiner Familie ьber Weihnachten/Silvester und habe wohl erst mitte Januar wieder Zugriff auf den betroffenen PC. Ich melde mich dann zurьck.

Soweit erstmal vielen Dank fьr die nette Hilfe und ebenfalls frohe Weihnachten und einen guten Rutsch!
LG, hQuadrat

[QUOTE=hquadrat;326044]
Die Quarantine-Dateien (.dta) sind nun aber in dessen Unterordner und nicht in dessen des AVZ-Tools... Verschieben (in den Quarantine-Ordner des AVZ-Tools) kann ich die Dateien nun nicht[/QUOTE]Brauchst Du auch nicht: verpacke den Inhalt der Quarantine-Unterordner in ein PW-geschütztes ZIP-Archiv mit bloßen Händen. Bitte keine Umlauts im Namen verwenden ;).

Hallo :)
bevor ich nun fahre, lade ich dies also noch kurz hoch, ich hoffe es hilft weiter zu einer Diagnose...

Hochgeladen als virus2.zip, PW wie sonst auch: virus

Ich lasse meinen Rechner hier mal laufen - ich kann ihn dann sonst auch per Remote herunterfahren. Zugriff ist also quasi gegeben, aber eben nur eingeschrдnkt (vermutlich wird ein Reboot nicht klappen!)

Hallo rene-gad,
ich bin wieder daheim bei meinem Rechner... (Urlaub war schцn und die Grippe ist auch gut ausgeheilt ;) ). Nun... wie sieht es aus mit meinem Rechner...? Sollte ich besser eine Neuinstallation machen oder kann ich die bestehende noch retten? Wie sieht es mit der Sicherheit aus - sollte ich an dem befallenen Rechner besser kein eBanking etc. machen?

LG, hQuadrat

EDIT: ьbrigens: gutes neues Jahr ;)

Hallo nochmals...
Da ich noch keine Antwort bekommen habe, erinnere ich vielleicht kurz an mein letztes Posting. Zudem gibt es Neuigkeiten dazu. Mein Website-Hoster hat mich angeschrieben, dass ьber mein (!!) FTP-Account ein Skript auf mein Webspace geladen wurde, welches Emails versandt hat. Wenige Minuten spдter wurde das Skript auch wieder gelцscht. Die Passwцrter habe ich natьrlich gleich geдndert...

Ich denke, es ist insgesamt sicherer, wenn ich meinen Computer so bald wie mцglich neu installiere, als wenn ich weiterhin versuche, mцglicherweise geschaffene Sicherheitslьcken zu finden... :(

LG, hQuadrat