Wie entfernen von Bagle Wurm auf Windows Server 2003

#1 Hallo zusammen,

ich habe mir vermutlich einen Bagle Wurm eingefangen.
Mein System: Windows 2003 Server SP1
Bemerkbar machte sich der Virus durch plötzliche Abstürze mittels Bluescreen. In dieser Fehlermeldung wird eine Dtei adf.sys erwähnt.

Da ich schon einen Verdacht hegte, habe ich den Server mit eine Windows PE Boot CD gestartet und einen Virenscan durchgeführt. Dieser meldete mir dann einen Virusfund in der m_hook.sys.

Ich habe das Forum nach ähnlichen Virenfunden durchsucht und versucht die Datei und die Einträge in der Registry zu löschen. Dies wird jedoch durch die Abstürze des Rechners erschwert. Beim nächsten Start sind die Einträge dann auch wieder in der Registry zu finden. Das starten im abgesicherten Modus ist nicht möglich.

Folgendendes habe ich bis jetzt durchgeführt:
Entfernen der Datei m_hook.sys
CleanUp nach Anleitung ausgeführt
Combofix konnte nicht ausgeführt werden wegen W2003
Hijackthis ausgeführt
datfind.bat ausgeführt

Hoffe auf eure Unterstützung, vielen Dank schon mal.

Hier meine Log Files:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:04, on 10.06.2007
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Acronis\BackupServer\backupserver.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Twonkyvision\TwonkyMusic.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe
C:\Programme\Twonkyvision\TwonkyMusicServer.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Neuer Ordner\FxBeagle.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://server-1.peters-bande.local:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://server-1.peters-bande.local:4343/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://server-1.peters-bande.local:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://server-1.peters-bande.local:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1040320581984
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - https://server-1.peters-bande.local:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - https://server-1.peters-bande.local:4343/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = peters-bande.local
O17 - HKLM\Software\..\Telephony: DomainName = peters-bande.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DC6C4D1-D982-4E6A-BAC4-88B705D63D44}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC187921-61B9-4E63-ACF9-736E1FEEC2FD}: NameServer = 172.16.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = peters-bande.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DC6C4D1-D982-4E6A-BAC4-88B705D63D44}: NameServer = 192.168.0.1
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
O23 - Service: Acronis Backup Server Service (AcronisBackupServerService) - Acronis - C:\Programme\Acronis\BackupServer\backupserver.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - C:\Programme\DynDNS Updater\DynDNS.exe
O23 - Service: Acronis Group Server (GroupServer) - Acronis - C:\Programme\Acronis\GroupServer\GroupServer.exe
O23 - Service: Intel Alert Handler - LANDesk Software Ltd. - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - LANDesk Software Ltd. - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - LANDesk Software Ltd. - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: MSSQLSERVER - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Unknown owner - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe (file missing)
O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE" -i MSSQLSERVER (file missing)
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Unknown owner - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe (file missing)
O23 - Service: TwonkyVision MusicServer (TwonkyVision_Media_Server) - TwonkyVision GmbH - C:\Programme\Twonkyvision\TwonkyMusic.exe
O23 - Service: Update Services (WsusService) - Unknown owner - c:\programme\update services\service\bin\wsusservice.exe (file missing)

Und hier das Log vom datfind:

Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\WINDOWS\system32

10.06.2007 12:43 603.900 perfh009.dat
10.06.2007 12:43 130.546 perfc009.dat
10.06.2007 12:43 652.580 perfh007.dat
10.06.2007 12:43 157.554 perfc007.dat
10.06.2007 12:43 1.569.258 PerfStringBackup.INI
10.06.2007 11:00 6.775 ban_list.txt
09.06.2007 18:55 2.206 wpa.dbl
07.06.2007 11:33 4.254 jupdate-1.6.0_01-b06.log
01.05.2007 10:52 93.480 FNTCACHE.DAT
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
07.03.2007 22:36 12.619.736 MRT.exe
02.03.2007 08:13 591.360 user32.dll
02.03.2007 08:13 283.648 gdi32.dll
02.03.2007 08:13 41.472 mf3216.dll
02.03.2007 08:06 1.852.416 win32k.sys
19.02.2007 21:11 9.857 jupdate-1.5.0_11-b03.log
16.02.2007 14:58 13 distdb.xml
16.02.2007 14:50 122.142 TZLog.log
10.02.2007 11:11 68 dcpunat.001
10.02.2007 11:11 364 dcpinf.000
31.01.2007 11:14 60.928 tzchange.exe
25.01.2007 19:36 699.904 urlmon.dll
23.01.2007 17:05 8.423.936 shell32.dll
23.01.2007 12:55 4.608 w03a2409.dll
23.01.2007 12:55 1.515.008 shdocvw.dll
06.01.2007 14:09 668.160 wininet.dll
06.01.2007 14:09 322.048 shlwapi.dll
06.01.2007 14:09 42.496 pngfilt.dll
06.01.2007 14:09 537.088 mstime.dll
06.01.2007 14:09 3.176.960 mshtml.dll
06.01.2007 14:09 253.952 iepeers.dll
06.01.2007 14:09 16.384 jsproxy.dll
06.01.2007 14:09 212.480 dxtrans.dll
06.01.2007 14:09 363.008 dxtmsft.dll
06.01.2007 14:09 1.036.800 browseui.dll
06.01.2007 14:09 1.060.352 danim.dll
04.01.2007 21:34 135.680 shsvcs.dll


Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\WINDOWS

10.06.2007 12:39 0 0.log
10.06.2007 12:39 65.536 NETLOGON.CHG
10.06.2007 12:38 2.048 bootstat.dat
10.06.2007 12:38 1.207.578.624 MEMORY.DMP
10.06.2007 12:28 18.336 PFRO.log
10.06.2007 11:33 1.843.241 WindowsUpdate.log
09.06.2007 20:19 414.904 setupapi.log
08.06.2007 09:53 893.597 OFCMAS.LOG
07.06.2007 23:00 28 ODBC.INI
21.05.2007 06:23 511 win.ini
07.05.2007 20:30 4.623 AMS2INST.LOG
06.05.2007 13:02 192.187 comsetup.log
06.05.2007 13:02 153.635 ntdtcsetup.log
06.05.2007 13:02 10.474 imsins.log
06.05.2007 13:02 118.834 certocm.log
06.05.2007 13:02 241.856 tsoc.log
06.05.2007 13:02 1.071.241 iis6.log
06.05.2007 13:02 364.117 ocgen.log
06.05.2007 13:02 22.656 pop3oc.log
06.05.2007 13:02 48.597 LicenOc.log
06.05.2007 13:02 79.288 aspnetocm.log
06.05.2007 13:02 102.938 netfxocm.log
06.05.2007 13:02 227.636 msmqinst.log
06.05.2007 13:02 539.844 FaxSetup.log
06.05.2007 13:02 309.554 uddisetup.log
06.05.2007 13:02 4.440 DtcInstall.log
06.05.2007 12:52 10.474 imsins.BAK
06.05.2007 12:36 33.192 VxSDM.log
06.05.2007 12:36 291.798 bkupinst.log
07.04.2007 09:27 2.733 wmsetup.log
06.04.2007 11:27 10.253 KB925902.log
06.04.2007 11:27 18.078 updspapi.log
21.03.2007 17:38 930 dahotfix.log
21.03.2007 17:38 19.464 dasetup.log
21.03.2007 17:20 30.549 KB917537.log

Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.06.2007 12:57 110.992 datfind.txt
10.06.2007 12:39 262.144 fb_764.lck
10.06.2007 12:29 262.144 fb_1952.lck
3 Datei(en), 635.280 Bytes
0 Verzeichnis(se), 45.594.693.632 Bytes frei

Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\WINDOWS\Temp

10.06.2007 12:39 0 JET32FD.tmp
10.06.2007 12:39 0 ib11
10.06.2007 12:39 0 ib10
10.06.2007 12:39 0 ib8
10.06.2007 12:39 0 ib7
10.06.2007 12:39 0 ib9
10.06.2007 12:30 0 JET38E8.tmp
10.06.2007 12:29 0 ib6
10.06.2007 12:29 0 ib5
10.06.2007 12:29 0 ib4
10.06.2007 12:29 0 ib3
10.06.2007 12:29 0 ib2
10.06.2007 12:09 0 ib31
10.06.2007 12:09 0 ib30
10.06.2007 12:09 0 ib28
10.06.2007 12:09 0 ib29
10.06.2007 12:09 0 ib27
17 Datei(en), 0 Bytes
0 Verzeichnis(se), 45.594.681.344 Bytes frei

Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.04.2007 02:13 725.075 AtxConsole.ocx
27.04.2007 00:26 102.475 AtxEnc.dll
27.04.2007 00:23 53.334 WinNTChk.dll
27.04.2007 00:23 147.552 OfficeScanSetupINI.dll
27.04.2007 00:23 106.586 OfficeScanSetup.dll
27.04.2007 00:23 159.844 OfficeScanRemoveCtrl.dll
26.05.2005 05:19 291 wuweb.inf
05.03.2004 15:19 482 OfficeScanSetup.inf
02.05.2003 12:07 254 OfficeScanSetupINI.inf
28.03.2003 17:59 260 OfficeScanRemoveCtrl.inf
19.12.2002 00:11 65 desktop.ini
11 Datei(en), 1.296.218 Bytes
0 Verzeichnis(se), 45.594.677.248 Bytes frei

Datentr„ger in Laufwerk C: ist W2003
Volumeseriennummer: 0C8D-04B1

Verzeichnis von C:\

10.06.2007 12:58 0 sys.txt
10.06.2007 12:58 844 down.txt
10.06.2007 12:58 940 tmp.txt
10.06.2007 12:58 8.018 system.txt
10.06.2007 12:57 385 systemtemp.txt
10.06.2007 12:57 101.530 system32.txt
10.06.2007 12:39 43.824 ssapi.log
10.06.2007 12:38 1.811.939.328 pagefile.sys
10.06.2007 12:31 179 Verkn�pfung mit 3«-Diskette (A).lnk
10.06.2007 12:31 393 Verkn�pfung mit HijackThis.exe.lnk
10.06.2007 12:30 30 loc.cf
10.06.2007 12:30 170 combo.vbs
09.06.2007 20:19 21 tmuninst.ini

#2 Ich sehe zwar von dem Bagle nichts mehr, aber dennoch wuerde ich das System (bei einem Server!) neu aufsetzen, oder ein entsprechend sauberes Backup (mit AcronisTI) zurueckspielen.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hmmm, das hoffte ich vermeiden zu können.
Die Einträge m_hook.sys sind aber in der Registry nach dem Neustart.

Beim Versuch das Bagles-Removetool von Symantec auszuführen erhalte ich sofort wieder einen Bluescreen.

Ich hoffe es hat noch jemand eine Idee, sonst schaue ich schonmal nach dem letzten Backup :-(

Gruss,
Pepe

Nachtrag von 21:44

Ha !!

Noch eine Datei gefunden!! Und zwar hat sich die hldrr.exe noch irgendwo versteckt. Also nochmal alles abgesucht und verdächtiges in der registry und auf der Platte gelöscht.

Jetzt kann ich schonmal das Symantectool ausführen ohne das der Server abstürzt. Bin aber trotzdem froh über jeden Tipp mein System wieder clean zu bekommen.

Gruss,
pepe