Erfolgreiche Entfernung von win32/bagle.NAZ worm

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.05.2008, 00:28
...neu hier

Beiträge: 1
#1 Hallo,

mein Laptop wurde vor 4 Tagen von dem ziemlich hartnäckigen Win32/Bagle.NAZ Worm befallen. Nach stundenlanger Internetrecherche bin ich auf dieses Forum gestoßen und fand hier Hilfe. Ich will kurz schildern, wie ich den Wurm _ohne Neuinstallation_ losgeworden bin. (mein Motto ist: Windows-Neuinstallation ist unsportlich :-).

1. Symptome
Zunächst kam plötzlich ein Blue-Screen und der Computer bootete neu. Anschließend funktionierte das WLAN nicht mehr, erst später bemerkte ich, dass mein Virenscanner (NOD32-ESET) funktionsuntüchtig war. Der Computer wurde unglaublich langsam und die Systemauslastung lag bei 100%. Ein Prozess namens HLDRRR.EXE erschien im Task-Manager, ich killte ihn einfach mal, noch ohne genau zu wissen, was sich dahinter verbarg.

2. Entfernungsversuche
´Leider funktionierte die seit Jahren im Schrank herum gammelnde Recovery-CD nicht! Schweinerei! Habt ihr eure Recovery-CD schon getestet, ob die im Ernstfall funktioniert? Eine andere Installations-CD war bei meinem Laptop auch gar nicht dabei. Also musste ich den Wurm entfernen, irgendwie. Erschwert wurde das noch zusätzlich dadurch, dass der abgesicherte Modus (aufgrund des Wurmes?) nicht funktionierte! Beim Versuch, in den abgesicherten Modus zu gelangen, kam immer ein Bluescreen.
Im Netz fand ich nichts konkretes darüber, wie der BAGLE.NAZ zu entfernen war, lediglich Anleitungen zu anderen BAGLE-Versionen schien es zu geben, an die ich mich versuchsweise hielt. Ich versuchte, über einen USB-Stick von einem anderen Computer (mein WLAN, und damit das Internet funktionierte ja nicht mehr) ein Virenprogramm zu installieren, was misslang, da der Wurm dies verhinderte (antivir). Der Blacklight Rootkit Eliminator zeigte mir dann, dass die unsichtbaren Prozesse hldrrr.exe, srosa.sys und mdelk.exe, sowie einige zahlenhaltige exe-Dateien im drivers\downld\ -Verzeichnis vorhanden waren. Über die Wiederherstellungskonsole versuchte ich, diese alle zu löschen. Beim nächsten Booten schien zunächst alles in Ordnung, jedoch beim Übernächsten Booten war der Wurm wieder aktiv (NOD ging nicht bzw. Antivir ließ sich nicht installieren). Das ganze wiedeholte ich so 5-6 mal, zwischenzeitlich konnte ich verschiedene Virenscanner installieren, doch der Wurm war hartnäckig und kam immer wieder.
Ich versuchte dann über eine Boot CD (Ultimate Boot CD) und mehrere andere Virenscanner die schädlichen Dateien zu entdecken und zu löschen, aber auch das brachte nichts. Auch die Suche in der Registry nach hldrrr.exe, srosa.sys und mdelk.exe &co und das Löschen der betreffenden Einträge brachte nichts.

3. Erfolgreiche Entfernung
Hier im Forum fand ich dann schließlich den Hinweis auf das Programm combofix.exe. Per USB-Stick übertrug ich das Programm auf meinen Laptop. Bereits beim Betrachten des ICONS fiel mir ein kurzes flimmern des Programmicons auf, was ich schon zuvor bei den Icons des NOD32 sowie des ANTIVIR aufgefallen war. Klickt man dann die Programme an und versucht sie zu starten, kam die Meldung „Keine zulässige Win32 Anwendung“ !!!. Also hatte der Wurm auch die combofix.exe erkannt!!!! Im Forum stand aber auch, dass das Umbenennen der Datei Abhilfe schaffen könnte, und das funktionierte gottseidank! Also vor dem Übertragen auf den USB-Stick die Datei Combofix.exe noch umbenannt in „irgendwasxy.com“ und diese dann auf den infizierten Laptop übertragen und gestartet. Dann 30 Minuten das Programm machen lassen und: voila, das war s. Wurm weg, basta. Den WLAN Treiber musste ich neu installieren, da der Wurm den wohl zerschossen hat, warum auch immer, war wohl eher nicht seine Absicht, denn ohne WLAN kann er sich ja schlecht verbreiten.
Übrigens: Der abgesicherte Modus funktioniert jetzt (nach Wurmentfernung) wieder.

Also, nochmal die Kurzanleitung zum Entfernen des win32/bagle.NAZ worm:
1. Von einem Anderen Computer aus dem Netz combofix.exe besorgen
2. Combofix.exe in irgendwas.exe oder irgendwie.com umbenennen
3. Programm auf dem infizierten Computer starten
4. 30 Minuten warten
5. Fertig
(mich hat diese Erkenntnis 4 Tage probieren, installieren, booten und verzweifeln gekostet)
Viel Spass mit dem Wurm
Euer
Bagle
Seitenanfang Seitenende
22.05.2008, 01:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo ;)
ich finde deinen Bericht super ;)
allerdings sollte man nicht nur auf Combofix vertrauen, sondern noch andere Massnahmen ergreifen, wie die Systemwiederherstellung deaktivieren .... und mit Virenscanner "nachbessern"

z.b
Kaspersky - Virus Removal Tool - AVPTool
http://virus-protect.org/artikel/tools/kaspersky.html

z.b
pandasecurity - bagel-remover
http://www.pandasecurity.com/homeusers/downloads/repair-utilities/

z.b. Onlinescanner wie f-secure
http://virus-protect.org/onlinescan.html

-------

kleine "Sammlung" zum bagle...
http://virus-protect.org/artikel/spyware/beagle.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.05.2008, 16:01
Member

Beiträge: 325
#3 @ Bagle
...na dann herzlichen Glückwunsch (für's erste)!
Ich habe den Virus wahrscheinlich auch gehabt (zumindest die daraus resultierenden Vierendateien -->hldrrr.exe, srosa.sys und mdelk.exe).
Ich hatte mein System danach platt gemacht und trotzdem jetzt immer noch Ärger.Das brauch bei Dir ja nicht genauso sein, aber es wäre nett, wenn Du Dich in ein-zwei Wochen hier nochmal melden könntest.Um von evtl. "Nachwehen" auf Deinem PC zu berichten,-oder vielleicht (was ich für Dich hoffe) von einem "immer noch" störungsfreien PC.-Nebenbei kannst Du ja mal versuchen die Option "Versteckte Dateien und Ordner" anzeigen/ausblenden, versuchen zu aktivieren oder deaktivieren (wenn sie bei Dir wieder auffindbar ist).Mich würde Dein "Langzeitbericht" schon mal interessieren, um ganz einfach zu sehen, ob es bei mir noch "Nachwehen" sind, oder ob sich "just in time" bei mir ein (noch unbekannter) "Hardwareteufel" eingeschlichen hat.
Ansonsten finde ich Dein Bericht auch Super, wie Du tagelange "Friemelei" in eine Kurzanleitung gepackt hast!
...übrigens hatte ich vor ein paar Wochen hier auch einen Bericht über hldrrr.exe &Co gepostet (nicht ganz so mit Erfolgsmeldungen bespickt) -->kannst ihn ja auch mal durchlesen !
MfG Provisitor
Dieser Beitrag wurde am 22.05.2008 um 16:05 Uhr von Provisitor editiert.
Seitenanfang Seitenende