Bagle-AS

joschilein

joschilein

Multitalent
ID: 9301
L
5 Mai 2006
1.393
151
Nach jedem Systemstart (XP) laufen gewisse Dinge im windows\system32 Ordner ab:
  • mdelk.exe erscheint
  • Unterordner down mit zufällig nummerierten exe-Dateien, die sich in regelmäßigen Abständen vermehren.
Alles lässt sich relativ leicht löschen.. bis zum nächsten Systemstart
Zusätzlich zeigt eine Spyware Terminator Meldung, dass windows\wintems.exe geblockt wird, die allerdings nicht existiert.
Spyware Terminator findet bei Suchläufen auch entsprechendes, findet also u.a. wintems.exe, kann sie aber nicht löschen bzw. nicht anfassen.

Es treten zusätzlich andere Erscheinungen auf, die sicherlich damit zusammen hängen.
  • Systemwiederherstellung kann nicht durchgeführt werden (immer ohne Ergebnis)
  • Hijackthis lässt sich nicht starten (*)
  • Sophos Anti-Rootkit lässt sich nicht starten (*)
  • Spybot S&D lässt sich nicht starten (*)
  • Er scheint immer mal wieder auf einem laufenden Prozess zu reiten, plötzlich hat z.B. feedreader.exe 60% CPU-Last, wird dieser gestoppt, ist es wieder irgend ein anderer Prozess.
  • In der Registry ist bei den Startordner neben den üblichen Run, RunOnce usw. auch ein leerer "Run-" Ordner zu finden.
(*) Meldung "... ist keine zulässige Win32-Anwendung", auch nach neuem Download keine Veränderung

Ich fürchte fast, da werde ich um eine Systemneuinstallation nicht herum kommen :(
 
RUN- ist normal, da kommen die deaktivierten Sachen rein, wenn man bei msconfig welche abschaltet ;)
 
Das mit dem Umbenennen hatte ich schon versucht und funktioniert leider auch dann nicht, wenn die Datei in einem nicht auf den Namen hindeutenden Ordner gespeichert ist :(
 
Ich habe mir heute eine Knoppix-DVD gemacht und versucht damit etwas auszurichten, aber meine sehr spärlichen Linux-Kenntnisse lassen mich dann doch etwas im Stich.

Zwar konnte im Dateisystem auch auf meine Hauptplatte zugreifen und so u.a. feststellen, dass wintems.exe tatsächlich im system32 Ordner vorhanden ist, leider konnte ich aber weder diese noch irgendeine andere Datei löschen. Entweder kann sie über XP nicht gesehen werden, oder sie löscht sich beim Systemstart quasi selbst bzw. wird vom Spyware-Terminator gelöscht, hat dann aber schon die Arbeit für diese "Runde" getan.

Ich habe auch versucht die Unix-Version vom Antivir zum laufen zu bringen (wahlweise auch irgendeinen anderen Virenscanner). Installation bekomme ich aber nicht hin und vorinstalliert scheint nichts zu sein. Zwar ist irgendwo in der Paketverwaltung clamav aufgeführt, aber ich schaffe es nicht das auszuführen.

:(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben