PDA

View Full Version : email-worm.win32 / Bagle.of - prevents antivirus programms


sabine korth
2008-02-12, 14:57
It uninstalled Antivir and Firewall . Unable to reinstall.

Ran House call and Kaspersky online, all claiming to have removed files.

Can't install Spybot, kaspersky, icesword, hijackthis – I get the window:
“ this is not a windows.32 program…”

- can’t run the safe mode

The only antivirus I managed to install is MALWAREBOT.

It detected:

email-worm.win32 / Bagle.of (k.o)
wintems.exe and mdelk.exe,
WINDOWS\system32\drivers\down\171323.exe

Registry:
hkey_local_machine\system\currentcontrolset\services\srosa\enum

It put it in quarantine, put the they are bach immediately.

Sometimes the computer crashes and I get the blue page: windows is shutting down because of a programm error…

Is the somebody out there who can avoid me reinstalling windows?
I have a german windows, live in Italy, work with foto and video, have a wireless modem, which was very hard to install and so I am very worried!

Thanks!!
sabine korth
2008-02-12, 15:01
11. Februar 2008 22:30:28
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 11/02/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 556355


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 107466
Viren gefunden 7
Infizierte Objekte gefunden 52
Verdächtige Objekte gefunden 0
Untersuchungszeit 08:43:22

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\.housecall6.6\Quarantine\b64_2[1].jpg.bac_a03888 Infizierte Objekte: Trojan.Win32.Pakes.bwy übersprungen

C:\Dokumente und Einstellungen\Besitzer\.housecall6.6\Quarantine\b64_31[1].jpg.bac_a03888 Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\Dokumente und Einstellungen\Besitzer\.housecall6.6\Quarantine\b64_31[2].jpg.bac_a03888 Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\Dokumente und Einstellungen\Besitzer\.housecall6.6\Quarantine\GoogleToolbarNotifier.exe.bac_a03888 Infizierte Objekte: Trojan-Downloader.Win32.Bagle.jm übersprungen

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\MSDAIPP\Offline\HashFile.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Perflib_Perfdata_ba4.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Perflib_Perfdata_bb8.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Perflib_Perfdata_ee8.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFED5E.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DFED69.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BHIWOAJ3\b64_1[1].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BHIWOAJ3\b64_2[2].jpg Infizierte Objekte: Trojan.Win32.Pakes.bwy übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZP3MNBP\b64_1[1].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZP3MNBP\b64_1[2].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P530XLQC\b64_31[1].jpg Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R0J14XJK\b64_1[1].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R0J14XJK\b64_1[2].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VPE4PPBA\b64_1[1].jpg Infizierte Objekte: Trojan-PSW.Win32.Agent.xd übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Adobe\Adobe PCD\cache\cache.db Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Adobe\Adobe PCD\pcd.db Das Objekt ist gesperrt übersprungen

C:\Programme\Gemeinsame Dateien\Adobe\caps\caps.db Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP346\A0089150.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP346\A0089154.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.jm übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP346\A0089159.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.jj übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089246.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089295.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089296.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089297.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089341.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089389.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP347\A0089390.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP348\A0089404.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP348\A0090404.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP348\A0090415.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP348\A0090426.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP349\A0090455.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP350\A0090489.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP350\A0090490.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP350\A0090491.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090643.exe Infizierte Objekte: Trojan-Dropper.Win32.KGen.di übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090659.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.jm übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090660.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090661.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090662.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090669.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090670.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090671.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090725.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090812.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090813.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090814.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090930.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090959.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0090960.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0091006.sys Infizierte Objekte: Trojan-Downloader.Win32.Bagle.iw übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0091007.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP352\A0091008.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP353\A0091352.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.jm übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP353\A0091360.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP353\A0091361.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\System Volume Information\_restore{0BD8FCEC-EAE8-4133-A609-D3BBD93F6F2F}\RP355\change.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\mdelk.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Sabine
sabine korth
2008-02-12, 17:22
Getting better.
Dr. Web was sucessfull and cleaned 4 infections.
Now I was able to install Kaspersky!

Hopefull it will last!

Only I don't know how to make firewall work again, as in the beginning there is always a warning message, that it is not aktive.
somebody can tell me?

thanks