Hallo zusammen,
ich hab folgendes problem....
ein freund von mir hatte mir einen bifrose trojaner geschickt aber ich wusste net das das ein trojaner war.....also hab ich die .exe angeklickt.
so jez meinte ich zu ihm wie krieg ich den trojaner wieder weg???
er meinte ich lösch das mit meinem bifrose tool^^ er sagte so und noch auf "uninstall" und fertig...
ich glaub ihm das aber nicht wirklich.
meine frage kann ich irgendwie nachgucken ob dder trojaner noch da ist und wenn ja wie werde ich ihn los???
also avira antivir findet bei mir nix auch wenn ich nach rootkits suche.
schon mal danke im vorraus!

Zitat:

Zitat von in5anE

Hallo zusammen,
ich hab folgendes problem....
ein freund von mir hatte mir einen bifrose trojaner geschickt aber ich wusste net das das ein trojaner war.....also hab ich die .exe angeklickt.
so jez meinte ich zu ihm wie krieg ich den trojaner wieder weg???

Hallo und im Trojaner Board!

Wenn der Bifrose-Trojaner richtig installiert ist, und so hört es sich an, gibt es keine Möglichkeit mehr der Bereinigung, sondern nur noch eine Neuinstallation!

Bifrose ist immer noch sehr beliebt bei den Crackern, und jeder hat mit ihm schon mal gearbeitet.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Navigiere nun zum Ordner %Systemdrive%\Programme\HiJackThis (%Systemdrive%/ = Laufwerksbuchstabe wo Windows liegt) suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab (Strg+A markieren -> Strg+C kopieren) und füge es in deinen Beitrag im Forum mit ein)

Gruß
Sunny

hehe sry versteh grad net was du meinst....ich find im windows nur ne datei names windows/prefetch/HIJACKTHIS.EXE ab90c7900....sowas in der art...
was soll ich machen hab jez die hijackthis.exe aufm desktop liegen soll ich die innen windows ordner kopieren oda was meinste mit navigieren. bitte um antwort
grüße in5anE

Vergiss es, starte einfach die hijackthis.exe auf dem Desktop!
(da hat sich was an dem Programm geändert!)

Und dann wie beschrieben...

Logfile of HijackThis v1.99.1
Scan saved at 21:24:05, on 17.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\Razer\razertra.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Freddy\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Aureon 5.1 Fun Mixer] C:\WINDOWS\System32\Aureon 5.1 Fun Mixer.exe /minimize
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Sinus 1054 data WLAN Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

alle drei oda soll ich mir eins aussuchen...?.

Zitat:

Zitat von in5anE

alle drei oda soll ich mir eins aussuchen...?.

aussuchen??? Natürlich alle drei..

Sunny

ui da is ja ordentlich was zutun.....aufjedenfall schonmal vielen dank!!
um die drei programme und deren bestimmung werd ich mich morgen kümmern!
poste dann jeweils die logs....
bis dann
grüse in5anE

soo
weis net genau obs her passt aber hab mich heute mal an bifrose ausprobiert...
nur irgendwie weis ich net ganz wie ich bei meinem T-online router die ports freibekomm....ich find mich zwar selber in der liste wieder wenn ich die troja.exe anklicke aber zb nen freund von mir klickt sie an da find ich ihn net in der liste?! woran könnte das liegen??

Zitat:

Zitat von in5anE

soo
weis net genau obs her passt aber hab mich heute mal an bifrose ausprobiert...
nur irgendwie weis ich net ganz wie ich bei meinem T-online router die ports freibekomm....ich find mich zwar selber in der liste wieder wenn ich die troja.exe anklicke aber zb nen freund von mir klickt sie an da find ich ihn net in der liste?! woran könnte das liegen??

Ich weiss zwar nicht was du da versuchst mit Ports freischalten und Freunde die eine Datei namens "Troja.exe" anklicken..also, was versuchst du da?

Hast du dir überhaupt das mal angesehen???

http://www.trojaner-board.de/269196-post6.html

Mann leute sieht ihr net was der typ versucht?Er bittet euch um hilfe einen TROJANER zu verbreiten und was sagt ihr? Ihr schickt ihm link mit HijackThis und so damit er den trojaner wegkriegt! Der will nicht wissen wie man des wegkriegt er will ihn verbreiten

Edit// sorry hab nicht richtig durchgelesen er hat doch einen bifrost trojaner drauf^^