Beim starten von World of Warcraft BC kommt die Warnung, das ich mir den
Backdoor.Win32.Bifrose.aej eingefangen habe und ihn beseiteigen soll.

Antivir findet nichts.
Spyhunter findet nichts.
House Call findet nichts.
fixwareout findet auch nichts.
über http://www.hijackthis.de/de#anl konnte ich ein eintrag finden der von einem Trojaner gemacht wurde und sich als Winamp getarnt hat.

Aber der Backdoor.Win32.Bifrose.aej ist immer noch irgendwo ich weis nur leider nicht wo, kann mir jemand helfen?

Ps. hab auch schon im wow forum nachgesehen.

Logfile of HijackThis v1.99.1
Scan saved at 23:08:03, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\xampp\filezillaftp\filezillaserver.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Sven Reimer\Desktop\HijackThis.exe
C:\Programme\Winamp\winamp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe

Der scann ist direkt nach dem Neustart vom PC.

Also, Dein Log sieht sauber aus, soll aber nichts heissen!
Spyhunter zum scannen benutzen? Halt von dem Prog nicht viel, saug Dir mal lieber Spybot herunter und schmeiss den Spyhunter runter.
Die Seite von Spybot-S&D!
Bei einem Backdoor-Befall sollte man prinzipiell neu aufsetzen, aber leider hast Du den genauen Pfad des Fundes nicht angegegeben.
Wenn Winamp angemekkert wurde, solltest Du diese Datei bei Virustotal überprüfen lassen: C:\Programme\Winamp\winamp.exe
VIRUSTOTAL - Free Online Virus and Malware Scan

Weisst Du den genauen Pfad überhaupt nicht mehr, mache einen e-scan nach folgender Anweisung:
http://www.trojaner-board.de/38066-e...ightymarc.html

Hi,

Bifrose ist ein Problem für die meisten Virenscanner, jedes neue Exemplar wird sorgfältig so gebaut, dass es kaum erkannt wird. Der typische Starteintrag ist im HijackThis nicht zu sehen, wie Hijackthis überhaupt verdammt viel auslässt. Nach bisheriger Erfahrung sollte ein Blick auf dieses Log ihn aber zeigen:

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Log findest Du danach auf dem Desktop. Dessen Inhalt posten.

Gruß, Karl

Hi Leute,
ich spiele world of warcraft und auf einmal beim start des spiels kam eine meldung:
Achtung:Backdoor.Win32.Bifrose.aej wurde auf ihrem pc entdeckt.
Ausführen des spiels kann den PC gefährden...... u.s.w.

Jetzt bin ich über Google auf dieses Forum gekommen...

Ich habe den scan von SilentRunners laufen lassen
Hier die Log

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"ISUSPM" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler" ["Macrovision Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{3DFA479F-113B-ADB0-B6D1-5397B4E2FAFF}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\usvr\usvr32.exe s" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll" ["Google Inc."]
{f015f320-ab08-11db-abbd-0800200c9a66}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WeeklyExecuter Class"
\InProcServer32\(Default) = "C:\WINDOWS\inetloader.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Startup items in "Robin" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Robin\Startmenü\Programme\Autostart
"RollerCoaster Tycoon 3_ Wild Registration" -> shortcut to: "C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Temp\{C3B1A2C6-0D7E-4EF7-8BD2-77BE9BE9D41C}\{45653847-497F-47BB-A878-46FBDE34A3E0}\ATR1.exe /remind /language=DEU /PRNM="RollerCoaster Tycoon 3: Wild" /PRMP="RCTW" /SKUN="PCXX" /GTYP="SIMU"" [file not found]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 263 seconds.
---------- (total run time: 304 seconds)







Würde mich über Hilfe sehr freuen

Hallo und im Trojaner Board!

Also nach Durchsicht deines Logfiles von Silentrunners kann ich dir eigentlich nur mitteilen das ich Bifrose nicht gefunden habe.

Weder die MSMSSGS.EXE, noch die Registry-Einträge sowie die Dropper-Hauptkomponente..

Es kann sein das dein Antiviren-Programm durch die heuristische Erkennung durch WoW gestört ist, also eine false-positiv Meldung. Denn WoW baut ja eine Online-Verbindung auf, vielleicht sind da einige Merkmale zu erkennen welche auch der Bifrose-Trojaner mitsich bringt.

Mach nochmal folgendes:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß
Sunny

EDIT:

Ja ja irrlicht, du solltest doch am Schreibkurs teilnehmen...(oder Doppelherz trinken... *duckundweg)

Hallo,

Zitat:

und auf einmal beim start des spiels kam eine meldung:

Könntest du diese Meldung im genauen Wortlaut posten ?
Mit Nennung desjenigen ,der sie ausgibt.
Kopiere sie der Einfachheit halber hier rein...

Anmerkung :
Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ?
Oder würdest du rot werden und zu stammeln anfangen ?
Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten.
Irrlicht

Edit.
Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...

Hi,

die beiden Dateien sind verdächtig:

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Bei der ersten besteht Bifroseverdacht. Dateien bei VirusTotal scannen lassen und Ergebnisse komplett (inklusive Größe, MD5, ...) hierher kopieren.

Gruß, Karl

Hallo,
bitte geh zu Virustotal (www.virustotal.com) und gib in das Eingabfeld oben rechts auf der Seite nacheinander die folgenden Pfade ein:

Zitat:

Zitat von I2eI2ell

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Poste im Anschluss jeweils das komplette Scan-Ergebnis, also alles, was dir ausgegeben wurde.


ups... KarlKarl war schneller.

Zitat:

Zitat von KarlKarl

Hi,

die beiden Dateien sind verdächtig:

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Irgendwie hab ich heute Tomaten auf den Augen, habe nur nach Bifrose gesucht...

Denke aber nicht das die Dateien mit Bifrose in Verbindung stehen..

Zitat:

Zitat von irrlicht

Hallo,


Könntest du diese Meldung im genauen Wortlaut posten ?
Mit Nennung desjenigen ,der sie ausgibt.
Kopiere sie der Einfachheit halber hier rein...

Anmerkung :
Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ?
Oder würdest du rot werden und zu stammeln anfangen ?
Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten.
Irrlicht

Edit.
Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...

Das Spiel is Orginal aus dem Mediamarkt Rosenheim Rechnung hab ich hier

des bei virustotal hat folgendes ergeben:

C:\WINDOWS\system32\usvr\usvr32.exe:


AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.14336.CD
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 BackDoor.Generic7.YE
BitDefender 7.2 07.06.2007 Trojan.Dropper.Delf.Undet.B
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 BackDoor.Bifrost.79
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3767 07.06.2007 no virus found
Ewido 4.0 07.06.2007 Backdoor.Spy
FileAdvisor 1 07.06.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 BDoor.CEP!tr.bdr
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Small.js
Kaspersky 4.0.2.24 07.06.2007 no virus found
McAfee 5068 07.05.2007 BackDoor-CEP.svr
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2382 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.06.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found
VirusBuster 4.3.23:9 07.05.2007 no virus found
Webwasher-Gateway 6.0.1 07.06.2007 no virus found


und C:\WINDOWS\inetloader.dll: muss 20 mins warten
poste später


aber des erste ??? schaut ja ned so gut aus.... was machen??

"Bifrose" ist der Szenename, die meisten Scannerhersteller vermeiden es, diese Namen zu benutzen, DrWeb kommt dem noch am nächsten. Dass viele Scanner die nicht erkennen, ist leider normal: Es gibt extra Webforen, die Leute dazu anleiten, eine solche Backdoor so zu "crypten", dass sie nicht mehr erkannt wird. Bifrose & Co. sind da ernste Problemfälle.

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread an (das ist ein englischsprachiges Forum). Kopiere die Scanresultate in den Beitrag. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.

• C:\WINDOWS\system32\usvr\usvr32.exe

Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Damit hilfst Du mit, dass die Scanner besser werden.

Der Rest ist leider etwas unbeliebt. Du solltest dein Windows neu installieren, denn über die Backdoor hat dein unbekannter Remoteadministrator vollen Zugriff auf dein System und er hat mit Sicherheit kein Log hinterlassen, was er dort alles angestellt hat. Außerdem solltest Du von einem sauberen System aus alle benutzten Passwörter und Zugangsdaten ändern.

ne oda...... schei***

hier mal der bericht von der 2. datei

AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.16896.AN
AntiVir 7.4.0.39 07.06.2007 TR/Dldr.Small.ddp.32
Authentium 4.93.8 07.06.2007 W32/Downloader.BBWI
Avast 4.7.997.0 07.06.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.476 07.06.2007 Downloader.Generic3.NUV
BitDefender 7.2 07.06.2007 Trojan.Downloader.Small.DDP
CAT-QuickHeal 9.00 07.06.2007 TrojanDownloader.Small.ddp
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 Trojan.DownLoader.19172
eSafe 7.0.15.0 07.05.2007 Win32.Small.ddp
eTrust-Vet 30.8.3767 07.06.2007 Win32/Seresp.F
Ewido 4.0 07.06.2007 Downloader.Small.ddp
FileAdvisor 1 07.06.2007 High threat detected
Fortinet 2.91.0.0 07.06.2007 W32/Small.DDP!tr.dldr
F-Prot 4.3.2.48 07.06.2007 W32/Downloader.BBWI
F-Secure 6.70.13260.0 07.06.2007 W32/DLoader.BYMI
Ikarus T3.1.1.8 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Kaspersky 4.0.2.24 07.06.2007 Trojan-Downloader.Win32.Small.ddp
McAfee 5068 07.05.2007 AZESearch.dll
Microsoft 1.2704 07.06.2007 TrojanDownloader:Win32/Small!7C55
NOD32v2 2382 07.06.2007 Win32/TrojanDownloader.Small.NTN
Norman 5.80.02 07.06.2007 W32/DLoader.BYMI
Panda 9.0.0.4 07.06.2007 Trj/Downloader.ODN
Sophos 4.19.0 07.06.2007 Troj/Dloadr-AVB
Sunbelt 2.2.907.0 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Symantec 10 07.06.2007 Adware.TrustInBar
TheHacker 6.1.6.143 07.05.2007 Trojan/Downloader.Small.ddp
VBA32 3.12.0.2 07.06.2007 Trojan-Downloader.Win32.Small.ddp
VirusBuster 4.3.23:9 07.05.2007 Trojan.DL.Small.GWF
Webwasher-Gateway 6.0.1 07.06.2007 Trojan.Dldr.Small.ddp.32



Gibts keine andere möglichkeit??

Wenn Du auf Sicherheit und Vertrauenswürdigkeit des Systems Wert legst, gibt es keine andere Möglichkeit. Die Bandbreite der Möglichkeiten, was an dem System manipuliert sein kann, ist so groß, dass sich das nicht alles prüfen lässt. Erst recht nicht online über ein Forum, selbst wenn der Rechner vor mir stehen würde, hätte ich damit ein großes Problem. Neu installieren ist einfach, schnell und sicher.

Niemand kann dir die Sicherheit geben, dass auf den Rechner kein Zugriff mehr möglich ist nach Entfernung dieser Backdoor. Die erste Backdoor auf einem System ist oft relativ auffällig, deshalb ist es möglich, dass sie genutzt wird, eine wesentlich besser versteckte anzulegen, die den Zugriff auch ermöglicht, nachdem die erste Tür geschlossen wurde. Die Details hängen davon ab, wie clever der Angreifer ist.

Wenn dir das egal ist: Dann lösche die Dateien und entferne die Starteinträge. Dann solltest Du aber auf Onlinebanking, Ebay, Spiele mit wertvollen Keys (geklaute WoW-Accounts sind ein wertvolles Handelsgut), usw. auf dem Rechner in Zukunft verzichten.

hab windows neu installiert...
die warnung is jetz weg aber mien daten auch xxD

naja
danke an alle für die schnelle hilfe *lob*

Zitat:

Zitat von I2eI2ell

hab windows neu installiert...
die warnung is jetz weg aber mien daten auch xxD

1.) Man kann selbst im Falle einer Infektion immer noch Datensicherungen anfertigen (wohlgemerkt, Daten!, keine Programme, keine Installationsdateien). Dazu verwendet man idealer Weise eine Notfall-CD. Das kann UBCD4WIN sein, das kann BartPE oder auch ein Ubuntu Live sein. So eine (oder auch mehrere CDs) sollte man immer im Schrank liegen haben.

2.) Man fertigt regelmäßig Backups / Datensicherungen auf externen Medien an, z.B. auf einer externen Festplatte, auf DVD-RAM, oder für etwas kurzfristig zu Sicherndes auf einem USB-Stick.

Backups sind das A und O, wenn es darum geht, Daten dauerhaft zu erhalten!