Hallo Leute!

Ich habe seit einigen Tagen folgendes Problem:
firefox.exe startet beim Start automatisch mit und will eine Verbindung, wie auf dem Anhang zu sehen ist, aufbauen.
Ich habe bereits firefox deinstalliert, leider kommt die firefox.exe immer wieder. Ich habe meine Firewall so konfiguriert, dass diese Verbindung sofort geblockt wird.

Ich habe bereits Ad-Aware, Spybot, HijackThis und Kaspersky Antivirus durchlaufen lassen, auch im abgesichertem Modus, irgendwann kommt die firefox.exe doch und will diese Verbindung aufbauen.

Könnt ihr mir irgendwelche Tipps geben?


Hier der HJT Log (firefox.exe ist wieder gestartet):

Logfile of HijackThis v1.99.1
Scan saved at 12:52:39, on 29.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
f:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\LXSUPMON.EXE
F:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\yakumo_delta\Microsoft ActiveSync\wcescomm.exe
F:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
f:\PROGRA~1\YAKUMO~1\MICROS~1\rapimgr.exe
F:\Programme\Opera92\Opera.exe
F:\Programme\IrfanView\i_view32.exe
C:\Dokumente und Einstellungen\***********\Desktop\System Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [kav] "f:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\yakumo_delta\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\server.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - f:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~1\YAKUMO~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~1\YAKUMO~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~1\YAKUMO~1\MICROS~1\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132397613765
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://144.122.47.201/activex/AMC.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: URLREWIN - {EB9BDABE-1BD2-445B-9A13-BA9C7D2E3CA9} - c:\windows\system32\netknl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - f:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe

Hallo,

lass als erstes folgende Dateien scannen, hierbei handelt es sich höchstwahrscheinlich um eine Variante von SUBSEVEN oder zumindest um den Troj/Delf.

Lass die Dateien hier online prüfen -> Virustotal

Zitat:

C:\WINDOWS\System32\server.exe
c:\windows\system32\netknl.dll

Lies dir schonmal den Link in meiner Signatur durch, "Neuaufsetzen des Systems"

Gruß
Sunny

c:\windows\system32\netknl.dll ist ok, gehört zu einem meiner Programme :-)


C:\WINDOWS\System32\server.exe habe ich mit virustotal gescannt:

AntiVir 7.2.0.34 10.28.2006 BDS/Bifrose.IJ.1
Authentium 4.93.8 10.28.2006 could be infected with an unknown virus
Avast 4.7.892.0 10.27.2006 Win32:Bifrose-IR
AVG 386 10.27.2006 no virus found
BitDefender 7.2 10.29.2006 MemScan:Backdoor.Bifrose.IJ
CAT-QuickHeal 8.00 10.28.2006 no virus found
ClamAV devel-20060426 10.29.2006 Trojan.Bifrose-456
DrWeb 4.33 10.29.2006 BackDoor.Bifrost
eTrust-InoculateIT 23.73.40 10.28.2006 no virus found
eTrust-Vet 30.3.3164 10.28.2006 Win32/Bifrost!generic
Ewido 4.0 10.28.2006 Backdoor.Bifrost
Fortinet 2.82.0.0 10.29.2006 W32/Bifrose.fam!tr.bdr
F-Prot 3.16f 10.28.2006 could be infected with an unknown virus
F-Prot4 4.2.1.29 10.29.2006 no virus found
Ikarus 0.2.65.0 10.29.2006 Backdoor.Win32.Bifrose.d
Kaspersky 4.0.2.24 10.29.2006 no virus found
McAfee 4883 10.27.2006 BackDoor-CKA
Microsoft 1.1609 10.26.2006 Backdoor:Win32/Bifrose.gen
NOD32v2 1.1842 10.27.2006 a variant of Win32/Bifrose
Norman 5.80.02 10.27.2006 Bifrose.D
Panda 9.0.0.4 10.28.2006 Bck/Bifrose.AAZ
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.107 10.27.2006 Backdoor/CEP
UNA 1.83 10.27.2006 Backdoor.Bifrose.D634
VBA32 3.11.1 10.27.2006 BackDoor.Bifrost
VirusBuster 4.3.15:9 10.29.2006 no virus found


scheint ein bifrose trojaner zu sein. komischerweise sagt mein kaspersky 6.0 gar nichts dazu.

ich werde mal die server.exe löschen und firefox.exe fixen und schauen, ob das problem wieder auftritt.

Neuaufsetzen kommt für mich leider nicht in Frage.

Zitat:

Zitat von valiumii

c:\windows\system32\netknl.dll ist ok, gehört zu einem meiner Programme :-)

Wenn du den Spector selbst installiert hast geht das wohl in Ordnung!

Zitat:

scheint ein bifrose trojaner zu sein. komischerweise sagt mein kaspersky 6.0 gar nichts dazu.

Es könnte eine modifizierte Variante sein oder aber dein AV-Scanner ist schon infiziert/verändert wurden.

Zitat:

ich werde mal die server.exe löschen und firefox.exe fixen und schauen, ob das problem wieder auftritt.

Damit wirst du das Problem nicht lösen können, der Schädling in deinem System hat Backdoor-Funktion, und kann Beispielsweise Dritten den Zugriff auf den Computer ermöglichen -> BackDoor-CEP

Zitat:

Neuaufsetzen kommt für mich leider nicht in Frage.

Tu was du für richtig hälst, ich kann dir nur sagen das es mit dem einfachen löschen des Clienten nicht funktioniert...