Bifrose-Befall?

LilaPause · 06.02.2007, 10:48

Liebe Leute,
gestern fand Avira BDS/Bifrose.abj.12. Ich musste sicherlich 15mal die Meldung mit "Löschen" oder "In Quarantäne" wegklicken. Habe daraufhin soziemlich alle mir beannten Programme laufen lassen: Spyboot, Remover, AdAware. Nun kommt keine meldung mehr, aber ich fand in der Registry "syspare.exe" beim Iexplorer (den ich natürlich eh nicht nutze!).
Nun bin ich unsicher, ob sich der Trojaner eingenistet hat und ich ihn nicht losbekommen habe...
Könntet Ihr bitte mein log mal prüfen?

Logfile of HijackThis v1.99.1
Scan saved at 10:24:20, on 06.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\BrmfBAgS.exe
C:\WINNT\system32\Brmfrmps.exe
C:\WINNT\system32\BrmfRsmg.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ppedv\fax@net personal\FaxAtNetPlus.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\ctfmon.exe
D:\Programme\iFinger\iFinger.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\II_Projekterfassung\WorkProject.exe
C:\Programme\Proxomitron\Proxomitron.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\Programme\Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\regedit.exe
C:\unzipped\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] REM JupitCo.exe
O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [TClockEx] C:\Programme\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: II_Projekterfassung (2).lnk = C:\Programme\II_Projekterfassung\WorkProject.exe
O4 - Startup: Kremlin Sentry.LNK.disabled
O4 - Startup: MProxy.lnk.disabled
O4 - Startup: Proxomitron.lnk = C:\Programme\Proxomitron\Proxomitron.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office 2000\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINNT\system32\SHDOCVW.DLL
O12 - Plugin for .asx: C:\Programme\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O12 - Plugin for .wmv: C:\Programme\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O15 - Trusted Zone: http://***
O15 - Trusted Zone: http://***
O15 - Trusted Zone: hhttp://***
O15 - Trusted Zone: hhttp://***
O15 - Trusted Zone: http://***
O15 - Trusted Zone: http://***
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134740536933
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{3ADBBD9E-52AA-42EA-9F0A-F4D79D3D2789}: NameServer = 217.237.151.142 217.237.150.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{3ADBBD9E-52AA-42EA-9F0A-F4D79D3D2789}: NameServer = 217.237.151.142 217.237.150.188
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Layer Gateway - AVIRA GmbH - (no file)
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Unknown owner - C:\WINNT\system32\BrmfBAgS.exe" -service (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINNT\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: fax@NET Service (fax@NET) - PPEDV AG - C:\Programme\ppedv\fax@net personal\FaxAtNetPlus.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINNT\System32\PGPsdkServ.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINNT\system32\kernlx86.exe (file missing)
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

Vielen Dank schon mal!

Grüße
LilaPause

Cleriker · 06.02.2007, 15:42

Hi,

Zitat:

O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe

Lass mal bitte die Datei C:\tasmgrs.exe bei Virustotal (siehe sig)
überprüfen. Wenn mein Verdacht in die richtige Richtung geht,
hast du diesen Backdoortrojaner bei dir drauf.
Poste das Ergebnis.

mfg Cleriker

LilaPause · 07.02.2007, 09:21

Hallo Cleriker,
danke für Deine Antwort.

Also:
C:\taskmgrs.exe gibt es nicht. Es gibt nur
C:\WINNT\system32\TASKMGR.EXE

Letztere habe ich bei Virustotal gescannt:
Complete scanning result of "TASKMGR.EXE", received in VirusTotal at 02.07.2007, 09:07:12 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.07.2007 no virus found
Authentium 4.93.8 02.07.2007 no virus found
Avast 4.7.936.0 02.06.2007 no virus found
AVG 386 02.06.2007 no virus found
BitDefender 7.2 02.05.2007 no virus found
CAT-QuickHeal 9.00 02.06.2007 no virus found
ClamAV devel-20060426 02.06.2007 no virus found
DrWeb 4.33 02.07.2007 no virus found
eSafe 7.0.14.0 02.06.2007 no virus found
eTrust-InoculateIT 30.4.3374 02.07.2007 no virus found
eTrust-Vet 30.4.3374 02.07.2007 no virus found
Ewido 4.0 02.06.2007 no virus found
Fortinet 2.85.0.0 02.07.2007 no virus found
F-Prot 4.2.1.29 02.06.2007 no virus found
Ikarus T3.1.0.31 02.07.2007 no virus found
Kaspersky 4.0.2.24 02.07.2007 no virus found
McAfee 4957 02.06.2007 no virus found
Microsoft 1.2101 02.07.2007 no virus found
NOD32v2 2042 02.06.2007 no virus found
Norman 5.80.02 02.06.2007 no virus found
Panda 9.0.0.4 02.07.2007 no virus found
Prevx1 V2 02.07.2007 no virus found
Sophos 4.13.0 02.05.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.07.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.07.2007 no virus found
VirusBuster 4.3.19:9 02.06.2007 no virus found

Aditional Information
File size: 89872 bytes
MD5: 5c0f0484292368a1086e7eb5d6005ca5
SHA1: 9b777876c6e059b94d8c0dd3903a85fb81f65493

Was kann das bedeuten? Und wie siehst Du das mit "syspare.exe" in der Registry? Ich hatte gelesen (http://www.f-secure.de/v-desk/bifrose_ee.shtml), dass es von Bifrose komen könnte...

Besten Dank nochmal!
LilaPause

Cleriker · 07.02.2007, 09:56

Guten Morgen,

Zitat:

C:\taskmgrs.exe gibt es nicht. Es gibt nur
C:\WINNT\system32\TASKMGR.EXE

Der Taskmanager sollte, wie gefunden, in dem ordner
system32 sein. Deshalb macht es mich stutzig, dass bei
dir dieser prozess auch unter C aktiviert ist.

Lass mal alle dateien und Ordner anzeigen:
Arbeitsplatz > Extras(oben) > ordneroptionen
> Ansicht > reiter bei "alle Dateien und Ordner anzeigen lassen"
setzen und bei "systemdateien ausblenden" rausnehmen.
Dann müsste er zu finden sein.

Zitat:

Und wie siehst Du das mit "syspare.exe" in der Registry?

Wie du sagtest, wird dieser prozess von dem genannten
Backdoortrojaner BDS/Bifrose.abj.12. angelegt.
Jedoch scheint er im Moment deines LogFiles nicht
gestartet worden zu sein.
Ich würde vorschlagen, du lädst dir das Tool KillBox (siehe Link)
herunter und löscht unter der Anleitung die
Datei (system/syspare.exe). Anschließend scannst du mit
Spybot und schaust ob folgende Einträge vorhanden sind:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspare
<System>\syspare.exe

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{9B71D88C-C598-4935-C5D1-43AA4DB90836}
stubpath
<System>\syspare.exe s

Das sind ja schließlich die von Bifrose-angelegten Schlüssel.

Edith: Zusätzlich auch auf diesen Schlüssel achten:

Zitat:

HKLM/software/wget

Er dient zur Speicherung der Daten für Bifrose.

Danach poste bitte noch ein LogFile.

Eine Frage noch:
hast du die Einträge hier selber unbenannt
bzw. sagen die dir was?

Zitat:

O15 - Trusted Zone: http://***
O15 - Trusted Zone: http://***
O15 - Trusted Zone: hhttp://***
O15 - Trusted Zone: hhttp://***
O15 - Trusted Zone: http://***
O15 - Trusted Zone: http://***

mfg Cleriker

Cleriker · 07.02.2007, 10:13

Sorry für Doppelpost

ich bin heute morgen schon wieder
sehr schusselig drauf.

Überprüfe bitte auch diese Datei:

Zitat:

O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINNT\system32\kernlx86.exe (file missing)

Wenn der ihost-Eintrag sich als infizierte datei ergibt oder
deine Bifrose doch aktiviert worden ist,

kannst du gleich mit der Bereinigung abbrechen, dein
system unter der Anleitung (siehe Link) neu Aufsetzen
und alle Passwörter ändern.

*pu...erst ma kaffee hol*

LilaPause · 07.02.2007, 10:36

Guten Morgen Cleriker,

also: an "alle Dateien anzeigen" und "ausgeblendete Systemdateien anzeigen" hatte ich auch schon gedacht. Die Datei ist da tatsächlich nicht. Vl. sollte ich mal den CCcleaner laufen lassen, der die falsche Verknüpfung aufspürt?

Bei kernlx86.exe ist es das gleiche Spiel: diese Datei existiert nicht. Habe auch eine Suche über das ganze System gemacht. Es gibt nur KRNL386.EXE und die ist okay:
Complete scanning result of "KRNL386.EXE", received in VirusTotal at 02.07.2007, 10:15:28 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.07.2007 no virus found
Authentium 4.93.8 02.07.2007 no virus found
Avast 4.7.936.0 02.06.2007 no virus found
AVG 386 02.06.2007 no virus found
BitDefender 7.2 02.05.2007 no virus found
CAT-QuickHeal 9.00 02.06.2007 no virus found
ClamAV devel-20060426 02.06.2007 no virus found
DrWeb 4.33 02.07.2007 no virus found
eSafe 7.0.14.0 02.06.2007 no virus found
eTrust-InoculateIT 30.4.3374 02.07.2007 no virus found
eTrust-Vet 30.4.3374 02.07.2007 no virus found
Ewido 4.0 02.06.2007 no virus found
Fortinet 2.85.0.0 02.07.2007 no virus found
F-Prot 4.2.1.29 02.07.2007 no virus found
F-Secure 6.70.13030.0 02.07.2007 no virus found
Ikarus T3.1.0.31 02.07.2007 no virus found
Kaspersky 4.0.2.24 02.07.2007 no virus found
McAfee 4957 02.06.2007 no virus found
Microsoft 1.2101 02.07.2007 no virus found
NOD32v2 2042 02.06.2007 no virus found
Norman 5.80.02 02.06.2007 no virus found
Panda 9.0.0.4 02.07.2007 no virus found
Prevx1 V2 02.07.2007 no virus found
Sophos 4.13.0 02.05.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.07.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.07.2007 no virus found
VirusBuster 4.3.19:9 02.06.2007 no virus found

Aditional Information
File size: 92032 bytes
MD5: 419252d13c6e77719e482c95cfc87fca
SHA1: e8fcbbd5c0c1e7e1c315cd5811532046cb868a1a

syspare.exe in der registry habe ich gelöscht und Spyboot laufen lassen. Das Ergebnis gefällt mir gar nicht, denn ich habe Win2000 und da gibt es kein security Center, das deaktiviert werden könnte!

Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Microsoft.WindowsSecurityCenter.FirewallDisabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile\enablefirewall!=dword:1

Microsoft.WindowsSecurityCenter.FirewallDisabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile\enablefirewall!=dword:1

Microsoft.WindowsSecurityCenter.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Microsoft.WindowsSecurityCenter.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter_disabled: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

Common Dialogs: History (48 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

MS Office 9.0: Recently used files (53 files) (Verzeichnis, nothing done)
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINNT\SchedLgU.Txt

Log: Activity: Sti_Trace.log (Datei sichern, nothing done)
C:\WINNT\Sti_Trace.log

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINNT\setupapi.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
C:\WINNT\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\winmgmt.log (Datei sichern, nothing done)
C:\WINNT\System32\wbem\logs\winmgmt.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Datei sichern, nothing done)
C:\WINNT\System32\wbem\logs\wmiadap.log

HTTrack Website Copier: Last used folder (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\WinHTTrack Website Copier\WinHTTrack Website Copier\DefaultValues\BasePath!=

HTTrack Website Copier: Recent file list (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\WinHTTrack Website Copier\WinHTTrack Website Copier\Recent File List

MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS DirectDraw: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS Office 10.0: Internet history (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Office\10.0\Common\Internet\UseRWHlinkNavigation

MS Office 10.0 (Document Scanning): Recent file list #1 (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\MSPaper\Recent File List

MS Office 10.0 (Document Scanning): Recent file list #2 (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\MSPaper\Persist File Name

MS Office 10.0 (Word): Recently used documents list (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Office\10.0\Word\Data\Settings

MS Office 10.0 (Word): Recovered documents history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Office\10.0\Word\Resiliency\DocumentRecovery

MS Office 10.0 (Excel): Recent file list (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Office\10.0\Excel\Recent Files

MS Imaging: Recent file list (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Kodak\Imaging\Recent File List

MS Photo Editor: Last used directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\File Options\Path!=

MS Photo Editor: Recently used file #1 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile1

MS Photo Editor: Recently used file type #1 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType1

MS Photo Editor: Recently used file #2 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile2

MS Photo Editor: Recently used file type #2 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType2

MS Photo Editor: Recently used file #3 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile3

MS Photo Editor: Recently used file type #3 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType3

MS Photo Editor: Recently used file #4 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastFile4

MS Photo Editor: Recently used file type #4 (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Photo Editor\3.0\Microsoft Photo Editor\LastType4

MS Regedit: Recent open key (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey!=

RealOne Player 2 (aka RealPlayer 6.0): Last open file directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\RealNetworks\RealPlayer\6.0\Preferences\LastOpenFileDir\!=

Windows.OpenWith: Open with list - .001 extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.001\OpenWithList

Windows.OpenWith: Open with list - .002 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.002\OpenWithList

Windows.OpenWith: Open with list - .003 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.003\OpenWithList

Windows.OpenWith: Open with list - .004 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.004\OpenWithList

Windows.OpenWith: Open with list - .005 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.005\OpenWithList

Windows.OpenWith: Open with list - .006 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.006\OpenWithList

Windows.OpenWith: Open with list - .ACE extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ACE\OpenWithList

Windows.OpenWith: Open with list - .ASF extension (5 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ASF\OpenWithList

Windows.OpenWith: Open with list - .AVI extension (5 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: Open with list - .BIN extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BIN\OpenWithList

Windows.OpenWith: Open with list - .BMP extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows.OpenWith: Open with list - .C00 extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.C00\OpenWithList

Windows.OpenWith: Open with list - .CUE extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CUE\OpenWithList

Windows Explorer: Stream history (201 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history IE (9 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (246 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (7 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

WinZip: Recent created file list (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Nico Mak Computing\WinZip\filemenu

WinZip: Number of times run (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\Nico Mak Computing\WinZip\rrs\Opened!=

Zoom Player: Last used folder (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1292428093-507921405-839522115-500\Software\VirtuaMedia\ZoomPlayer\LastDir!=

Ganz schön lang...

Ja, die http*** Einträge sind alle von mir so editiert worden und sind okay.

Vielen Dank für Deine Hilfe,
LilaPause

Cleriker · 07.02.2007, 10:58

Hi nochmal,

Ich kenne mich ja nicht 100%ig mit der 2000er-regestry
aus, aber wenn man das mit der Trojaner-Analyse von
vorhin vergleicht, stimmen da einige Reg-Änderungen
überein. Sprich: Deine Bifrose war doch aktiv.

Da sich die anderen beiden nicht finden lassen,
bin ich mir auch ziemlich sicher, dass

Zitat:

O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe

der genannte Backdoor ist.

Aus meiner Sicht empfehle ich nun das NeuAufsetzen
des Systems unter der Anleitung mit nachhaltiger
Kennwortänderung.
Denn (um ehrlich zu sein) ich verliere langsam den Überblick,
um dir das Herstellen eines sicheren Systems zu
gewährleisten.

mfg Cleriker

LilaPause · 07.02.2007, 11:03

Grützi,
diese Antwort hatte ich befürchtet :-( ist wohl unumgänglich.

Vielen Dank für Deine Analysen und Anleitungen!
grüße
Lilapause

Cleriker · 07.02.2007, 11:07

immer gerne...
tut mir leid, aber mehr kann ICH nicht
für dich tun

mfg Cleriker

marymary · 06.08.2009, 11:43

Hallo

Mein Antivir hat ebenfalls diesen BDS/Bifrose.tbz gemeldet. Seitdem funktioniert excel nicht mehr und meine Tastatur ist nach einiger Zeit nicht mehr funktionstuechtig.
Viell kann mir jemand helfen und mal meine Log von HijackThis kontrollieren? Ich kenne mich leider damit nicht aus und moechte nix falsches fixen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42:53, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21073)
Boot mode: Normal

Running processes:
E:\WINXP\System32\smss.exe
E:\WINXP\system32\winlogon.exe
E:\WINXP\system32\services.exe
E:\WINXP\system32\lsass.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\System32\svchost.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\Explorer.EXE
E:\WINXP\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\WINXP\system32\nvsvc32.exe
E:\WINXP\system32\svchost.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\pdf24\PDFBackend.exe
E:\WINXP\system32\ctfmon.exe
E:\Programme\Microsoft ActiveSync\Wcescomm.exe
E:\WINXP\system32\wbem\wmiapsrv.exe
E:\PROGRA~1\MICROS~3\rapimgr.exe
E:\WINXP\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "E:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PDFPrint] "E:\Programme\pdf24\PDFBackend.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINXP\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - K:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - K:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7631 bytes

Bifrose-Befall?

Log-Analyse und Auswertung: Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Bifrose-Befall?

Ähnliche Themen: Bifrose-Befall?

07.02.2007, 11:03	#8
LilaPause	Bifrose-Befall? Grützi, diese Antwort hatte ich befürchtet :-( ist wohl unumgänglich. Vielen Dank für Deine Analysen und Anleitungen! grüße Lilapause

07.02.2007, 11:07	#9
Cleriker	Bifrose-Befall? immer gerne... tut mir leid, aber mehr kann ICH nicht für dich tun mfg Cleriker