Hallo,

habe seit 2 Tagen festgestellt, dass mein PC (Win XP SP2) befallen ist und sofort nach Start sehr viele Emails and unterschiedlichste Email Server sendet. Spybot und eTrust Antivirus haben nichts gefunden. Beide sind auf dem neusten Stand und auch immer scharf. Benutze Windows Firewall. PC hängt an Router.

Hier mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:44:06, on 11.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Wireshark\wireshark.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ahead\Nero\nero.exe
C:\Programme\Ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\regedit.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*W.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*W.heise.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*W.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:7070
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - h**p://w*W.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://w*W.aldi.com
O15 - Trusted Zone: h**p://login.1und1.de
O15 - Trusted Zone: h**p://redirect.1und1.de
O15 - Trusted Zone: h**p://w*W.1und1.de
O15 - Trusted Zone: h**p://w*W.amelunxen.de
O15 - Trusted Zone: h**p://home.arcor.de
O15 - Trusted Zone: h**p://w*W.arcor.de
O15 - Trusted Zone: h**p://w*W.speedcheck.arcor.de
O15 - Trusted Zone: h**p://coma.comdirect.de
O15 - Trusted Zone: h**p://isht.comdirect.de
O15 - Trusted Zone: h**p://kochab-w*W.comdirect.de
O15 - Trusted Zone: h**p://w*W.comdirect.de
O15 - Trusted Zone: h**p://w*W.produktinfo.conrad.com
O15 - Trusted Zone: h**p://w*W.dm-drogeriemarkt.de
O15 - Trusted Zone: h**p://w*W.flipcorp.com
O15 - Trusted Zone: h**p://w*W.fujitsu-siemens.de
O15 - Trusted Zone: h**p://h10025.w*W1.hp.com
O15 - Trusted Zone: h**p://h71019.w*W7.hp.com
O15 - Trusted Zone: h**p://w*W.hp.com
O15 - Trusted Zone: h**p://w*W.jako-o.de
O15 - Trusted Zone: h**p://w*W.jesolointernational.it
O15 - Trusted Zone: h**p://w*W.de.map24.com
O15 - Trusted Zone: h**p://w*W.markus-frick.de
O15 - Trusted Zone: h**p://w*W.myloehr.de
O15 - Trusted Zone: h**p://w*W.n-tv.de
O15 - Trusted Zone: h**p://w*W.quoka.de
O15 - Trusted Zone: h**p://w*W.schlecker.de
O15 - Trusted Zone: h**p://w*W.setrix.de
O15 - Trusted Zone: h**p://w*W.siemens.de
O15 - Trusted Zone: h**p://w*W.tsvmoosach.de
O15 - Trusted Zone: h**p://w*Wcs.uni-paderborn.de
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://w*W.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.w*W3.hp.com/hpdj/en/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2CA5E71-1771-4BDE-93C8-525EA8403D98}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hier sieht man die Benutzung des SMTP Ports:
Der EIntrag "-- unbekannte Komponente(n) --" sieht komisch aus.

C:\Programme>netstat -b

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP MEDION:2958 mta-v11.mail.vip.re2.yahoo.com:smtp SYN_GESENDET 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

TCP MEDION:2965 mta-v11.mail.vip.re2.yahoo.com:smtp SYN_GESENDET 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

TCP MEDION:2991 mta-v11.mail.vip.re2.yahoo.com:smtp SYN_GESENDET 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

TCP MEDION:2995 mta-v11.mail.vip.re2.yahoo.com:smtp SYN_GESENDET 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

TCP MEDION:2996 xn.mx.aol.com:smtp SYN_GESENDET 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

TCP MEDION:2746 mta-v11.mail.vip.re2.yahoo.com:smtp HERGESTELLT 1032
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\ws2_32.dll
-- unbekannte Komponente(n) --
[svchost.exe]

und so weiter.

Hier Posting von "tasklist /SRV":
C:\Programme>tasklist /SVC

Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 380 N/A
csrss.exe 428 N/A
winlogon.exe 452 N/A
services.exe 496 Eventlog, PlugPlay
lsass.exe 508 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 676 DcomLaunch, TermService
svchost.exe 724 RpcSs
svchost.exe 764 AudioSrv, CryptSvc, Dhcp, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
HidServ, lanmanserver, lanmanworkstation,
Netman, Nla, RasMan, seclogon, SENS,
SharedAccess, ShellHWDetection, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wscsvc,
wuauserv, WZCSVC
svchost.exe 840 Dnscache
svchost.exe 868 Alerter, LmHosts, SSDPSRV, WebClient
spoolsv.exe 972 Spooler
Apache.exe 1108 Apache2
InoRpc.exe 1164 InoRPC
Apache.exe 1184 N/A
InoRT.exe 1196 InoRT
InoTask.exe 1212 InoTask
LogWatNT.exe 1364 LogWatch
svchost.exe 2460 stisvc
fxssvc.exe 2568 Fax
explorer.exe 2992 N/A
alg.exe 3196 ALG
Realmon.exe 3224 N/A
rundll32.exe 3256 N/A
mHotkey.exe 3264 N/A
atiptaxx.exe 3272 N/A
WkUFind.exe 3280 N/A
LVComS.exe 3292 N/A
TeaTimer.exe 3300 N/A
wcescomm.exe 3312 N/A
ctfmon.exe 3336 N/A
ApacheMonitor.exe 3360 N/A
wireshark.exe 3680 N/A
cmd.exe 3844 N/A
svchost.exe 1032 N/A
notepad.exe 3092 N/A
regedit.exe 2776 N/A
InocIT.exe 2480 N/A
wmiprvse.exe 4088 N/A
tasklist.exe 3908 N/A

Was ist das für ein Trojaner?
Natürlich habe ich meinen PC sofort vom Netz genommen. Leider kann man nicht einfach Port 25 blocken, weder am PC noch am Router (Barricade G von SMC).
Mein Ziel ist nicht schnell eine Neuinstallation, sondern ich will das Problem verstehen und dann professionell beseitigen. Neuinstallation kann jeder.


Vielen Dank für Eure professionelle Hilfe.
Gruß
Loehrisch

Hallo,

kurz und Schmerzlos......

Zitat:

Zitat von loehrisch

Was ist das für ein Trojaner?

Backdoor.Win32.Bifrose

Zu sehen an:

C:\WINDOWS\system32\rpcc.dll

Kannst die Datei, solltest du zweifel haben, Online bei Jotti oder Virustotal auswerten lassen....Links in meiner SIG!

Zitat:

Zitat von loehrisch

Mein Ziel ist nicht schnell eine Neuinstallation,

Es wird Dir aber, sofern Dir Sicherheit ein klein wenig wichtig ist, nichts anderes übrig bleiben!

Warum?


Was Backdoors können
und was sie noch können

Zitat:

Zitat von loehrisch

sondern ich will das Problem verstehen und dann professionell beseitigen.

Sollte durch die o.g. Links möglich sein.......

Zitat:

Zitat von loehrisch

Neuinstallation kann jeder.

Möglich....aber nicht jeder versteht es, sein neuaufgesetztes System dann richtig zu Konfigurieren, Abzusichern und vorallem vorsicht im www walten zu lassen!


Lese Dir das genau durch , handel danach und dann sollten wir uns hier nicht wieder sehen......


Gruß Mellosun

Hai, ich habe seit ca. 3 Tagen das gleiche Problem: mein Avast meckert andauernd über die viel zuvielen "Zuviel mails mit gleichem...", die mein Pc verschicken möchte (und auch empfangen hat?). Bist du weitergekommen, was hat geholfen? Besten Dank für deine Antwort.

Hallo,

ich werde Windows doch komplett neu installieren, da der Bifrose für mich ein bösartiger Virus ist und ich nicht weiss, was er sonst so auspioniert. Ausserdem weiss man nicht genau, was alles infiziert ist. Die Datei rpcc.dll hat bei mir das Datum 3.2.2007 , alle anderen Files sind von 2004.
Problem für mich ist, das ich nicht weiss, wie ich das Ding eingefangen habe und somit so nicht so weiterarbeiten möchte.
Win XP SP2 ist immer aktuell mit allen Patches, anstatt IE benutze ich Avant Browser, Spybot ist immer aktiv, eTrust Antivirus ist immer aktiv und immer auf dem neusten Stand. Benuzte keine Filesharings. Zwei Schwachstelle: Ich bin immer alles als Admin-User und benutze immer Outlook.

Ich werde auf jeden Fall auch den MasterBootRecord löschen (dd Kommando bei LINUX) und werde danach WinXP und LINUX installieren. Ich werde nur noch das unter Win machen, was unbedingt notwendig ist.
Gruß
loehrisch

Dann nimm dir doch einmal die "zehn goldenen Regeln" zu Herzen:

1) Spielen Sie immer alle verfügbaren Betriebssystem Updates ein.
Das ist kostenlos über die Windowswebseite möglich.

2) Deaktivieren Sie gefährliche Einstellungen in Ihren Internetprogrammen.
Diese Einstellungen sind vorallem für den Internet Explorer wichtig. Alternative der kostenlose Webbrowser Mozilla Firefox.

3) Öffnen Sie keine Dateianhänge, die Sie nicht angefordert haben.
Da ist das eigene Gehirn gefragt - sollte eigentlich kostenlos verfügbar sein.

4) Benutzen Sie immer ein Virenschutzprogramm mit aktueller Virendatenbank.
Da es relativ egal ist welches der bekannten Programme man einsetzt, tut's für den Privatgebrauch auch ein kostenloses.

5) Verwenden Sie starke Passwörter.
Eigenleistung.

6) Verwenden Sie ein sicheres Filesystem.
NTFS wird mit Windows XP angeboten.

7) Surfen Sie nie mit Administratorrechten - richten Sie ein eingeschränktes Konto ein.
Eigenleistung

8) Schliessen Sie alle unnötigen Dienste und Ports.
Eigenleistung oder kostenlose Hilfsprogramme.

9) Verwenden Sie eine Firewall - als zusätzliche Schutzmaßnahme.
Wird allgemein überschätzt. Für den Hausgebrauch reicht die kostenlose XP-Firewall.

10) Sichern Sie regelmäßig Ihre Daten.
Das geht auch ohne teure Backupprogramme

Quelle: www.Comsafe.de