Hallo liebes Team!

Habe ein Rießenproblem mit meinem Computer!
Angefangen hat es damit, dass er nur ziemlich langsam war und dann hab ich einmal ein paar onlinescans durchgeführt und bin draufgekommen, dass er infiziert ist. Beim Bitdefenderscan wurde mir angezeigt dass ein ARDAMAX am Werk ist - hab mich dann erkundigt (ist ein Trojaner-Keylogger oder so) und ich glaub ich habe ihn beseitigt. Doch jetzt habe ich einen anderen Trojaner --> BIFROSE
und dieser lässt sich einfach nicht entfernen! Spyware Search&Destroy erkennt ihn und ich habe ihn in dem Programm auch schon öfters gefixt, doch bei jedem Neustart ist er wieder da

Bitte um eure dringende Hilfe, da mein Computer mein Arbeitsplatz ist und eine Formatierung sehr sehr aufwändig wäre...
Lieben Dank, Andrea

Hi,

dann verrate doch mal genau, wo der Bifrose gefunden wurde. Ein Keylogger ist ja schon ziemlich schlimm aber Bifrose ist ein kompletter Backdoorserver, das heißt, daß der Computer nicht mehr dein Arbeitsplatz ist, sondern der eines anderen, dessen Arbeit darin besteht, Webserver anzugreifen, Spam zu versenden, einfach alles zu tun was eklig bis kriminell ist. Du bist dort nur noch geduldet. Da Bifrose üblicherweise in einem HijackThis nicht in Erscheinung tritt (oder jedenfalls nicht eindeutig), mach mal die erweiterte Version:

Starte HijackThis und wähle "Open the Misc Tools section". Dort rechts von "Generate StartupList log" zwei Haken machen und dann die StartupList erzeugen und posten.

Ich denke aber mal, Du solltest schon mal deine Daten sichern, denn eine Neuinstallation ist sicherlich das kleinere Übel im Vergleich dazu, daß dein Arbeitsplatz auch die nächsten zwei Jahre als Staubfänger in einer Asservatenkammer stehen könnte.

Gruß, Karl

StartupList report, 21.03.2007, 15:38:24
StartupList version: 1.52.2
Started from : C:\Programme\HijackThis\HJT1991.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16414)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Quick Time\qttask.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\PPMCActiveDetection.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HijackThis\HJT1991.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Acrobat - Schnellstart.lnk = ?
Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATIPTA = "C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
RemoteControl = C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
SoundMan = SOUNDMAN.EXE
AGRSMMSG = AGRSMMSG.exe
CardReaderReset = C:\Programme\Realtek Semiconductor Corp\Card Reader Software\Reset.exe
iTunesHelper = "C:\Programme\iTunes\iTunesHelper.exe"
QuickTime Task = "D:\Programme\Quick Time\qttask.exe" -atboottime
Acrobat Assistant 8.0 = "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
(Default) =
Zone Labs Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
Windows Defender = "C:\Programme\Windows Defender\MSASCui.exe" -hide
SystemTraySD = C:\Programme\SpywareDetector\SDSystemTray.exe
SDAutoLiveupdate = C:\Programme\SpywareDetector\LiveUpdateSD.exe -AUTO

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Power2GoExpress =
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
Skype = "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
swg = C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\AutoCADScriptFile\shell\open\command

(Default) = "C:\WINDOWS\system32\notepad.exe" "%1"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll - {02478D38-C3F9-4EFB-9B51-7695ECA05670}
(no name) - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Skype add-on (mastermind) - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL - {22BF413B-C6D2-4d91-82A9-A0F997BA588C}
BitComet ClickCapture - C:\Programme\BitComet\tools\BitCometBHO_1.1.2.7.dll - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
(no name) - C:\download\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

--------------------------------------------------

Enumerating Task Scheduler jobs:

AppleSoftwareUpdate.job
MP Scheduled Scan.job

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = D:\Programme\Quick Time\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

[BDSCANONLINE Control]
InProcServer32 = C:\WINDOWS\bdoscan8\oscan81.ocx
CODEBASE = http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab

[Symantec RuFSI Utility Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

[F-Secure Online Scanner 3.0]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = http://support.f-secure.com/ols/fscax.cab

[a-squared Scanner]
InProcServer32 = C:\WINDOWS\DOWNLO~1\asquared.ocx
CODEBASE = http://ax.emsisoft.com/asquared.cab

[IP-Uploader Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ImageUploader_3.ocx
CODEBASE = http://asp09.photoprintit.de/microsite/1188/defaults/activex/ImageUploader3.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_46012baf\UPDENGVDFTEST|||i

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
hallo..oje das klingt aber nicht gut..
hier der logfile:

WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 9.333 bytes
Report generated in 0,093 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Bifrose sehe ich noch nicht, allerdings hast Du auch die beiden Haken rechts von dem Knopf "Generate StartupList log" vergessen. Nur dann wird sein typsicher Starteintrag unter "Enumerating Active Setup stub paths:" mit gelistet.

Da Du aber auch schon in einem anderen Forum die Leute beschäftigst, hat sich das hier wohl erübrigt. Dort bist Du mit Informationen deutlich weniger zurückhalten.

ja dachte mir ich versuchs mal in einem anderen forum, da im hijackthisforum nicht wirklich etwas weitergeht..

werde aber jetzt meinen computer neu aufsetzen..

danke trotzdem für die hilfe