Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bifrose.LA

Bifrose.LA


Log-Analyse und Auswertung: Bifrose.LA

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.04.2007, 22:41   #1
B@uleK
 
Bifrose.LA - Standard

Bifrose.LA


hallo,

hab mir auf ne unbekannte .exe datei geklickt. also, archiv entpackt, doppelklick, in diesem moment sehe ich aus den augenwinckeln, oh shit, das is doch ne exe du volldepp. hatte eigentl mit ner mp3 gerechnet, aber einfach automatisiert draufgeklickt ich weiss, sau dumm, blöder gehts nich

naja, also folgendes: spybot search&destroy findet Bifrose.LA. wenn man google glauben darf, ungefähr das schlimmste was passieren kann
ein schön, fertig eingerichteter backdoor server auf meiner xp installation. spybot erkennt das teil, aber nach jedem neustart, sind die einträge wieder da, d.h. spybot entfernt das teil nicht rcihtig

spybot gibt folgende pfade an:
Code:
ATTFilter
  HKEY_USERS\S-1-5-21-2052111302-1060284298-839522115-1003\Software\Bifrost

Bifrose.LA: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
im hijack log sehe ich eigentl nichts verdächtiges, aber besser jemand der mehr ahnung hat, guck sich den noch mal an:

  • Logfile of HijackThis v1.99.1
    Scan saved at 23:22:42, on 25.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\avmwlanstick\WlanNetService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Raxco\PerfectDisk\PDSched.exe
    C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
    C:\Programme\LClock\LClock.exe
    C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
    C:\Programme\T-DSL SpeedManager\TSMSvc.exe
    C:\DOKUME~1\B@ule\LOKALE~1\Temp\{256974B0-2E04-4E3B-B577-53EB9F79D799}\Blaero Start Orb.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\7-Zip\7zFM.exe
    C:\DOKUME~1\B@ule\LOKALE~1\Temp\7zO4.tmp\HijackThis.exe

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
    O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
    O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
    O4 - HKCU\..\Run: [QIP2005] Y:\Programme\qip\qip.exe
    O4 - Startup: Blaero Start Orb.lnk = C:\Programme\Blaero Start Orb\Blaero Start Orb.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: Freenet 0.7 darknet-8889-8888 (freenet-darknet-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: Freenet 0.7 darknet-8889-8889-8888 (freenet-darknet-8889-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
    O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Unknown owner - C:\WINDOWS\system32\sfrem01.exe (file missing)
    O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe


es gibt aufm board schon nen thread dazu, aber ich glaube die situation ist nicht wirklich vergleichbar.
asquared und adaware finden übrigens nichts, ebenso schlägt avast kein alarm..

jetzt ist die frage, kann ich da noch was retten, oder sollte ich lieber xp neuinstallieren..?

danke für die hilfe!

mfg B@ule

Alt 25.04.2007, 23:02   #2
Mobius07
 
Bifrose.LA - Standard

Bifrose.LA


Zu Deinem Freund:
* Ermöglicht Dritten den Zugriff auf den Computer
* Installiert sich in der Registrierung
Alias
* Backdoor.Win32.Bifrose.aj
* W32/Agent.MJ
* BackDoor-CQA

Könnte ein Rootkit sein:
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll

Also, irgendwas stimmt nicht bei Dir, würde da keine halben Sachen machen, setz neu auf!!!

Gruß Patrick
__________________
Alt 26.04.2007, 13:29   #3
B@uleK
 
Bifrose.LA - Standard

Bifrose.LA


tja.. denke ich auch

meinst du ich sollte auch meine daten partition formatiren? oder ist es mit der system parti getan?

thx, mfg B@ule
__________________
Alt 26.04.2007, 13:41   #4
Rene-gad
 
Bifrose.LA - Standard

Bifrose.LA


@Mobius07
Zitat:
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
Der Eintrag ist i.O.
@B@uleK
Du hättest dir den Thread sparen können http://www.trojaner-board.de/37244-b...end-hilfe.html

Alt 26.04.2007, 14:15   #5
B@uleK
 
Bifrose.LA - Standard

Bifrose.LA


@rene-gad: ja, hab den thread gesehn.. nur hab ich bei mir im log nichts aufälliges gesehn. außerdem habe ich direkt nach der infektion reagiert und windows kaum noch benutzt. in dem anderen thread steht nämlich i-wie auch, das es sinnlos ist, wenn der trojaner schon aktiv war.. ist er das bei mir?

die ashampoo einträge sind i.o., die sind von meiner personal firewall, wie rene-gad schon richtig sagte..

naja, ich werde wohl neu aufsetzten, so ein scheiss! da hat man mal langes wochenende und dann sowas^^

aber um noch mal auf die anderen daten partitionen zurück zukommen. die muss ich aber nicht formatieren oder?

mfg B@ule

Geändert von B@uleK (26.04.2007 um 14:17 Uhr) Grund: .-.

Alt 26.04.2007, 14:35   #6
Rene-gad
 
Bifrose.LA - Standard

Bifrose.LA


Zitat:
Zitat von B@uleK Beitrag anzeigen
aber um noch mal auf die anderen daten partitionen zurück zukommen. die muss ich aber nicht formatieren oder?
Die formatieren musst du erstmal nicht. Aber diese vom frisch aufgesetzten und gepatchten System mit einem aktuellen Antivirus-Scanner überprüfen - schon.
PS: Versuche noch, dem Link AVZ4 in meiner Signatur nachzugehen. Da sind aber die minimalen Englisch-Kenntnisse vorausgesetzt.

Alt 26.04.2007, 17:16   #7
Mobius07
 
Bifrose.LA - Standard

Bifrose.LA


Zitat Rene-gad
"Der Eintrag ist i.O."

Yepp, auch gemerkt. Zu vorschnell. Langsam iss mehr....

Alt 26.04.2007, 19:47   #8
B@uleK
 
Bifrose.LA - Standard

Bifrose.LA


ich hab jetzt ma neu aufgesetzt.. danke für eure ratschläge!

ps: bin jetzt eh hauptsächlich mit ubuntu unterwegs (die neue 7.04 is richtig, RICHTIG gut. , unter ubuntu wäre das nich passiert :P)

mfg B@ule
Geändert von B@uleK (26.04.2007 um 19:48 Uhr) Grund: .

Antwort

Themen zu Bifrose.LA
.exe datei, 1.exe, 7-zip, adobe, antivirus, avast, avast!, backdoor, bho, drivers, einstellungen, excel, firefox, frage, google, helper, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, mp3, server, software, stick, system, temp, träge, unknown file in winsock lsp, windows, windows xp


« iexplore.exe taucht immer wieder auf | Bitte um Auswertung meines Logfiles »


Ähnliche Themen: Bifrose.LA


  1. BDS/bifrose.ejdq
    Log-Analyse und Auswertung - 02.02.2012 (5)
  2. backdoor,win32.bifrose.f
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (16)
  3. bds/bifrose.ejdq
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (2)
  4. Bifrose.Backdoor
    Log-Analyse und Auswertung - 19.01.2011 (11)
  5. Verdacht auf Bifrose
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (15)
  6. BDS/Hupigon./ BDS/Bifrose.bbld
    Plagegeister aller Art und deren Bekämpfung - 18.08.2009 (9)
  7. Bifrose-Befall?
    Log-Analyse und Auswertung - 06.08.2009 (9)
  8. Wie kann man BDS/Bifrose.vmw entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.01.2009 (5)
  9. Backdoor.Bifrose.acs
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (3)
  10. Bifrose.LA - help
    Mülltonne - 30.09.2008 (0)
  11. hilfe bei bifrose.gen und anderen
    Log-Analyse und Auswertung - 24.05.2008 (5)
  12. Bifrose +Startuplog +Hijack
    Log-Analyse und Auswertung - 22.05.2008 (3)
  13. Bifrose
    Plagegeister aller Art und deren Bekämpfung - 04.05.2008 (18)
  14. Backdoor Bifrose
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (6)
  15. *Help* Trojaner gefunden BDS/Bifrose.AAS.8
    Plagegeister aller Art und deren Bekämpfung - 10.09.2007 (2)
  16. Backdoor.Bifrose ?
    Log-Analyse und Auswertung - 21.12.2006 (2)
  17. Prob mit Bifrose
    Plagegeister aller Art und deren Bekämpfung - 14.08.2006 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bifrose.LA - hallo, hab mir auf ne unbekannte .exe datei geklickt. also, archiv entpackt, doppelklick, in diesem moment sehe ich aus den augenwinckeln, oh shit, das is doch ne exe du volldepp. - Bifrose.LA...
Archiv
Du betrachtest: Bifrose.LA auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131