| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Bifrose.aej ich finde ihn nicht!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
26.06.2007, 22:19
| #1 |
| |  Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Beim starten von World of Warcraft BC kommt die Warnung, das ich mir den Backdoor.Win32.Bifrose.aej eingefangen habe und ihn beseiteigen soll. Antivir findet nichts. Spyhunter findet nichts. House Call findet nichts. fixwareout findet auch nichts. über http://www.hijackthis.de/de#anl konnte ich ein eintrag finden der von einem Trojaner gemacht wurde und sich als Winamp getarnt hat. Aber der Backdoor.Win32.Bifrose.aej ist immer noch irgendwo ich weis nur leider nicht wo, kann mir jemand helfen? Ps. hab auch schon im wow forum nachgesehen. Logfile of HijackThis v1.99.1 Scan saved at 23:08:03, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Razer\Diamondback\razerhid.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\xampp\filezillaftp\filezillaserver.exe C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Razer\Diamondback\razertra.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Razer\Diamondback\razerofa.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Dokumente und Einstellungen\Sven Reimer\Desktop\HijackThis.exe C:\Programme\Winamp\winamp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe Der scann ist direkt nach dem Neustart vom PC. |
|
26.06.2007, 22:53
| #2 |
  |  Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Also, Dein Log sieht sauber aus, soll aber nichts heissen!
__________________Spyhunter zum scannen benutzen? Halt von dem Prog nicht viel, saug Dir mal lieber Spybot herunter und schmeiss den Spyhunter runter. Die Seite von Spybot-S&D! Bei einem Backdoor-Befall sollte man prinzipiell neu aufsetzen, aber leider hast Du den genauen Pfad des Fundes nicht angegegeben. Wenn Winamp angemekkert wurde, solltest Du diese Datei bei Virustotal überprüfen lassen: C:\Programme\Winamp\winamp.exe VIRUSTOTAL - Free Online Virus and Malware Scan Weisst Du den genauen Pfad überhaupt nicht mehr, mache einen e-scan nach folgender Anweisung: http://www.trojaner-board.de/38066-e...ightymarc.html |
|
27.06.2007, 04:21
| #3 |
| /// Helfer-Team   | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hi,
__________________Bifrose ist ein Problem für die meisten Virenscanner, jedes neue Exemplar wird sorgfältig so gebaut, dass es kaum erkannt wird. Der typische Starteintrag ist im HijackThis nicht zu sehen, wie Hijackthis überhaupt verdammt viel auslässt. Nach bisheriger Erfahrung sollte ein Blick auf dieses Log ihn aber zeigen: Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Log findest Du danach auf dem Desktop. Dessen Inhalt posten. Gruß, Karl |
|
05.07.2007, 17:29
| #4 |
| |  Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hi Leute, ich spiele world of warcraft und auf einmal beim start des spiels kam eine meldung: Achtung:Backdoor.Win32.Bifrose.aej wurde auf ihrem pc entdeckt. Ausführen des spiels kann den PC gefährden...... u.s.w. Jetzt bin ich über Google auf dieses Forum gekommen... Ich habe den scan von SilentRunners laufen lassen Hier die Log "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."] "ISUSPM" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler" ["Macrovision Corporation"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {3DFA479F-113B-ADB0-B6D1-5397B4E2FAFF}\(Default) = (no title provided) \StubPath = "C:\WINDOWS\system32\usvr\usvr32.exe s" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll" ["Google Inc."] {f015f320-ab08-11db-abbd-0800200c9a66}\(Default) = (no title provided) -> {HKLM...CLSID} = "WeeklyExecuter Class" \InProcServer32\(Default) = "C:\WINDOWS\inetloader.dll" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Startup items in "Robin" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\Robin\Startmenü\Programme\Autostart "RollerCoaster Tycoon 3_ Wild Registration" -> shortcut to: "C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Temp\{C3B1A2C6-0D7E-4EF7-8BD2-77BE9BE9D41C}\{45653847-497F-47BB-A878-46FBDE34A3E0}\ATR1.exe /remind /language=DEU /PRNM="RollerCoaster Tycoon 3: Wild" /PRMP="RCTW" /SKUN="PCXX" /GTYP="SIMU"" [file not found] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart "Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 263 seconds. ---------- (total run time: 304 seconds) Würde mich über Hilfe sehr freuen  |
|
05.07.2007, 17:39
| #5 |
| Administrator > Competence Manager  | Backdoor.Win32.Bifrose.aej ich finde ihn nicht!Hallo und  im Trojaner Board!Also nach Durchsicht deines Logfiles von Silentrunners kann ich dir eigentlich nur mitteilen das ich Bifrose nicht gefunden habe. Weder die MSMSSGS.EXE, noch die Registry-Einträge sowie die Dropper-Hauptkomponente..  Es kann sein das dein Antiviren-Programm durch die heuristische Erkennung durch WoW gestört ist, also eine false-positiv Meldung. Denn WoW baut ja eine Online-Verbindung auf, vielleicht sind da einige Merkmale zu erkennen welche auch der Bifrose-Trojaner mitsich bringt.  Mach nochmal folgendes: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß  Sunny EDIT: Ja ja irrlicht, du solltest doch am Schreibkurs teilnehmen...(oder Doppelherz trinken... *duckundweg)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
05.07.2007, 17:39
| #6 | |
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hallo, Zitat:
Mit Nennung desjenigen ,der sie ausgibt. Kopiere sie der Einfachheit halber hier rein... Anmerkung : Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ? Oder würdest du rot werden und zu stammeln anfangen ? Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten. Irrlicht Edit. Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...  Geändert von irrlicht (05.07.2007 um 18:06 Uhr) |
|
05.07.2007, 17:58
| #7 |
| /// Helfer-Team | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hi, die beiden Dateien sind verdächtig: C:\WINDOWS\system32\usvr\usvr32.exe C:\WINDOWS\inetloader.dll Bei der ersten besteht Bifroseverdacht. Dateien bei VirusTotal scannen lassen und Ergebnisse komplett (inklusive Größe, MD5, ...) hierher kopieren. Gruß, Karl |
|
06.07.2007, 13:14
| #8 | |
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht!Zitat:
Das Spiel is Orginal aus dem Mediamarkt Rosenheim Rechnung hab ich hier des bei virustotal hat folgendes ergeben: C:\WINDOWS\system32\usvr\usvr32.exe: AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.14336.CD AntiVir 7.4.0.39 07.06.2007 no virus found Authentium 4.93.8 07.06.2007 no virus found Avast 4.7.997.0 07.06.2007 no virus found AVG 7.5.0.476 07.06.2007 BackDoor.Generic7.YE BitDefender 7.2 07.06.2007 Trojan.Dropper.Delf.Undet.B CAT-QuickHeal 9.00 07.06.2007 no virus found ClamAV devel-20070416 07.06.2007 no virus found DrWeb 4.33 07.06.2007 BackDoor.Bifrost.79 eSafe 7.0.15.0 07.05.2007 no virus found eTrust-Vet 30.8.3767 07.06.2007 no virus found Ewido 4.0 07.06.2007 Backdoor.Spy FileAdvisor 1 07.06.2007 no virus found Fortinet 2.91.0.0 07.06.2007 BDoor.CEP!tr.bdr F-Prot 4.3.2.48 07.06.2007 no virus found F-Secure 6.70.13260.0 07.06.2007 no virus found Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Small.js Kaspersky 4.0.2.24 07.06.2007 no virus found McAfee 5068 07.05.2007 BackDoor-CEP.svr Microsoft 1.2704 07.06.2007 no virus found NOD32v2 2382 07.06.2007 no virus found Norman 5.80.02 07.06.2007 no virus found Panda 9.0.0.4 07.06.2007 no virus found Sophos 4.19.0 07.06.2007 no virus found Sunbelt 2.2.907.0 07.06.2007 no virus found Symantec 10 07.06.2007 no virus found TheHacker 6.1.6.143 07.05.2007 no virus found VBA32 3.12.0.2 07.06.2007 no virus found VirusBuster 4.3.23:9 07.05.2007 no virus found Webwasher-Gateway 6.0.1 07.06.2007 no virus found und C:\WINDOWS\inetloader.dll: muss 20 mins warten  poste später aber des erste ??? schaut ja ned so gut aus.... was machen?? |
|
05.07.2007, 18:01
| #9 | |
| /// Helfer-Team | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hallo, bitte geh zu Virustotal (www.virustotal.com) und gib in das Eingabfeld oben rechts auf der Seite nacheinander die folgenden Pfade ein: Zitat:
ups... KarlKarl war schneller.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
22.07.2007, 20:32
| #10 | ||
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! hi, auch ich hab dieses backdoor programm >.< (auch von wow gefunden worden, und ja, mein wow ist original^^) Zitat:
Zitat:
|
|
22.07.2007, 20:44
| #11 | |
| /// Helfer-Team | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hi, wird wohl doch eine Neuinstallation fällig werde, jedenfalls wenn Du kein Risiko eingehen willst, dass dir dein WoW-Account geklaut wird. Deshalb prüft das Speil darauf und ist bei diesen speziellen Backdoorservern wesentlich besser als alle Virenscanner in der Erkennung. Hier ist er: Zitat:
Gruß, Karl |
|
22.07.2007, 20:50
| #12 | |
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! doof... und kann überhaupt was passiern wenn ich hinter nem router mit firewall sitze? tante edith sagt: Zitat:
Geändert von Mr. Ql (22.07.2007 um 20:59 Uhr) |
|
23.11.2007, 19:17
| #13 |
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Hallloooooo.... und zwar, ich hab auch das selbe problem, [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA  [/edit] |
|
15.12.2007, 13:20
| #14 |
| | Backdoor.Win32.Bifrose.aej ich finde ihn nicht! hey habe probleme mit wow [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
|
| Themen zu Backdoor.Win32.Bifrose.aej ich finde ihn nicht! |
| adobe, avira, beim starten, bho, desktop, dll, drivers, einstellungen, enigma, explorer, helfen, internet, internet explorer, launch, microsoft, mysql server, neustart, nvidia, pdf, programme, rundll, software, starten, system, teamspeak, trojaner, usb, warnung, windows, windows xp |
Hybrid-Darstellung
