| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor BifroseWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.11.2007, 11:21
| #1 |
| |  Backdoor Bifrose Moinsen zusammen  Ich habe vorhin mal spybot über meinen rechner laufen lassen, weil ich einfach mal nachschauen wollte,was so bei mir auf dem rechner schlummert... aber dann bekam ich nen großen bis übermäßigen schock,weil da dann bifrose kam...  habe dann bei spybot auf probleme beheben geklickt und dann kommt er auch nicht mehr wenn ich spybot über mein sys laufen lasse...ich denke mal ihr wollt das HJT File,dann geb ichs euch (habe auch den ordner aus der zip entpackt und die exe in HJT umbenannt...also ich habe auch mit misc tools das log file generiert und ide 2 haken gesetzt wie in einem anderen thread beschrieben)StartupList report, 24.11.2007, 11:17:36 StartupList version: 1.52.2 Started from : C:\Users\Tim\Downloads\HJT.EXE Detected: Unknown Windows (WinNT 6.00.1904) Detected: Internet Explorer v7.00 (7.00.6000.16546) * Using default options ================================================== Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Java\jre1.6.0\bin\jusched.exe C:\Windows\sttray.exe C:\Windows\System32\ico.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Windows\System32\Pmxmiced.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\ICQ6\ICQ.exe C:\Windows\System32\rundll32.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Windows\System32\mobsync.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\***\Downloads\HJT.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Users\Tim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup] Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe Xfire.lnk = C:\Program Files\Xfire\xfire.exe Shell folders Common Startup: [C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup] Adobe Acrobat - Schnellstart.lnk = ? Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe BTTray.lnk = ? Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\Windows\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SynTPEnh = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe SunJavaUpdateSched = "c:\Program Files\Java\jre1.6.0\bin\jusched.exe" SigmatelSysTrayApp = sttray.exe PMX Daemon = ICO.EXE ISUSScheduler = "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start ISUSPM Startup = C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup AVMWlanClient = C:\Program Files\avmwlanstick\FRITZWLANMini.exe NeroFilterCheck = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe GrooveMonitor = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" Acrobat Assistant 8.0 = "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" (Default) = PinnacleDriverCheck = C:\Windows\system32\\PSDrvCheck.exe WMUAgent.exe = C:\Program Files\WakeMeUp\WMUAgent.exe TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot LogitechCommunicationsManager = "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" LogitechQuickCamRibbon = "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" QuickTime Task = "C:\Program Files\QuickTime\QTTask.exe" -atboottime iTunesHelper = "C:\Program Files\iTunes\iTunesHelper.exe" avgnt = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min NvSvc = RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart NvCplDaemon = RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup NvMediaCenter = RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit NVHotkey = rundll32.exe C:\Windows\system32\nvHotkey.dll,Start -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Sidebar = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" ICQ = "C:\Program Files\ICQ6\ICQ.exe" silent WMUTray.exe = C:\Program Files\WakeMeUp\WMUTray.exe {9B71D88C-C598-4935-C5D1-43AA4DB90836} = C:\Users\Tim\AppData\Roaming\svchost.exe Comrade.exe = C:\Program Files\GameSpy\Comrade\Comrade.exe SpybotSD TeaTimer = C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Shell & screensaver key from C:\Windows\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=C:\Windows\system32\Bubbles.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} NCO 2.0 IE BHO - (no file) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} (no name) - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} (no name) - c:\Program Files\Java\jre1.6.0\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (no name) - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910} Browser Address Error Redirector - C:\Program Files\BAE\BAE.dll - {CA6319C0-31B7-401E-A518-A07C3DB8F777} -------------------------------------------------- Enumerating Task Scheduler jobs: User_Feed_Synchronization-{A8CB62AF-39F5-4CCF-8454-254E5FE9C6A4}.job -------------------------------------------------- Enumerating Download Program Files: [{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}] CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\Windows\system32\NLAapi.dll NameSpace #4: C:\Windows\system32\napinsp.dll NameSpace #5: C:\Windows\system32\pnrpnsp.dll NameSpace #6: C:\Windows\system32\pnrpnsp.dll NameSpace #7: C:\Windows\system32\wshbth.dll -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\Windows\system32\webcheck.dll -------------------------------------------------- End of report, 8.123 bytes Report generated in 0,281 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only so,hoffe dann das mir jemand helfen kann, also ob man aus dem log file lesen kann ob die backdoor noch drauf ist.achso:wenn jemand sagt ich soll vista neuinstallieren, dann wers super wenn ich ne anleitung bekommen würde, weil ich mich da alleine nicht ganz dran traue...^^achso:was ist mit meinen pw's etc.,muss ich die ändern,also könnten die schon übermittelt worden sein?ich mache auch online banking, da sollte ich die pw's schleunigst ändern,oder?halt von einem anderen pc aus... Mfg Tim |
| Themen zu Backdoor Bifrose |
| acroiehelper.dll, adobe, antivir, avg, avira, backdoor, backdoor bifrose, bho, browser, defender, error, exe, explorer, firefox, helfen, internet, internet explorer, log file, mozilla, mozilla firefox, programdata, registry, registry key, registry value, rundll, saver, screensaver, software, start menu, stick, super, symantec, system, ups, userinit.exe, vista, windows, windows defender, windows sidebar, ändern |
Baum-Darstellung