Hallo,

ich bin neu hier und richtig froh, dass es solche Projekte wie das Trojaner-Board gibt. Hoffentlich helft ihr auch einem - naja, ich sag mal, so wie ich mich verhalten hab ... Vollidioten. ^^

Ich weiß selber, dass es schwachsinnig ist, solche Programme wie BiFrost und beigelegte Crypter zu öffnen, um das mit den Trojanern zu testen. Aber die Verlockung war damals einfach zu groß.
Ja, jedenfalls hab ich mich selber an solche Trojaner-Baukästen mit beigelegten "nützlichen" Programmen versucht. Keine Angst, im Netz habe ich keine Trojaner verbreitet.

Aber: Ich glaube meine "Baukästen" waren nicht ganz clean. Viele Programme (damit meine ich auch normale Crypt-Programme) wurden immer von Avira Antivir gemeldet, aber ich habs ignoriert.

Nun meine Vermutung:

So, mittlerweile läuft mein PC irgendwie langsamer. Um konkreter zu werden, er ist in gewissen Situationen lang am Arbeiten (aber nur manchmal), das Hochfahren ging auch mal schneller (oder kommt das von der SP2-Installation?).

Ich hab mich wohl an einen der Baukästen infiziert, glaube ich.

Könnt ihr mir BITTE helfen? Ich verspreche euch schonmal - ich werde nicht nochmal so einen S*heiß machen!
(bedenkt: wenigstens bin ich ehrlich :/ )

Mein System und Logs:

System: XP Professionnal SP2 (wobei ich SP1 hatte, als ich mit den Baukästen rumgespielt habe)
Antivirus: Avira Antivir PE, Spybot S&D
Browser: Mozilla Firefox


Erst habe ich den Netstat -a überprüft.

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Ena>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    endrju:epmap           endrju:0               ABHÖREN
  TCP    endrju:microsoft-ds    endrju:0               ABHÖREN
  TCP    endrju:netbios-ssn     endrju:0               ABHÖREN
  TCP    endrju:1028            endrju:0               ABHÖREN
  TCP    endrju:1034            localhost:1035         HERGESTELLT
  TCP    endrju:1035            localhost:1034         HERGESTELLT
  TCP    endrju:1037            localhost:1038         HERGESTELLT
  TCP    endrju:1038            localhost:1037         HERGESTELLT
  TCP    endrju:netbios-ssn     endrju:0               ABHÖREN
  UDP    endrju:microsoft-ds    *:*
  UDP    endrju:isakmp          *:*
  UDP    endrju:1032            *:*
  UDP    endrju:1066            *:*
  UDP    endrju:1168            *:*
  UDP    endrju:1169            *:*
  UDP    endrju:1711            *:*
  UDP    endrju:1715            *:*
  UDP    endrju:4500            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:netbios-ns      *:*
  UDP    endrju:netbios-dgm     *:*
  UDP    endrju:1900            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:1713            *:*
  UDP    endrju:1900            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:netbios-ns      *:*
  UDP    endrju:netbios-dgm     *:*
  UDP    endrju:1900            *:*
         

Dann, natürlich, ein HJT-LOG


Logfile of HijackThis v1.99.1
Scan saved at 15:49:02, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\WinTV\Ir.exe
D:\Crap\Mouse o'Meter\mom.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
D:\Spiele\Steam\Steam.exe
D:\FILEZ\hijackthis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - Startup: Mouse o Meter.lnk = D:\Crap\Mouse o'Meter\mom.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1198608344421
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe





Danke allen, die sich bis hierhin die Mühe gemacht haben. Ich weiß, etwas lang der Post. ^^
Und nochmal Entschuldigung wegen des Herumspielens. Wie gesagt, ich lasse in Zukunft die Finger davon.

mfg

1. SP1 + diese Baukästen = Auweia, das ist dir wenigstens klar
2. Was war das für ein "Baukasten"? Ich habe zB in Computergeschäften solche Packs gesehen, oder war das irgendwas von einer "pöhsen" Seite?
3. Was hatte AntiVir damals in dem Baukasten gemeldet? Bitte so genau wie es geht, am besten im Log gucken oder so
4. Woher weißt du von der Bifrose-Infektion? Hat AntiVir was gemeldet?
5. In deinem Log sehe ich nicht "Bifröslicheches"
6. Herumspielen ist ja Okay, das machen auch die Leute von den AV-Firmen, aber da sichert man sich ab...

Zitat:

Zitat von -SkY-

1. SP1 + diese Baukästen = Auweia, das ist dir wenigstens klar

aua :s

Zitat:

2. Was war das für ein "Baukasten"? Ich habe zB in Computergeschäften solche Packs gesehen, oder war das irgendwas von einer "pöhsen" Seite?

Ein Freund brannte mir einige Packs von pöhsen Seiten auf CD.
Waren zwei verschiedene .rar-Archive mit jeweils einem Video-Tutorial.

Zitat:

3. Was hatte AntiVir damals in dem Baukasten gemeldet? Bitte so genau wie es geht, am besten im Log gucken oder so

Puh, ich schau mal nach.

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\Bifrost.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.adr.4' [BDS/Bifrose.adr.4] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\turkojaneng3\Client.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Cakl.A.26' [BDS/Cakl.A.26] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\turkojaneng3\plugin\plugin.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XDR.Gen' [TR/Crypt.XDR.Gen] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\Themida V1.8.0.0 demo - CRACKED\Themida.demo.V1.8.0.0.CracKed.By.fly.eXe'
wurde ein Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted' [HIDDENEXT/Crypted] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\Themida V1.8.0.0 demo - CRACKED\Themida.demo.V1.8.0.0.CracKed.By.fly.eXe'
wurde ein Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted' [HIDDENEXT/Crypted] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\WINDOWS\System32\win32GL\svchost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.bcn.34' [TR/Agent.bcn.34] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\System Volume Information\_restore{2D23271C-DE73-42DF-AFE5-6D08C46DA279}\RP37\A0014196.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.Gen' [BDS/Bifrose.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         

Zitat:

4. Woher weißt du von der Bifrose-Infektion? Hat AntiVir was gemeldet?

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\System Volume Information\_restore{2D23271C-DE73-42DF-AFE5-6D08C46DA279}\RP37\A0014196.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.Gen' [BDS/Bifrose.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         

Zitat:

6. Herumspielen ist ja Okay, das machen auch die Leute von den AV-Firmen, aber da sichert man sich ab...

Jo sry ...

hoffentlich hilft das ...

*hop*

antwortet noch wer? ich glaub immernoch, hier ist was nich ganz geheuer.jedes mal, wenn mein pc in den screensaver bzw ruhemodus geht, kommt ne virenmeldung ... halt dieses trojan agent/bifrose/steam ...

Naja, was soll man antworten? Ein mit einer Backdoor infizierter Rechner gehört grundsätzlich neu aufgesetzt (und bis dahin vom Netz getrennt); dass du die Infektion selbst herbeigeführt hast, macht es nicht besser - und dein Problem nicht weniger schwerwiegend.

Ich hoffe, du betreibst mit dem Rechner keine sicherheitsrelevanten Anwendungen, Online-Banking z. B., das solltest du nämlich bis auf Weiteres lassen, und nach dem Neuaufsetzen alle diesbezüglichen Passwörter usw. ändern. Tut mir leid, aber mehr gibt es zu dem Thema m. E. nicht zu sagen.

ich vermute mal, Du hast Bifrost getestet, Dir mal einen Server gemacht und den gestartet. der wird auf Deinem PC noch laufen, weil Du ihn nicht entfernt hast.

Wenn dem nicht so ist, bist Du wohl von jemand anderem infiziert.

Das die bifrost.exe von AV-Tools bemängelt wird ist vollkommen normal und vollkommen unwichtig. Diese Datei ist nicht infiziert, wenn sie aus vertrauenswürdiger Quelle kommt. Das kann natürlich bei Deiner Datei, die Dein Freund irgendwo her hat, ganz anders sein, dann könnte es berechtigt sein.

Bei Themida ist vielleicht ein Keygen bei? der könnte auch infiziert sein.

aber wie sagt man so schön: no risk, no fun