![]() |
|
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Bifrose.aej aufspürbar ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? Hallo Leute Habe die gleiche Meldung von WOW bekommen dass ich Bifrose drauf hab wie die leute hier in dem Thread Ich wollte mal nachfragen, ob es möglich ist, dass man damit noch andere Sachen auf den Rechner holt (die nicht bloß WOW loggen) oder wie das gemacht wird also ob man da einfach irgendwie gezielt nach wowlern über irgendwelche scans suchen kann bzw ob man jmd kennen muss der wow spielt und dem dann gezielt den virus raufmachen muss. Außerdem würde ich gerne wissen ob wie im Blizzard-Support gelesen jetzt ein fremder Admin kontrolle über mein system hat ... und dann natürlich WER ? kann man das rausbekommen ? Den Rechner mach ich gerne noch einmal neu ... hatte schon länger Probleme mit WOW (Abschalten nach 10 - 30 min oder auch mal 100 min, also sehr unterschiedlich, kann es sein, dass das am Virus liegt?) und bin also darauf schon vorbereitet. Des weiteren interessiert mich wie ich mich am besten gegen neuen Befall schütze. Hatte bisher Avast WindowsFW und Spybot am laufen scheint ja nich soo der Bringer zu sein. danke fürs lesen schonmal Bobby1 |
![]() | #2 | |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? Hallo Booby.
__________________Als erstes: Ganz wichtig ist zunächst, dass du deinen Rechner neuaufsetzt!! Der Bifrost Server hat Upload-Funktion wodurch durchaus andere Sachen nachgeladen werden können die ganz unterschiedliche Funktionen erfüllen können. Jenachdem wonach der Remote Admin Ausschau hält. Wie der Bifrost Server auf deinen Rechner gekommen ist? Ganz einfach: Indem du ihn installiert hast. Davor kann dich kein AV Programm schützen. Keygens, Cracks, Trainer oder sonstige Dateien aus nicht vertrauenswürdigen Quellen behinhalten extrem häufig solche Schadprogramme! Und nur weil virustotal nicht anspringt und nichts auffälliges am PC passiert heisst das nicht, dass man nicht infiziert wäre.. Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ |
![]() | #3 |
| ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? vielen dank für die mühe die du dir gemacht hast undoreal.
__________________Habe das Problem, dass wenn ich die mbr.exe öffne nur kurz die Eingabeaufforderung aufgeht aber kein wirklicher Log stehen bleibt. Kann nichtmal lesen was drin steht. Heisst das jetzt, dass nix gefunden wird oder heisst das, dass der Virus nicht will dass ich ihn runter schmeiße ? weiterhin würde ich sonst gerne noch wissen ob es möglich ist den angreifer irgendwie zu identifizieren, ich denke mal wenn da jmd von außerhalb Zugriff auf meinen Rechner hat, müsste der doch eine IP oder irgendwas hinterlassen. Außerdem noch ob es sein kann, dass die in letzter Zeit gehäuften Abstürze in WOW an dem Virus liegen könnten. (anti-wow-skript-packet ? vlt sonst ne neue geschäftsidee ^^) Das ding is, dass ich mir vorstellen könnte, wer Lust haben könnte mich mal zu hacken deswegen frage ich mich ob da jmd schon seit längerem mit Absicht meinen Rechner ausspioniert und mitlerweile jetzt halt dann diesen bifrose nachgeholt hat. Kann mich erinnern dass mein mein Avast zum ersten mal bei der installation meiner Mainboard-Treiber-CD (genauer beim Soundtreiber) angeschlagen hat. Kann es sein dass der Virus auf der CD ist ? Oder spricht das eher auch für ein MBR-festen Virus ? edit:hab grad gesehen dass mbr.exe doch nen log ausgegeben hat. Ist dann wohl soweit alles sauber: Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Geändert von Bobby1 (06.09.2008 um 08:21 Uhr) |
![]() | #4 |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? Gut, MBR ist sauber. Dann kannst du weitermachen. Die IP wird dir nichts bringen da die über anonyme Static-IP Anbieter generiert werden.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
![]() | #5 |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? Hi, mbr.exe legt normalerweise auch eine Logdatei ab. Im selben Verzeichnis, wo die mbr.exe liegt mit dem Namen mbr.log. Oder Du öffnest vorher eine Konsole (Eingabeaufforderung, cmd.exe) und führst sie von dort aus dann aus, dann bleibt die Anzeige sichtbar, weil das Fenster nicht sofort wieder schließt. Zumindest eine IP könnte man ermitteln, schließlich muss das Programm ja eine Verbindung aufbauen. Zu der IP dann aber ermitteln, wem sie gehört, kann unsereins nicht, dass können nur offizielle Ermittler. die können beim Provider anfragen "wer hatte am soundsovielten um soundsoviel Uhr diese IP?". Ich nehme aber mal an, dass du nicht vorhast, eine Strafanzeige zu erstatten. Dann stünde dein Rechner nämlich lange Zeit als Beweismaterial bei der Behörde und wer weiß was die sich sonst noch so alles anschauen. Es wäre dennoch fraglich, ob dabei was rauskäme, wenn z.B. die IP ein anonymer Proxy irgendwo auf der anderen Seite der Welt ist, dann war es das. Wenn dir daran gelegen ist, die IP zu ermitteln, dann müsstest Du schon den Server sichern bevor Du neu aufsetzt, die wenige Information, die auf deinem System verfügbar ist, steckt in ihm. Üblicherweise findet man die relativ einfach, Hijackthis taugt allerdings nichts. Silentrunners oder Autoruns aber zeigen die Startstellen, die da genutzt werden an. wenn Du ein entsprechendes Log postest, wäre es eine Kleinigkeit, das anzuschauen und (wenn vorhanden) auf den Server zu zeigen. Das sind aber alles Sachen, die es hinausschieben, dass Du wieder einen sauberen und vertrauenswürdigen Computer hast. Die originale Treiber-CD deines Mainboards halte ich für harmlos, da hat Avast vermutlich eher einen Fehlalarm hingelegt. Gruß, Karl |
![]() | #6 |
| ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IMJPMIG8.1" = "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" [MS] "PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS] "PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS] "avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"] "DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"] "StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."] "SysTrayApp" = "C:\Programme\IDT\WDM\sttray.exe" HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ {92D55DCB-A8CC-66E8-CC45-115CFEB4E078}\(Default) = (no title provided) \StubPath = "C:\Programme\win32Gl\svchost.exe s" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] "{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar" -> {HKCU...CLSID} = "Windows Search-Deskbar" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS] -> {HKLM...CLSID} = "Windows Search Deskbar" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS] "{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search" -> {HKLM...CLSID} = "Windows Desktop Search" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS] "{0563DB41-F538-4B37-A92D-4659049B7766}" = "WLMD Message Handler" -> {HKLM...CLSID} = "CLSID_WLMCMimeFilter" \InProcServer32\(Default) = "C:\Programme\Windows Live\Mail\mailcomm.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided) -> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\ <<!>> ("msapsspc.dll schannel.dll digest.dll msnsspc.dll" [MS]) "SecurityProviders" = "msapsspc.dll schannel.dll digest.dll msnsspc.dll" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] Default executables: -------------------- HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile" <<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ MSWPDShellNamespaceHandler\ "Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501" "CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}" "InitCmdLine" = " " -> {HKLM...CLSID} = "WPDShextAutoplay" \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS] VLCPlayCDAudioOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.CDAudio" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"] VLCPlayDVDMovieOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.DVDMovie" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"] Startup items in "Bobby" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Service Manager" -> shortcut to: "C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe /n" [MS] "Windows Search" -> shortcut to: "C:\Programme\Windows Desktop Search\WindowsSearch.exe /startup" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe /schedulestart" [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\ "ButtonText" = "In Blog veröffentlichen" "MenuText" = "In Windows Live Writer in &Blog veröffentlichen" "CLSIDExtension" = "{5F7B1267-94A9-47F5-98DB-E99415F33AEC}" -> {HKLM...CLSID} = "BlogThisToolbarButton Class" \InProcServer32\(Default) = "C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll" [MS] {85D1F590-48F4-11D9-9669-0800200C9A66}\ "MenuText" = "Uninstall BitDefender Online Scanner v8" "Exec" = "%windir%\bdoscandel.exe" [null data] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Audio Service, STacSV, "c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe" ["IDT, Inc."] avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"] avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"] avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"] avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"] Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\Windows Live\Messenger\usnsvc.exe"" [MS] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Windows Search, WSearch, "C:\WINDOWS\system32\SearchIndexer.exe /Embedding" [MS] ---------- (launch time: 2008-09-06 10:02:23) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 46 seconds, including 18 seconds for message boxes) Ich würde schon gerne mal probieren nen Provider rauszu bekommen weil den kann man doch anhand der IP sehen oder ? damit könnte man evtl Verdachtsmomente ausräumen bzw bestätigen. Klar mit anonymen Proxy is dann schwierig aber vlt ist der jenige ja blöd genug. Geändert von Bobby1 (06.09.2008 um 09:15 Uhr) |
![]() | #7 |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() Backdoor.Win32.Bifrose.aej aufspürbar ? Typische Stelle, da ist er: Code:
ATTFilter C:\Programme\win32Gl\svchost.exe |
![]() |
Themen zu Backdoor.Win32.Bifrose.aej aufspürbar ? |
abschalten, admin, avast, befall, beste, besten, bifrose, einfach, länger, meldung, nachfrage, natürlich, neu, neue, neuen, probleme, rechner, sache, sachen, spiel, spybot, suche, system, thread, unterschiedlich, virus |