|
Plagegeister aller Art und deren Bekämpfung: Bifrost eingefangen :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.04.2009, 21:32 | #1 |
| Bifrost eingefangen :( Hallo Ihr Lieben! Ich habe heute durch zufall entdeckt, dass beim Systemstart ein Programm gestartet wird, dass mir nicht bekannt war. Also hab ich gleich mal gegoogled und n Shock bekomm... C:\Users\Isi\AppData\Roaming\Bifrost\server.exe Ist es der Bifrost Trojaner? Warscheinlich, oder? Und wenn ja, wie bekomm ich den wieder weg? |
15.04.2009, 21:41 | #2 |
| Bifrost eingefangen :(__________________ |
15.04.2009, 21:45 | #3 |
| Bifrost eingefangen :( Logfile of Trend Micro HijackThis v2.0.2
__________________Scan saved at 22:44:49, on 15.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Toshiba\ConfigFree\NDSTray.exe C:\Program Files\Toshiba\Toshiba Online Product Information\TOPI.exe C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Toshiba\HDMICtrlMan\HDMICtrlMan.exe C:\Program Files\Toshiba\Power Saver\TPwrMain.exe C:\Program Files\Toshiba\SmoothView\SmoothView.exe C:\Program Files\Toshiba\FlashCards\TCrdMain.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\SweetIM\Messenger\SweetIM.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\pdf24\PDFBackend.exe C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe C:\Program Files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Windows Mail\WinMail.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\conime.exe C:\PROGRA~1\ICQ6.5\ICQ.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [PDFPrint] "C:\Program Files\pdf24\PDFBackend.exe" O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'Default user') O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing) O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing) O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - E:\SECRET~1\\SECRET~1.EXE (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Program Files\Common Files\AVM\de_serv.exe (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SmartFaceVWatchSrv - Toshiba - C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TempoSVC.exe O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing) O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 9138 bytes |
15.04.2009, 21:46 | #4 |
| Bifrost eingefangen :( ich hoffe, ich hab das jetzt richtig gemacht |
15.04.2009, 21:51 | #5 |
| Bifrost eingefangen :( Fix bitte dieses hier ; R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com Überprüfe dein System mit Malwarebytes 'Antimalware und Poste bitte auch diesen logfile. mfg Nehat86 |
15.04.2009, 22:46 | #6 |
| Bifrost eingefangen :( Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1987 Windows 6.0.6001 Service Pack 1 15.04.2009 23:44:09 mbam-log-2009-04-15 (23-43-40).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 61880 Laufzeit: 2 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Program Files\NetPumper (Adware.NetPumper) -> No action taken. Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
15.04.2009, 22:48 | #7 |
| Bifrost eingefangen :( gefixt und malewarebyte drüber laufen gelassen, und nu? was mach ich jetzt damit? |
16.04.2009, 08:40 | #8 |
| Bifrost eingefangen :( Hi! Ich bin ja auch hier nur Mitglied, aber mit den Bifrost Backdoors solltest du echt aufpassen. Das Programm dient ja als Hintertür und wenn der Client gestartet ist, kann der, der das gemach hat alles auf deinem rechner machen! Es gibt MAKER dafür, die ich auch schon mal getestet hab und mit dem Dingen kannste den rechner komplett versteuern. Löschen, verändern, alles! Ich hab mir mal ne BACKDOOR SHARK draufgezogen....selbe kacke. Musste System neu machen.... Auch wenn du den jetzt wegbekommst, kannste dir nie sicher sein, was da noch so auf deinem rechner drauf ist, was nicht hingehört! Bei BACKDOORS würde ich immer neu aufsetzen..... WARTE ABER BITTE AB, WAS DIR DIE MODS DAZU SCHREIBEN.... Gruss BIOTEC |
27.04.2009, 00:16 | #9 |
| Bifrost eingefangen :(Was mach ich denn nun? |
27.04.2009, 00:22 | #10 |
| Bifrost eingefangen :( Lade dir mal SUPERAntiSpyware und scanne damit dein System. Lese dir die Anleitung gut durch, allerdings kannst du den Scan im abgesicherten Modus auslassen. Logfile dann hier posten. |
27.04.2009, 02:49 | #11 |
| Bifrost eingefangen :( Sooo, hier isser: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 04/27/2009 at 03:35 AM Application Version : 4.26.1000 Core Rules Database Version : 3864 Trace Rules Database Version: 1815 Scan type : Complete Scan Total Scan Time : 01:20:05 Memory items scanned : 792 Memory threats detected : 0 Registry items scanned : 7325 Registry threats detected : 0 File items scanned : 148640 File threats detected : 37 Adware.Tracking Cookie C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.adition[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@zbox.zanox[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@bluestreak[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@overture[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@komtrack[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@zanox[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@tracking.quisma[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ads.heias[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@doubleclick[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@atwola[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.mediasoftwareapps[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@statse.webtrendslive[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@advertising[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@hansenet.122.2o7[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@mediaplex[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ads.pointroll[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.zanox[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@sevenoneintermedia.112.2o7[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@eas.apm.emediate[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adtech[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@2o7[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@serving-sys[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@traffictrack[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adfarm1.adition[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@atdmt[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@oberon-media[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adserver.71i[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.etracker[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@statcounter[2].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@tradedoubler[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.71i[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adopt.euroclick[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@media.funpic[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@webmasterplan[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.yieldmanager[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.zanox-affiliate[1].txt C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@bs.serving-sys[1].txt Beunruhigt mich irgendwie n bissl :/ |
27.04.2009, 07:03 | #12 |
/// Helfer-Team | Bifrost eingefangen :( Wenn du immer noch überlegst, ob du neu aufsetzt oder nicht, dann hilft es dir vielleicht, diese Datei bei Virustotal scannen zu lassen.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
27.04.2009, 12:11 | #13 |
| Bifrost eingefangen :( Bei einem Backdoor-Befall ist neuinstallieren immer die beste Möglichkeit. Ob es die TO dann auch machen wollen, ist eine andere Sache. Technische Kompromittierung Richtig Neuaufsetzen und absichern. mfg, Kaos |
Themen zu Bifrost eingefangen :( |
appdata, bifrost, eingefangen, entdeck, entdeckt, gefangen, gen, gestartet, heute, liebe, lieben, programm, roaming, systems, systemstart, troja, trojaner, users, wieder weg, zufall |