Hallo alle miteinander ich habe seit einiger Zeit den Verdacht das ich mir einen Trojaner namens bifrost eingefangen habe!
Hier mein System:
Windows XP
SP 3 (alle updates)
3ghz prozessor
3gb ram
Ich habe schon im abgesicherten Modus Malwarebytes
Anti-Malware durchlaufen lassen mit Folgenden Ergebnis:
Zitat:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2525
Windows 5.1.2600 Service Pack 3
29.07.2009 19:39:24
mbam-log-2009-07-29 (19-39-24).txt
Scan-Methode: Vollständiger Scan (I:\|)
Durchsuchte Objekte: 411801
Laufzeit: 4 hour(s), 45 minute(s), 52 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Backdoor.Bifrose) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
I:\Dokumente und Einstellungen\Black Flame\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
|
Zusätzlich habe ich auch Norton Internet Security 2009 durchlaufen lassen da waren aber keine Funde dabei!!
Doch Norton zeigt mir immer diese Meldung seit neuen an und das alle paar Sekunden:
Zudem habe ich hier noch einen TCPview Log::
Zitat:
svchost.exe:1148 UDP bie:1032 *:*
firefox.exe:3148 TCP bie:1038 localhost:1039 ESTABLISHED
firefox.exe:3148 TCP bie:1039 localhost:1038 ESTABLISHED
ccSvcHst.exe:3596 TCP bie:1040 bie:0 LISTENING
firefox.exe:3148 TCP bie:1042 fritz.fonwlan.box:49000 ESTABLISHED
jusched.exe:1000 TCP bie:1046 static-ip-62-41.eurorings.net:http CLOSE_WAIT
firefox.exe:3148 TCP bie:1048 localhost:1049 ESTABLISHED
firefox.exe:3148 TCP bie:1049 localhost:1048 ESTABLISHED
[System Process]:0 TCP bie:1105 208.94.2.115:http TIME_WAIT
TnglCtrl.exe:2952 TCP bie:11143 bie:0 LISTENING
[System Process]:0 TCP bie:1115 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1117 208.94.2.98:http TIME_WAIT
[System Process]:0 TCP bie:1119 66.211.169.2:https TIME_WAIT
[System Process]:0 TCP bie:1120 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1121 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1123 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1124 ocsp.nyc3.verisign.com:http TIME_WAIT
[System Process]:0 TCP bie:1125 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1126 ocsp.nyc3.verisign.com:http TIME_WAIT
[System Process]:0 TCP bie:1127 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1128 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1129 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1130 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1131 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1141 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1145 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1146 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1159 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1160 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1161 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1162 208.94.2.110:http TIME_WAIT
firefox.exe:3148 TCP bie:1169 bw-in-f95.google.com:http ESTABLISHED
[System Process]:0 TCP bie:1170 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1180 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1182 ratings-wrs.symantec.com:http TIME_WAIT
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 TCP bie:2869 bie:0 LISTENING
StarWindServiceAE.exe:2724 TCP bie:3260 bie:0 LISTENING
StarWindServiceAE.exe:2724 TCP bie:3261 bie:0 LISTENING
lsass.exe:1636 UDP bie:4500 *:*
jqs.exe:1216 TCP bie:5152 bie:0 LISTENING
jqs.exe:1216 TCP bie:5152 bie:0 LISTENING
svchost.exe:1968 TCP bie:epmap bie:0 LISTENING
lsass.exe:1636 UDP bie:isakmp *:*
System:4 TCP bie:microsoft-ds bie:0 LISTENING
System:4 UDP bie:microsoft-ds *:*
System:4 UDP bie:netbios-dgm *:*
System:4 UDP bie:netbios-dgm *:*
System:4 UDP bie:netbios-ns *:*
System:4 UDP bie:netbios-ns *:*
System:4 TCP bie:netbios-ssn bie:0 LISTENING
System:4 TCP bie:netbios-ssn bie:0 LISTENING
|
und hier der Hijack log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:39, on 01.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
I:\WINXP\System32\smss.exe
I:\WINXP\system32\csrss.exe
I:\WINXP\system32\winlogon.exe
I:\WINXP\system32\services.exe
I:\WINXP\system32\lsass.exe
I:\WINXP\system32\Ati2evxx.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\System32\svchost.exe
I:\WINXP\system32\Ati2evxx.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\spoolsv.exe
I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
I:\WINXP\Explorer.EXE
I:\Programme\Java\jre6\bin\jusched.exe
I:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
I:\Programme\SuperCopier2\SuperCopier2.exe
I:\WINXP\system32\ctfmon.exe
I:\Programme\Launchy\Launchy.exe
I:\WINXP\system32\svchost.exe
I:\Programme\Google\Update\GoogleUpdate.exe
I:\Programme\Java\jre6\bin\jqs.exe
I:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
I:\Programme\Olivetti\ANY_WAY\olMntrService.exe
I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
I:\WINXP\system32\svchost.exe
I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
I:\Programme\Tunngle\TnglCtrl.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
I:\WINXP\System32\svchost.exe
I:\Dokumente und Einstellungen\Black Flame\Desktop\TcpView\Tcpview.exe
I:\WINXP\system32\wbem\wmiprvse.exe
I:\Programme\Windows NT\Zubehör\WORDPAD.EXE
I:\Programme\Trend Micro\HijackThis\HijackThis.exe
I:\WINXP\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://file://file://file://file://I:/Dokumente und Einstellungen/Black Flame/Eigene Dateien/ws.js
F2 - REG:system.ini: UserInit=I:\WINXP\system32\userinit.exe
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - I:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Videoraptor_WebRipPlugin Class - {3C0372C2-04C3-4100-BAB1-1D42C552BC48} - I:\Programme\AudialsOne\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - I:\Programme\AudialsOne\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - I:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "I:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [AlcoholAutomount] "I:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SuperCopier2.exe] I:\Programme\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINXP\system32\ctfmon.exe
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Launchy.lnk = I:\Programme\Launchy\Launchy.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242217188109
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - I:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINXP\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9fee788e4eed8) (gupdate1c9fee788e4eed8) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - I:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Norton Internet Security - Symantec Corporation - I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: olMntrService - Olivetti - I:\Programme\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SymantecAntiBotAgent - Symantec - I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: TunngleService - Tunngle.net GmbH - I:\Programme\Tunngle\TnglCtrl.exe
--
End of file - 7100 bytes
|
Was kann ich dagegen machen?