|
Backdoor.Win32.Bifrose.aej ich finde ihn nicht! Beim starten von World of Warcraft BC kommt die Warnung, das ich mir den Backdoor.Win32.Bifrose.aej eingefangen habe und ihn beseiteigen soll. Antivir findet nichts. Spyhunter findet nichts. House Call findet nichts. fixwareout findet auch nichts. über http://www.hijackthis.de/de#anl konnte ich ein eintrag finden der von einem Trojaner gemacht wurde und sich als Winamp getarnt hat. Aber der Backdoor.Win32.Bifrose.aej ist immer noch irgendwo ich weis nur leider nicht wo, kann mir jemand helfen? Ps. hab auch schon im wow forum nachgesehen. Logfile of HijackThis v1.99.1 Scan saved at 23:08:03, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Razer\Diamondback\razerhid.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\xampp\filezillaftp\filezillaserver.exe C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Razer\Diamondback\razertra.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Razer\Diamondback\razerofa.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Dokumente und Einstellungen\Sven Reimer\Desktop\HijackThis.exe C:\Programme\Winamp\winamp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe Der scann ist direkt nach dem Neustart vom PC. |
Also, Dein Log sieht sauber aus, soll aber nichts heissen! Spyhunter zum scannen benutzen? Halt von dem Prog nicht viel, saug Dir mal lieber Spybot herunter und schmeiss den Spyhunter runter. Die Seite von Spybot-S&D! Bei einem Backdoor-Befall sollte man prinzipiell neu aufsetzen, aber leider hast Du den genauen Pfad des Fundes nicht angegegeben. Wenn Winamp angemekkert wurde, solltest Du diese Datei bei Virustotal überprüfen lassen: C:\Programme\Winamp\winamp.exe VIRUSTOTAL - Free Online Virus and Malware Scan Weisst Du den genauen Pfad überhaupt nicht mehr, mache einen e-scan nach folgender Anweisung: http://www.trojaner-board.de/38066-e...ightymarc.html |
Hi, Bifrose ist ein Problem für die meisten Virenscanner, jedes neue Exemplar wird sorgfältig so gebaut, dass es kaum erkannt wird. Der typische Starteintrag ist im Hijackthis nicht zu sehen, wie Hijackthis überhaupt verdammt viel auslässt. Nach bisheriger Erfahrung sollte ein Blick auf dieses Log ihn aber zeigen: Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Log findest Du danach auf dem Desktop. Dessen Inhalt posten. Gruß, Karl |
Hi Leute, ich spiele world of warcraft und auf einmal beim start des spiels kam eine meldung: Achtung:Backdoor.Win32.Bifrose.aej wurde auf ihrem pc entdeckt. Ausführen des spiels kann den PC gefährden...... u.s.w. Jetzt bin ich über Google auf dieses Forum gekommen... Ich habe den scan von SilentRunners laufen lassen Hier die Log "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."] "ISUSPM" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler" ["Macrovision Corporation"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {3DFA479F-113B-ADB0-B6D1-5397B4E2FAFF}\(Default) = (no title provided) \StubPath = "C:\WINDOWS\system32\usvr\usvr32.exe s" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll" ["Google Inc."] {f015f320-ab08-11db-abbd-0800200c9a66}\(Default) = (no title provided) -> {HKLM...CLSID} = "WeeklyExecuter Class" \InProcServer32\(Default) = "C:\WINDOWS\inetloader.dll" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Startup items in "Robin" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\Robin\Startmenü\Programme\Autostart "RollerCoaster Tycoon 3_ Wild Registration" -> shortcut to: "C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Temp\{C3B1A2C6-0D7E-4EF7-8BD2-77BE9BE9D41C}\{45653847-497F-47BB-A878-46FBDE34A3E0}\ATR1.exe /remind /language=DEU /PRNM="RollerCoaster Tycoon 3: Wild" /PRMP="RCTW" /SKUN="PCXX" /GTYP="SIMU"" [file not found] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart "Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 263 seconds. ---------- (total run time: 304 seconds) Würde mich über Hilfe sehr freuen :) |
Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board! Also nach Durchsicht deines Logfiles von Silentrunners kann ich dir eigentlich nur mitteilen das ich Bifrose nicht gefunden habe. Weder die MSMSSGS.EXE, noch die Registry-Einträge sowie die Dropper-Hauptkomponente.. :( Es kann sein das dein Antiviren-Programm durch die heuristische Erkennung durch WoW gestört ist, also eine false-positiv Meldung. Denn WoW baut ja eine Online-Verbindung auf, vielleicht sind da einige Merkmale zu erkennen welche auch der Bifrose-Trojaner mitsich bringt. ;) Mach nochmal folgendes: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß :daumenhoc Sunny EDIT: Ja ja irrlicht, du solltest doch am Schreibkurs teilnehmen...(oder Doppelherz trinken... *duckundweg) |
Hallo, Zitat:
Mit Nennung desjenigen ,der sie ausgibt. Kopiere sie der Einfachheit halber hier rein... Anmerkung : Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ? Oder würdest du rot werden und zu stammeln anfangen ?;) Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten. Irrlicht Edit. Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...:Boogie: |
Hi, die beiden Dateien sind verdächtig: C:\WINDOWS\system32\usvr\usvr32.exe C:\WINDOWS\inetloader.dll Bei der ersten besteht Bifroseverdacht. Dateien bei VirusTotal scannen lassen und Ergebnisse komplett (inklusive Größe, MD5, ...) hierher kopieren. Gruß, Karl |
Hallo, bitte geh zu Virustotal (www.virustotal.com) und gib in das Eingabfeld oben rechts auf der Seite nacheinander die folgenden Pfade ein: Zitat:
ups... KarlKarl war schneller. |
Zitat:
Denke aber nicht das die Dateien mit Bifrose in Verbindung stehen.. |
Zitat:
Das Spiel is Orginal aus dem Mediamarkt Rosenheim Rechnung hab ich hier :) des bei virustotal hat folgendes ergeben: C:\WINDOWS\system32\usvr\usvr32.exe: AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.14336.CD AntiVir 7.4.0.39 07.06.2007 no virus found Authentium 4.93.8 07.06.2007 no virus found Avast 4.7.997.0 07.06.2007 no virus found AVG 7.5.0.476 07.06.2007 BackDoor.Generic7.YE BitDefender 7.2 07.06.2007 Trojan.Dropper.Delf.Undet.B CAT-QuickHeal 9.00 07.06.2007 no virus found ClamAV devel-20070416 07.06.2007 no virus found DrWeb 4.33 07.06.2007 BackDoor.Bifrost.79 eSafe 7.0.15.0 07.05.2007 no virus found eTrust-Vet 30.8.3767 07.06.2007 no virus found Ewido 4.0 07.06.2007 Backdoor.Spy FileAdvisor 1 07.06.2007 no virus found Fortinet 2.91.0.0 07.06.2007 BDoor.CEP!tr.bdr F-Prot 4.3.2.48 07.06.2007 no virus found F-Secure 6.70.13260.0 07.06.2007 no virus found Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Small.js Kaspersky 4.0.2.24 07.06.2007 no virus found McAfee 5068 07.05.2007 BackDoor-CEP.svr Microsoft 1.2704 07.06.2007 no virus found NOD32v2 2382 07.06.2007 no virus found Norman 5.80.02 07.06.2007 no virus found Panda 9.0.0.4 07.06.2007 no virus found Sophos 4.19.0 07.06.2007 no virus found Sunbelt 2.2.907.0 07.06.2007 no virus found Symantec 10 07.06.2007 no virus found TheHacker 6.1.6.143 07.05.2007 no virus found VBA32 3.12.0.2 07.06.2007 no virus found VirusBuster 4.3.23:9 07.05.2007 no virus found Webwasher-Gateway 6.0.1 07.06.2007 no virus found und C:\WINDOWS\inetloader.dll: muss 20 mins warten :schmoll: poste später aber des erste ??? schaut ja ned so gut aus.... was machen?? |
"Bifrose" ist der Szenename, die meisten Scannerhersteller vermeiden es, diese Namen zu benutzen, DrWeb kommt dem noch am nächsten. Dass viele Scanner die nicht erkennen, ist leider normal: Es gibt extra Webforen, die Leute dazu anleiten, eine solche Backdoor so zu "crypten", dass sie nicht mehr erkannt wird. Bifrose & Co. sind da ernste Problemfälle. Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread an (das ist ein englischsprachiges Forum). Kopiere die Scanresultate in den Beitrag. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.
Der Rest ist leider etwas unbeliebt. Du solltest dein Windows neu installieren, denn über die Backdoor hat dein unbekannter Remoteadministrator vollen Zugriff auf dein System und er hat mit Sicherheit kein Log hinterlassen, was er dort alles angestellt hat. Außerdem solltest Du von einem sauberen System aus alle benutzten Passwörter und Zugangsdaten ändern. |
ne oda...... schei*** hier mal der bericht von der 2. datei AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.16896.AN AntiVir 7.4.0.39 07.06.2007 TR/Dldr.Small.ddp.32 Authentium 4.93.8 07.06.2007 W32/Downloader.BBWI Avast 4.7.997.0 07.06.2007 Win32:Trojan-gen. {Other} AVG 7.5.0.476 07.06.2007 Downloader.Generic3.NUV BitDefender 7.2 07.06.2007 Trojan.Downloader.Small.DDP CAT-QuickHeal 9.00 07.06.2007 TrojanDownloader.Small.ddp ClamAV devel-20070416 07.06.2007 no virus found DrWeb 4.33 07.06.2007 Trojan.DownLoader.19172 eSafe 7.0.15.0 07.05.2007 Win32.Small.ddp eTrust-Vet 30.8.3767 07.06.2007 Win32/Seresp.F Ewido 4.0 07.06.2007 Downloader.Small.ddp FileAdvisor 1 07.06.2007 High threat detected Fortinet 2.91.0.0 07.06.2007 W32/Small.DDP!tr.dldr F-Prot 4.3.2.48 07.06.2007 W32/Downloader.BBWI F-Secure 6.70.13260.0 07.06.2007 W32/DLoader.BYMI Ikarus T3.1.1.8 07.06.2007 Trojan-Downloader.Win32.Small.ddp Kaspersky 4.0.2.24 07.06.2007 Trojan-Downloader.Win32.Small.ddp McAfee 5068 07.05.2007 AZESearch.dll Microsoft 1.2704 07.06.2007 TrojanDownloader:Win32/Small!7C55 NOD32v2 2382 07.06.2007 Win32/TrojanDownloader.Small.NTN Norman 5.80.02 07.06.2007 W32/DLoader.BYMI Panda 9.0.0.4 07.06.2007 Trj/Downloader.ODN Sophos 4.19.0 07.06.2007 Troj/Dloadr-AVB Sunbelt 2.2.907.0 07.06.2007 Trojan-Downloader.Win32.Small.ddp Symantec 10 07.06.2007 Adware.TrustInBar TheHacker 6.1.6.143 07.05.2007 Trojan/Downloader.Small.ddp VBA32 3.12.0.2 07.06.2007 Trojan-Downloader.Win32.Small.ddp VirusBuster 4.3.23:9 07.05.2007 Trojan.DL.Small.GWF Webwasher-Gateway 6.0.1 07.06.2007 Trojan.Dldr.Small.ddp.32 Gibts keine andere möglichkeit?? |
Wenn Du auf Sicherheit und Vertrauenswürdigkeit des Systems Wert legst, gibt es keine andere Möglichkeit. Die Bandbreite der Möglichkeiten, was an dem System manipuliert sein kann, ist so groß, dass sich das nicht alles prüfen lässt. Erst recht nicht online über ein Forum, selbst wenn der Rechner vor mir stehen würde, hätte ich damit ein großes Problem. Neu installieren ist einfach, schnell und sicher. Niemand kann dir die Sicherheit geben, dass auf den Rechner kein Zugriff mehr möglich ist nach Entfernung dieser Backdoor. Die erste Backdoor auf einem System ist oft relativ auffällig, deshalb ist es möglich, dass sie genutzt wird, eine wesentlich besser versteckte anzulegen, die den Zugriff auch ermöglicht, nachdem die erste Tür geschlossen wurde. Die Details hängen davon ab, wie clever der Angreifer ist. Wenn dir das egal ist: Dann lösche die Dateien und entferne die Starteinträge. Dann solltest Du aber auf Onlinebanking, Ebay, Spiele mit wertvollen Keys (geklaute WoW-Accounts sind ein wertvolles Handelsgut), usw. auf dem Rechner in Zukunft verzichten. |
hab windows neu installiert... die warnung is jetz weg aber mien daten auch xxD naja danke an alle für die schnelle hilfe *lob* |
Zitat:
2.) Man fertigt regelmäßig Backups / Datensicherungen auf externen Medien an, z.B. auf einer externen Festplatte, auf DVD-RAM, oder für etwas kurzfristig zu Sicherndes auf einem USB-Stick. Backups sind das A und O, wenn es darum geht, Daten dauerhaft zu erhalten! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board