Backdoor.Win32.Bifrose.aej ich finde ihn nicht!
 

Beim starten von World of Warcraft BC kommt die Warnung, das ich mir den
Backdoor.Win32.Bifrose.aej eingefangen habe und ihn beseiteigen soll.

Antivir findet nichts.
Spyhunter findet nichts.
House Call findet nichts.
fixwareout findet auch nichts.
über http://www.hijackthis.de/de#anl konnte ich ein eintrag finden der von einem Trojaner gemacht wurde und sich als Winamp getarnt hat.

Aber der Backdoor.Win32.Bifrose.aej ist immer noch irgendwo ich weis nur leider nicht wo, kann mir jemand helfen?

Ps. hab auch schon im wow forum nachgesehen.

Logfile of HijackThis v1.99.1
Scan saved at 23:08:03, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\xampp\filezillaftp\filezillaserver.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Sven Reimer\Desktop\HijackThis.exe
C:\Programme\Winamp\winamp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe

Der scann ist direkt nach dem Neustart vom PC.

Also, Dein Log sieht sauber aus, soll aber nichts heissen!
Spyhunter zum scannen benutzen? Halt von dem Prog nicht viel, saug Dir mal lieber Spybot herunter und schmeiss den Spyhunter runter.
Die Seite von Spybot-S&D!
Bei einem Backdoor-Befall sollte man prinzipiell neu aufsetzen, aber leider hast Du den genauen Pfad des Fundes nicht angegegeben.
Wenn Winamp angemekkert wurde, solltest Du diese Datei bei Virustotal überprüfen lassen: C:\Programme\Winamp\winamp.exe
VIRUSTOTAL - Free Online Virus and Malware Scan

Weisst Du den genauen Pfad überhaupt nicht mehr, mache einen e-scan nach folgender Anweisung:
http://www.trojaner-board.de/38066-e...ightymarc.html

Hi,

Bifrose ist ein Problem für die meisten Virenscanner, jedes neue Exemplar wird sorgfältig so gebaut, dass es kaum erkannt wird. Der typische Starteintrag ist im Hijackthis nicht zu sehen, wie Hijackthis überhaupt verdammt viel auslässt. Nach bisheriger Erfahrung sollte ein Blick auf dieses Log ihn aber zeigen:

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Log findest Du danach auf dem Desktop. Dessen Inhalt posten.

Gruß, Karl

Hi Leute,
ich spiele world of warcraft und auf einmal beim start des spiels kam eine meldung:
Achtung:Backdoor.Win32.Bifrose.aej wurde auf ihrem pc entdeckt.
Ausführen des spiels kann den PC gefährden...... u.s.w.

Jetzt bin ich über Google auf dieses Forum gekommen...

Ich habe den scan von SilentRunners laufen lassen
Hier die Log

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"ISUSPM" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler" ["Macrovision Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{3DFA479F-113B-ADB0-B6D1-5397B4E2FAFF}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\usvr\usvr32.exe s" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll" ["Google Inc."]
{f015f320-ab08-11db-abbd-0800200c9a66}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WeeklyExecuter Class"
\InProcServer32\(Default) = "C:\WINDOWS\inetloader.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Startup items in "Robin" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Robin\Startmenü\Programme\Autostart
"RollerCoaster Tycoon 3_ Wild Registration" -> shortcut to: "C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Temp\{C3B1A2C6-0D7E-4EF7-8BD2-77BE9BE9D41C}\{45653847-497F-47BB-A878-46FBDE34A3E0}\ATR1.exe /remind /language=DEU /PRNM="RollerCoaster Tycoon 3: Wild" /PRMP="RCTW" /SKUN="PCXX" /GTYP="SIMU"" [file not found]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 263 seconds.
---------- (total run time: 304 seconds)







Würde mich über Hilfe sehr freuen :)

EDIT:

Ja ja irrlicht, du solltest doch am Schreibkurs teilnehmen...(oder Doppelherz trinken... *duckundweg)

Hallo,
Könntest du diese Meldung im genauen Wortlaut posten ?
Mit Nennung desjenigen ,der sie ausgibt.
Kopiere sie der Einfachheit halber hier rein...

Anmerkung :
Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ?
Oder würdest du rot werden und zu stammeln anfangen ?;)
Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten.
Irrlicht

Edit.
Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...:Boogie:

Hi,

die beiden Dateien sind verdächtig:

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Bei der ersten besteht Bifroseverdacht. Dateien bei VirusTotal scannen lassen und Ergebnisse komplett (inklusive Größe, MD5, ...) hierher kopieren.

Gruß, Karl

Hallo,
bitte geh zu Virustotal (www.virustotal.com) und gib in das Eingabfeld oben rechts auf der Seite nacheinander die folgenden Pfade ein:
Poste im Anschluss jeweils das komplette Scan-Ergebnis, also alles, was dir ausgegeben wurde.


ups... KarlKarl war schneller.

Irgendwie hab ich heute Tomaten auf den Augen, habe nur nach Bifrose gesucht... :eek:

Denke aber nicht das die Dateien mit Bifrose in Verbindung stehen..

Das Spiel is Orginal aus dem Mediamarkt Rosenheim Rechnung hab ich hier :)

des bei virustotal hat folgendes ergeben:

C:\WINDOWS\system32\usvr\usvr32.exe:


AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.14336.CD
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 BackDoor.Generic7.YE
BitDefender 7.2 07.06.2007 Trojan.Dropper.Delf.Undet.B
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 BackDoor.Bifrost.79
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3767 07.06.2007 no virus found
Ewido 4.0 07.06.2007 Backdoor.Spy
FileAdvisor 1 07.06.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 BDoor.CEP!tr.bdr
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Small.js
Kaspersky 4.0.2.24 07.06.2007 no virus found
McAfee 5068 07.05.2007 BackDoor-CEP.svr
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2382 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.06.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found
VirusBuster 4.3.23:9 07.05.2007 no virus found
Webwasher-Gateway 6.0.1 07.06.2007 no virus found


und C:\WINDOWS\inetloader.dll: muss 20 mins warten :schmoll:
poste später


aber des erste ??? schaut ja ned so gut aus.... was machen??

"Bifrose" ist der Szenename, die meisten Scannerhersteller vermeiden es, diese Namen zu benutzen, DrWeb kommt dem noch am nächsten. Dass viele Scanner die nicht erkennen, ist leider normal: Es gibt extra Webforen, die Leute dazu anleiten, eine solche Backdoor so zu "crypten", dass sie nicht mehr erkannt wird. Bifrose & Co. sind da ernste Problemfälle.

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread an (das ist ein englischsprachiges Forum). Kopiere die Scanresultate in den Beitrag. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.

• C:\WINDOWS\system32\usvr\usvr32.exe

Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Damit hilfst Du mit, dass die Scanner besser werden.

Der Rest ist leider etwas unbeliebt. Du solltest dein Windows neu installieren, denn über die Backdoor hat dein unbekannter Remoteadministrator vollen Zugriff auf dein System und er hat mit Sicherheit kein Log hinterlassen, was er dort alles angestellt hat. Außerdem solltest Du von einem sauberen System aus alle benutzten Passwörter und Zugangsdaten ändern.

ne oda...... schei***

hier mal der bericht von der 2. datei

AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.16896.AN
AntiVir 7.4.0.39 07.06.2007 TR/Dldr.Small.ddp.32
Authentium 4.93.8 07.06.2007 W32/Downloader.BBWI
Avast 4.7.997.0 07.06.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.476 07.06.2007 Downloader.Generic3.NUV
BitDefender 7.2 07.06.2007 Trojan.Downloader.Small.DDP
CAT-QuickHeal 9.00 07.06.2007 TrojanDownloader.Small.ddp
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 Trojan.DownLoader.19172
eSafe 7.0.15.0 07.05.2007 Win32.Small.ddp
eTrust-Vet 30.8.3767 07.06.2007 Win32/Seresp.F
Ewido 4.0 07.06.2007 Downloader.Small.ddp
FileAdvisor 1 07.06.2007 High threat detected
Fortinet 2.91.0.0 07.06.2007 W32/Small.DDP!tr.dldr
F-Prot 4.3.2.48 07.06.2007 W32/Downloader.BBWI
F-Secure 6.70.13260.0 07.06.2007 W32/DLoader.BYMI
Ikarus T3.1.1.8 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Kaspersky 4.0.2.24 07.06.2007 Trojan-Downloader.Win32.Small.ddp
McAfee 5068 07.05.2007 AZESearch.dll
Microsoft 1.2704 07.06.2007 TrojanDownloader:Win32/Small!7C55
NOD32v2 2382 07.06.2007 Win32/TrojanDownloader.Small.NTN
Norman 5.80.02 07.06.2007 W32/DLoader.BYMI
Panda 9.0.0.4 07.06.2007 Trj/Downloader.ODN
Sophos 4.19.0 07.06.2007 Troj/Dloadr-AVB
Sunbelt 2.2.907.0 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Symantec 10 07.06.2007 Adware.TrustInBar
TheHacker 6.1.6.143 07.05.2007 Trojan/Downloader.Small.ddp
VBA32 3.12.0.2 07.06.2007 Trojan-Downloader.Win32.Small.ddp
VirusBuster 4.3.23:9 07.05.2007 Trojan.DL.Small.GWF
Webwasher-Gateway 6.0.1 07.06.2007 Trojan.Dldr.Small.ddp.32



Gibts keine andere möglichkeit??

Wenn Du auf Sicherheit und Vertrauenswürdigkeit des Systems Wert legst, gibt es keine andere Möglichkeit. Die Bandbreite der Möglichkeiten, was an dem System manipuliert sein kann, ist so groß, dass sich das nicht alles prüfen lässt. Erst recht nicht online über ein Forum, selbst wenn der Rechner vor mir stehen würde, hätte ich damit ein großes Problem. Neu installieren ist einfach, schnell und sicher.

Niemand kann dir die Sicherheit geben, dass auf den Rechner kein Zugriff mehr möglich ist nach Entfernung dieser Backdoor. Die erste Backdoor auf einem System ist oft relativ auffällig, deshalb ist es möglich, dass sie genutzt wird, eine wesentlich besser versteckte anzulegen, die den Zugriff auch ermöglicht, nachdem die erste Tür geschlossen wurde. Die Details hängen davon ab, wie clever der Angreifer ist.

Wenn dir das egal ist: Dann lösche die Dateien und entferne die Starteinträge. Dann solltest Du aber auf Onlinebanking, Ebay, Spiele mit wertvollen Keys (geklaute WoW-Accounts sind ein wertvolles Handelsgut), usw. auf dem Rechner in Zukunft verzichten.

hab windows neu installiert...
die warnung is jetz weg aber mien daten auch xxD

naja
danke an alle für die schnelle hilfe *lob*

1.) Man kann selbst im Falle einer Infektion immer noch Datensicherungen anfertigen (wohlgemerkt, Daten!, keine Programme, keine Installationsdateien). Dazu verwendet man idealer Weise eine Notfall-CD. Das kann UBCD4WIN sein, das kann BartPE oder auch ein Ubuntu Live sein. So eine (oder auch mehrere CDs) sollte man immer im Schrank liegen haben.

2.) Man fertigt regelmäßig Backups / Datensicherungen auf externen Medien an, z.B. auf einer externen Festplatte, auf DVD-RAM, oder für etwas kurzfristig zu Sicherndes auf einem USB-Stick.

Backups sind das A und O, wenn es darum geht, Daten dauerhaft zu erhalten!

hi, auch ich hab dieses backdoor programm >.<
(auch von wow gefunden worden, und ja, mein wow ist original^^)

hab ich gemacht und da ist das logfile:

bye, hoffe auf schnelle antwort, kein bock mein rechner neuzuinstallieren^^

Hi,

wird wohl doch eine Neuinstallation fällig werde, jedenfalls wenn Du kein Risiko eingehen willst, dass dir dein WoW-Account geklaut wird. Deshalb prüft das Speil darauf und ist bei diesen speziellen Backdoorservern wesentlich besser als alle Virenscanner in der Erkennung.

Hier ist er:
Kannst ja noch mal die C:\WINDOWS\system32\Win32GI\svchost.exe bei VirusTotal prüfen lassen und die Ergebnisse hierher kopieren, aber ich hab da eigentlich keinen Zweifel dran.

Gruß, Karl

doof...
und kann überhaupt was passiern wenn ich hinter nem router mit firewall sitze?

tante edith sagt:

Die Scanergebnisse sind spärlich und nicht gerade eindeutig, ich habe aber trotzdem keinen Zweifel daran. WoW ist in der Erkennung sehr gut, vielleicht sollten sie mal verraten, wie sie das machen. Router und Firewall nützen dir da garnichts, da zum einen die Verbindung von deinem Rechner aus ausgeht, damit ist schon mal der Router wirkungslos. Im Silentrunners sehe ich keine Firewall, ich nehme also mal an, dass es die von Windows ist. Die kümmerst sich ebenfalls nicht um ausgehende Verbindungen. Solltest Du eine andere haben, die das verspricht: Diese Backdoorserver sind so geschrieben, dass sie das umgehen.

Mach noch das hier, ganz wichtig: Bevor Du das Log anfertigst schließe alle geöffneten Programme, ganz besonder alle Browser. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Nun HJT.exe starten, auf "Scan" klicken und das Log hier posten.

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread im Hijackthis Forum an (das ist ein englisches Forum, so viel Du englisch kannst, nutze es). Kopiere auch die Scanresultate für die folgenden Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.

• C:\WINDOWS\system32\Win32GI\svchost.exe

Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Die Dateien werden (falls nötig) weiter untersucht und schließlich an die Hersteller von Virenscannern weitergeleitet damit sie in die Erkennungen aufgenommen werden können. Poste bitte einen Link auf deinen Thread bei Spykiller hier.

hier ist der log von hjt:

die firewall ist btw eine im router integrierte
auch wenns nix zur sache tut: warum muss man hijackthis erst in hjt umbenennen?

soo, im spykiller forum hab ich auch was geschrieben, der link dazu hier

wenn schneesturm das tun würde würden sich die netten leute die backdoors programmieren nen weg ausdenke auhc das zu umgehen^^

naja ich bin grade dabei wichtige sachen auf meine externe hdd zu laden und ich werd mein pc dann morgen bestimmt neu installiern..
was würde eigentlich passieren wenn icheinfach die betroffene datei lösche?

Obwohl Du bei der Logerstellung alle Browser geschlossen hattest, läuft da ein Firefox. Ein weiteres typisches Zeichen für diesen Backdoorserver (kann auch ein anderer Browser sein). Eine Firewall im Router hat überhaupt keine Möglichkeit, den Traffic der Backdoor von dem normalen Surfens zu unterscheiden.

Wegen dem umbenennen: Ich bin etwas tippfaul (kann das auch nicht sehr gut oder schnell). Texte, die ich täglich dutzendfach brauche, kopiere ich einfach. Bei manchen Infektionen ist das umbenennen sinnvoll, Vundo wird dann z.B. besser sichtbar. In deinem Fall allerdings war es nicht wichtig.

Wenn Du die Datei einfach löschst, ist diese Backdoor weg. Das eigentliche Problem ist aber, dass über die jemand anderes Administratorzugang auf dein System hatte und damit alles das tun konnte, was Du mit ihm tun kannst. Wenn Du dich mit den Internas von Windows nicht gut auskennst, sogar eine Menge mehr. Er könnte z.B. weitere Türen eingerichtet haben, Türen die dann wesentlich besser versteckt sind als diese erste. Das können auch veränderte Systemdateien sein. Es ist denkbar, die mit den Updates gepatchten Fehler in Windows wieder einzufügen (oder sogar neue), um deinen Computer besser infizieren zu können.

Außerdem ist es sehr empfehlenswert, dass Du alle benutzten Passwörter und Zugangsdaten von einem sauberen System aus änderst, die sind vermutlich verraten worden.

Ich hab auch das Problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hallloooooo....
und zwar, ich hab auch das selbe problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

hey habe probleme mit wow

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]