Hallo Leute

Habe die gleiche Meldung von WOW bekommen dass ich Bifrose drauf hab wie die leute hier in dem Thread

Ich wollte mal nachfragen, ob es möglich ist, dass man damit noch andere Sachen auf den Rechner holt (die nicht bloß WOW loggen) oder wie das gemacht wird also ob man da einfach irgendwie gezielt nach wowlern über irgendwelche scans suchen kann bzw ob man jmd kennen muss der wow spielt und dem dann gezielt den virus raufmachen muss. Außerdem würde ich gerne wissen ob wie im Blizzard-Support gelesen jetzt ein fremder Admin kontrolle über mein system hat ... und dann natürlich WER ? kann man das rausbekommen ? Den Rechner mach ich gerne noch einmal neu ... hatte schon länger Probleme mit WOW (Abschalten nach 10 - 30 min oder auch mal 100 min, also sehr unterschiedlich, kann es sein, dass das am Virus liegt?) und bin also darauf schon vorbereitet. Des weiteren interessiert mich wie ich mich am besten gegen neuen Befall schütze. Hatte bisher Avast WindowsFW und Spybot am laufen scheint ja nich soo der Bringer zu sein.

danke fürs lesen schonmal

Bobby1

Hallo Booby.

Als erstes: Ganz wichtig ist zunächst, dass du deinen Rechner neuaufsetzt!!

Der Bifrost Server hat Upload-Funktion wodurch durchaus andere Sachen nachgeladen werden können die ganz unterschiedliche Funktionen erfüllen können. Jenachdem wonach der Remote Admin Ausschau hält.

Wie der Bifrost Server auf deinen Rechner gekommen ist? Ganz einfach: Indem du ihn installiert hast. Davor kann dich kein AV Programm schützen.
Keygens, Cracks, Trainer oder sonstige Dateien aus nicht vertrauenswürdigen Quellen behinhalten extrem häufig solche Schadprogramme!
Und nur weil virustotal nicht anspringt und nichts auffälliges am PC passiert heisst das nicht, dass man nicht infiziert wäre..

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

vielen dank für die mühe die du dir gemacht hast undoreal.

Habe das Problem, dass wenn ich die mbr.exe öffne nur kurz die Eingabeaufforderung aufgeht aber kein wirklicher Log stehen bleibt. Kann nichtmal lesen was drin steht.

Heisst das jetzt, dass nix gefunden wird oder heisst das, dass der Virus nicht will dass ich ihn runter schmeiße ?

weiterhin würde ich sonst gerne noch wissen ob es möglich ist den angreifer irgendwie zu identifizieren, ich denke mal wenn da jmd von außerhalb Zugriff auf meinen Rechner hat, müsste der doch eine IP oder irgendwas hinterlassen. Außerdem noch ob es sein kann, dass die in letzter Zeit gehäuften Abstürze in WOW an dem Virus liegen könnten. (anti-wow-skript-packet ? vlt sonst ne neue geschäftsidee ^^)

Das ding is, dass ich mir vorstellen könnte, wer Lust haben könnte mich mal zu hacken deswegen frage ich mich ob da jmd schon seit längerem mit Absicht meinen Rechner ausspioniert und mitlerweile jetzt halt dann diesen bifrose nachgeholt hat. Kann mich erinnern dass mein mein Avast zum ersten mal bei der installation meiner Mainboard-Treiber-CD (genauer beim Soundtreiber) angeschlagen hat. Kann es sein dass der Virus auf der CD ist ? Oder spricht das eher auch für ein MBR-festen Virus ?

edit:hab grad gesehen dass mbr.exe doch nen log ausgegeben hat. Ist dann wohl soweit alles sauber:

Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Gut, MBR ist sauber. Dann kannst du weitermachen.

Die IP wird dir nichts bringen da die über anonyme Static-IP Anbieter generiert werden.

Hi,

mbr.exe legt normalerweise auch eine Logdatei ab. Im selben Verzeichnis, wo die mbr.exe liegt mit dem Namen mbr.log. Oder Du öffnest vorher eine Konsole (Eingabeaufforderung, cmd.exe) und führst sie von dort aus dann aus, dann bleibt die Anzeige sichtbar, weil das Fenster nicht sofort wieder schließt.

Zumindest eine IP könnte man ermitteln, schließlich muss das Programm ja eine Verbindung aufbauen. Zu der IP dann aber ermitteln, wem sie gehört, kann unsereins nicht, dass können nur offizielle Ermittler. die können beim Provider anfragen "wer hatte am soundsovielten um soundsoviel Uhr diese IP?". Ich nehme aber mal an, dass du nicht vorhast, eine Strafanzeige zu erstatten. Dann stünde dein Rechner nämlich lange Zeit als Beweismaterial bei der Behörde und wer weiß was die sich sonst noch so alles anschauen. Es wäre dennoch fraglich, ob dabei was rauskäme, wenn z.B. die IP ein anonymer Proxy irgendwo auf der anderen Seite der Welt ist, dann war es das.

Wenn dir daran gelegen ist, die IP zu ermitteln, dann müsstest Du schon den Server sichern bevor Du neu aufsetzt, die wenige Information, die auf deinem System verfügbar ist, steckt in ihm. Üblicherweise findet man die relativ einfach, Hijackthis taugt allerdings nichts. Silentrunners oder Autoruns aber zeigen die Startstellen, die da genutzt werden an. wenn Du ein entsprechendes Log postest, wäre es eine Kleinigkeit, das anzuschauen und (wenn vorhanden) auf den Server zu zeigen. Das sind aber alles Sachen, die es hinausschieben, dass Du wieder einen sauberen und vertrauenswürdigen Computer hast.

Die originale Treiber-CD deines Mainboards halte ich für harmlos, da hat Avast vermutlich eher einen Fehlalarm hingelegt.

Gruß, Karl

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IMJPMIG8.1" = "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" [MS]
"PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."]
"SysTrayApp" = "C:\Programme\IDT\WDM\sttray.exe"

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{92D55DCB-A8CC-66E8-CC45-115CFEB4E078}\(Default) = (no title provided)
\StubPath = "C:\Programme\win32Gl\svchost.exe s" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar"
-> {HKCU...CLSID} = "Windows Search-Deskbar"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
-> {HKLM...CLSID} = "Windows Search Deskbar"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
"{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search"
-> {HKLM...CLSID} = "Windows Desktop Search"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{0563DB41-F538-4B37-A92D-4659049B7766}" = "WLMD Message Handler"
-> {HKLM...CLSID} = "CLSID_WLMCMimeFilter"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Mail\mailcomm.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided)
-> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
<<!>> ("msapsspc.dll schannel.dll digest.dll msnsspc.dll" [MS]) "SecurityProviders" = "msapsspc.dll schannel.dll digest.dll msnsspc.dll"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile"
<<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]


Startup items in "Bobby" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Service Manager" -> shortcut to: "C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe /n" [MS]
"Windows Search" -> shortcut to: "C:\Programme\Windows Desktop Search\WindowsSearch.exe /startup" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe /schedulestart" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\
"ButtonText" = "In Blog veröffentlichen"
"MenuText" = "In Windows Live Writer in &Blog veröffentlichen"
"CLSIDExtension" = "{5F7B1267-94A9-47F5-98DB-E99415F33AEC}"
-> {HKLM...CLSID} = "BlogThisToolbarButton Class"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll" [MS]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Audio Service, STacSV, "c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe" ["IDT, Inc."]
avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\Windows Live\Messenger\usnsvc.exe"" [MS]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows Search, WSearch, "C:\WINDOWS\system32\SearchIndexer.exe /Embedding" [MS]


---------- (launch time: 2008-09-06 10:02:23)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 46 seconds, including 18 seconds for message boxes)

Ich würde schon gerne mal probieren nen Provider rauszu bekommen weil den kann man doch anhand der IP sehen oder ? damit könnte man evtl Verdachtsmomente ausräumen bzw bestätigen. Klar mit anonymen Proxy is dann schwierig aber vlt ist der jenige ja blöd genug.

Typische Stelle, da ist er:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\win32Gl\svchost.exe
         

Aus der IP könnte man vermutlich noch den Provider rausbekommen. Muss aber nicht klappen, neulich hatte ich einen Fall, da hat jemand Telekom-IPs, ist aber bei 1&1. Dann hört es aber auf, wenn unsereins bei denen anfragt, wer diese IP nutzt, würden dire das nur als Spam ansehen. Irgendwie sogar zu Recht.

hmm bei mir wäre grad interessant ob Arcor oder nicht. Gibt es da auch solche Doppelbelegungen ? und was muss ich mit der svchost.exe jetzt machen ? kann ich dort vlt den virus killen erstmal ?

Du kannst die Datei ja mal in ein Archiv einpacken (ZIP oder RAR), dabei bitte ein Passwort vergeben, am besten "infected" (ohne ""). Dann ist mit ihr die Information gesichert, wo sie hin verbinden will. Vermutlich ist das auch nicht direkt eine IP, sondern eine Adresse für no-ip oder einen vergleichbaren Dienst. Dort kann man dann die eigenliche IP-Adresse immer wieder aktualisieren. Viele dieser Botmaster haben nämlich keine feste IP-Adresse. Man könnte die Datei auf einem Testsystem starten und den Traffic aufzeichnen, am besten auf einem davor geschalteten Router, dort könnte er selbst von den ausgefeiltesten Rootkittechniken nicht versteckt werden (mit denen ich hier aber nicht rechne, sonst hätte weder Silentrunners noch WOW was bemerkt). Es ist auch möglich, dass es auf dem Rechner selber geht (z.B. mit Wireshark), allerdings ist es für den Server sehr einfach, das Vorhandensein von Wireshark zu erkennen und sich entsprechend (nicht)zuverhalten. Ich kann mir auch Techniken vorstellen, eine Überwachung vor dem Rechner erkennen zu können, die wären aber wesentlich komplizierter (und auch zu vermeiden).

Aber selbst wenn es wirklich Arcor wäre, hieße das nur, dass die Person, an die Du denkst nicht entlastet würde. Belastend wäre es nicht, sind eine Menge Leute bei Arcor. Selbst wenn es ein Superdumm-Scriptkiddie sein sollte, das das ganze direkt über den eigenen Internetanschluss macht, könnte er in dem Moment, wo er bemerkt, dass sein Server bemerkt wurde, die Spuren bei dem DNS-Dienst verwischen. Und an deren Logs kommen wir auch nicht ran.

Ich denke nach wie vor, dass sich die Mühe nicht lohnt, es ist eigentlich unmöglich, auch nur mäßig verlässliche Informationen zu erhalten. wenn da eine Person in deinem Bekanntenkreis ist, der Du da misstraust, dann solltest du prüfen, ob die Distanz groß genug ist, sie sowieso nicht an deinen Rechner lassen und keine Dateien von ihr starten. Von selber ist der Bifrose nämlich nicht auf deinen Rechner gehüpft, Du hast bestimmt einen Doppelklick gemacht.

Die Datei ließe sich entfernen, das Problem ist aber, dass da jemand anderes als Administrator auf deinem Rechner arbeiten kann. Der kann wirklich alles tun, Software installieren, Systemdateien verändern, usw. Da man ihm dabei böse Absichten unterstellen darf und er sicher auch keine Logs anlegt, was er alles verändert, bleibt nur eine Neuinstallation um eine Sicherheit zu haben, dass nichts davon zurückbleibt.

hmm nun gut ... denke ab dem Punkt ist alles gesagt. Vielen Dank für alle Antworten !!

kann geschlossen werden.

hmm anscheinend ist doch noch nicht alles gesagt. gut das hier nicht geclosed wird.

habe zwar jetzt schon mehrmals XP neu installiert aber leider tritt jedesmal wenn ich Antivir zum ersten mal installiere ein Bluescreen auf (reproduzierbar), der mir zur Fehlerbehebung nicht wirklich hilft, weil er laut Google auf eine ganze Reihe von Problemen (Viren, Treiber, Hardware) hinweißt.
Außerdem habe ich meist sofort nach der OS installation funde im Spybot.

Für mich sieht es so aus als wäre ich immernoch felsenfest infiziert.

Allerding ist es für mich auch nicht so einfach den hier geposteten Neuinstallationsguide fehlerfrei zu befolgen, weil sich zwischen Virenschutz, Updates und Treiberinstallation Abhängigkeiten ergeben, dadurch dass manche Treiber (Sound und Grafik) ein aktuelles Windows benötigen. Außerdem könnte ich mir auch vorstellen, dass die Spybot einträge dadurch kommen, dass ich ja um Antivir und Spybot zu installieren erstmal ins Internet muss um die Installer runterzuladen.

Eine weitere Fehlerquelle könnte mein möglicherweise zu schwaches NT sein, dass mir zwar für meine Komponenten empfohlen wurde und auch nach dem Rechner von BeQuiet genau passt, wozu ich jetzt aber auch schon öfter zu hören bekommen habe, dass es viel zu schwach sei.(habe 350W BeQuiet alle die mir gesagt haben, dass es mehr sein sollte haben gesagt, dass heutzutage PCs nichtmehr unter 500W osä zu betreiben sind, zumal mein Rechner sicher nicht high-end oder vollgestopft mit schnickschnack ist. vlt kann da ja mal jmd klarheit schaffen.)

Vielleicht kann man mir ja trotz der Masse an Problemen und Fehlerquellen irgendwie helfen. Sonst muss ich jetzt erstmal auf mein NT warten (wenn das nicht hilft dann auch noch auf eine neue GraKa) um jegliche Hardwarefehler systematisch ausschließen zu können.

Danke !

Bobby

Schwierig nachzuvollziehen. Grundsätzlich muss auf dem Rechner das SP2 sein, bevor er das erste mal mit einem Netz verbunden wird. Antivir bereits installiert zu haben, ist ebenfalls gut. Die ersten Sachen im Internet sind dann Besuch bei Windowsupdate um alle fehlenden Updates zu installieren und ein Antivir-Update.

Es ist anzustreben, die wichtigsten Installationsdateien bereits da zu haben, z.B. auf Stick oder CD um eben nicht verfrüht ins Netz zu müssen.

Bei Treibern für die Hardware sollten erstmal die von der Board-CD ausreichen. Die zu aktualisieren würde ich ganz nach hinten schieben, wenn überhaupt erforderlich. Die meisten Systeme laufen sogar mit den Standardtreibern von Windows, allerdings wird die Hardware dann nicht ausgenützt.

hmm das Problem mit den Treibern hab ich jetzt mit einer kleinen Partition gelöst, auf der dann SP2, Treiber und Virenschutz vor der Installation schon gelagert waren. Keine Funde in Spybot und kein Bluescreen bei Antivir.

Dafür hab ich aber mal wieder ein neues Problem.
Zuerst hat mein Rechner bei den neustarts wegen der Treiber ein zwei Versuche (neustarts mit reset oder STRG+ALT+Entf) gebraucht und dann ist er irgendwann gar nicht mehr wieder an gegangen (er ging zwar an aber der Monitor hat nichtmal einen BIOS gezeigt d.h. zwar nicht "kein Signal" aber auch kein Signal auf analogem oder digitalem Anschluss, weil darauf würde er dann umschalten).
Bin jetzt auf Onboard Grafik umgestiegen (geht nur mit ausgebauter GraKa) und siehe da ... wenigstens Windows ist wieder da.

Meine Frage ist jetzt, ob ich mir mit der dauerhaften Unterversorgung möglicherweise die GraKa gänzlich kaputt gemacht hab, bzw was das sonst sein könnte. Ich kann mir die Frage mit den in letzter Zeit häufigen Fehlern bei GFX-Belastung (bei denen ich bisher dachte, dass sie auch von bifrose stammen) eigentlich fast selbst beantworten möchte aber mal wissen was noch in mitleidenschaft gezogen worden sein könnte und wie ich damit jetzt am besten umgehe. Die Teile sind alle vor 2 Monaten gekauft, aber wahrscheinlich hat mir das NT jede Möglichkeit auf Garantie verbaut oder ? Kann ich die übrigen Teile (wenn es geht auch die GraKa ?!) irgendwie testen ?

edit:
merke grad dass mein sound trotz dreimaliger Installation nicht läuft ... muss jetzt aber schlafen gehen. Melde mich dann morgen wieder !

Hier mal zwei Links von Leuten, die das gleiche Problem zu haben scheinen.
Link1
Link2
komischerweise wird diesen Leuten für meine GraKa (Radeon HD 2600 XT PCI-E, 512 mb ohne extra Stromanschluss) mein NT (350W BeQuiet) als Problembehebung empfohlen. Ich kann mich also weiterhin auf keine der gemachten Aussagen verlassen. Sowohl im Internet als auch im RL.

Hab bisher an Energieumsatzwerten das hier zusammengetragen:
Mainboard
Grafikkarte (ca 190W)
CPU (65W)
altes Samsung 40 GB HDD (einziges Bauteil aus meinem alten Rechner. Dazu wurde mir gesagt 10W ungefähr. Braucht die HD vlt mehr weil sie schon so relativ alt ist ?)
und für meine beiden 1GB RAM-Bausteine (2048MB-KIT DDR2 MDT) hab ich bisher noch keinen Wert augraben können.
Alle anderen Geräte sind extern (Brenner und HDD).

hab das ganze durch den Rechner von BeQuiet gejagt, der mir dann sagt dass mir 350W reichen, nur das man dort kein Mainboard hinzufügen kann, dass ja unter Grafik-Last 90W verbraucht (sollte man vlt nicht unterschlagen). Rechnerisch bin ich jetzt mit Mainboard und ohne RAM unter Grafik-Last bei 355W (ich geh mal schwer davon aus, dass der RAM auch was umsetzt).

Habe gelesen, dass die 12V Schiene für die Grafik wichtiger sei. Verstehe nur nicht richtig wie ich das mit den Werten bzw mit welchen Werten der GraKa ich das verbinden bzw vergleichen soll. hier mal die Werte: 12V1 14A;12V2 16A; zusammen 18A und 216W

Wär schön, wenn jmd das ganze ein wenig einleuchtender erklären und durchrechnen könnte und man mir sagen kann was ich jetzt tun soll (GraKa Müll ? NT Müll ? und was sollen die neuen Teile dann können ?)

Schwierig hier nachzurechnen, aber mit 500 Watt anstelle von 350 solltest Du auf der sicheren Seite liegen. Es macht auch nicht viel Sinn, bis zum letzten Watt der Nennleistung zu quetschen, nach meinen Beobachtungen schaffen manche Netzteile die aufgedruckte Leistung nicht stabil im Dauerbetrieb.

Ein zusätzliches: Manche Grafikkarten (besonders die mit höherer Leistung) würden das Board überlasten, wenn sie ihren Strom komplett dort herziehen. Die haben deshalb einen zusätzlichen Anschluss, für den es am Netzteil das entsprechende Gegenstück gibt mit 4 Polen. Auch ein paar Boards haben sowas. Wenn die vorhanden sind, dann ist es wichtig, dass die auch angeschlossen werden. Ansonsten droht nichtfunktionieren und kaputtgehen.