Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.05.2007, 16:07   #1
Enemy Soul
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Hallo!!

So jetzt habe ich mal dieses Silent Runners Programm da durchlaufen lassen!! Ich hoffe da sind nicht so viele persönliche Informationen drin =(!! Ich hoffe ihr könnt mir helfen ich möchte diesen Trojaner unbedingt wieder loswerden!! Meine Internetverbindung ist schon langsamer geworden meine Musik ruckelt im Gange weg =( Weiß echt nicht was ich machen soll!! Schonmal THX Im Voraus für eure Hilfe hier nur dieses Log File: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"GUI" = "C:\D-Link\AirPlusG+\AirPlus.exe" ["D-Link"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"Launch LGDCore" = ""C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"razer" = "C:\Programme\Razer\Copperhead\razerhid.exe" [empty string]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Ashampoo Magical Defrag" -> shortcut to: "C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe -startup" [" "]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [file not found]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ashampoo Defrag Service, AshampooDefragService, "C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe" [" "]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" ["Sony DADC Austria AG."]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, "C:\Programme\Windows Media Player\WMPNetwk.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
5200 Series Port\Driver = "lxbtlmpm.DLL" ["Lexmark International, Inc."]
Canon BJ Language Monitor iP90\Driver = "CNMLM71.DLL" ["CANON INC."]


----------
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 56 seconds.
---------- (total run time: 104 seconds)

Alt 19.05.2007, 17:41   #2
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Wer oder was hat dir denn Bifrose gemeldet? Und wo (Pfadangabe)? Aus deinem ursprünglichen Thread und dem Silentrunners-Log werde ich nämlich nicht so recht schlau.

Btw, vielleicht kann einer der Mods die Threads zusammenführen.
__________________

__________________

Alt 19.05.2007, 17:43   #3
Enemy Soul
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Wenn ich World of Warcraft Burning Crusade starte sagt mir der Launcher immer das der Trojaner drauf ist und das ich den löschen soll!! Das komische ist das er das jetzt nicht mehr anzeigt!! Habe mir nämlich vorhin ein Programm runtergeladen was Trojaner entfernt! Und jezt zeigt mir der Launcher nix mehr an!! Hoffe das der Trojaner dann jetzt weg ist =)
__________________

Alt 19.05.2007, 17:44   #4
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Zitat:
Zitat von Enemy Soul Beitrag anzeigen
Habe mir nämlich vorhin ein Programm runtergeladen was Trojaner entfernt!
Und zwar welches?
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 09.09.2007, 13:43   #5
ZeusBlackwing
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Also ich hab das Prob auch grade, und zu allem überfluss hat sich mein ICQ vorhin verabschiedet und behauptet nun das mein Eingespeichertes PW dort falsch sei ...

ma die Log file von dem Silent Runner, falls die wer braucht.

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Steam" = "(empty string)" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Aim6" = "*a" (unwritable string) [file not found]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"Dell Wireless Manager UI" = "C:\WINDOWS\system32\WLTRAY" ["Dell Inc"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"PRONoMgrWired" = "C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" ["Intel(R) Corporation"]
"DVDLauncher" = ""C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"" ["CyberLink Corp."]
"DMXLauncher" = "C:\Programme\Dell\Media Experience\DMXLauncher.exe" [null data]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1174328176\ee\AOLSoftware.exe" ["America Online, Inc."]
"IPHSend" = "C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" ["America Online, Inc."]
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"CmUsbSound" = "RunDll32 cmcnfgu.cpl,CMICtrlWnd" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]
{BFCC6A37-3DF7-03A3-62C3-6BA20A0FCDE9}\(Default) = (no title provided)
\StubPath = "C:\Programme\Microsoft\update.exe s" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "*a" (unwritable string)
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Zeus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /i /n:1" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Service, btwdins, "C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation."]
Dell Wireless WLAN Tray Service, wltrysvc, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MSSQL$MICROSOFTBCM, MSSQL$MICROSOFTBCM, "C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe -sMICROSOFTBCM" [null data]
NICCONFIGSVC, NICCONFIGSVC, "C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe" ["Dell Inc."]
SAP-Agent, NwSapAgent, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\ipxsap.dll" [MS]}
USBDLM, USBDLM, "C:\Programme\USBDLM\USBDLM.exe" ["Uwe Sieber - www.uwe-sieber.de"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" ["Broadcom Corporation."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-09-09 13:37:02)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 43 seconds.
---------- (total run time: 77 seconds)

Wäre super wenn mir wer Helfen kann....


Alt 09.09.2007, 13:57   #6
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Hallo,
ich zitiere mich mal selbst:
Zitat:
Zitat von Franz1968 Beitrag anzeigen
Wer oder was hat dir denn Bifrose gemeldet? Und wo (Pfadangabe)?
Werte die folgende Datei mal bei Virustotal aus und poste das komplette Ergebnis, auch wenn nichts gefunden werden sollte:
Zitat:
Zitat von ZeusBlackwing
C:\Programme\Microsoft\update.exe
__________________
--> Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!

Alt 09.09.2007, 14:09   #7
ZeusBlackwing
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Icon27

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



wie beim Thread eröffner hat auch mir ein SPIEL den hinweis gegeben ...
(is doch peinlich das nen spiel besser Trojaner findet als Antivir ....)
undzwar, WoW BC. seit heut morgen hab ich die meldung wenn ich wow starte.

Das "Wo" verstehe ich nich ...

Die aussage über die Update.exe von VirusTotal

Datei update.exe empfangen 2007.09.09 14:03:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.08 -
Authentium 4.93.8 2007.09.09 -
Avast 4.7.1043.0 2007.09.08 -
AVG 7.5.0.485 2007.09.09 -
BitDefender 7.2 2007.09.09 BehavesLike:Win32.ProcessHijack
CAT-QuickHeal 9.00 2007.09.08 -
ClamAV 0.91.2 2007.09.09 -
DrWeb 4.33 2007.09.08 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5119 2007.09.08 -
Ewido 4.0 2007.09.09 -
FileAdvisor 1 2007.09.09 -
Fortinet 3.11.0.0 2007.09.08 -
F-Prot 4.3.2.48 2007.09.09 -
F-Secure 6.70.13030.0 2007.09.09 -
Ikarus T3.1.1.12 2007.09.09 -
Kaspersky 4.0.2.24 2007.09.09 -
McAfee 5115 2007.09.07 BackDoor-CEP.svr
Microsoft 1.2803 2007.09.09 -
NOD32v2 2515 2007.09.09 -
Norman 5.80.02 2007.09.07 -
Panda 9.0.0.4 2007.09.09 -
Prevx1 V2 2007.09.09 -
Rising 19.39.62.00 2007.09.09 -
Sophos 4.21.0 2007.09.09 -
Sunbelt 2.2.907.0 2007.09.07 -
Symantec 10 2007.09.09 -
TheHacker 6.1.10.182 2007.09.08 -
VBA32 3.12.2.4 2007.09.08 -
VirusBuster 4.3.26:9 2007.09.08 -
Webwasher-Gateway 6.0.1 2007.09.08 -
weitere Informationen
File size: 172446 bytes
MD5: 7852babfb6a73af4b9ae6471b6bdbc8b
SHA1: b949155cf75c074cbf01610506c08e84d755c0e3
packers: BINARYRES

Alt 09.09.2007, 14:39   #8
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Zitat:
Zitat von ZeusBlackwing Beitrag anzeigen
Das "Wo" verstehe ich nich ...
Üblicherweise geben Virenscanner Meldungen aus, die ungefähr so aussehen: "In der Datei c:\programme\microsoft\update.exe wurde der Virus XY gefunden."
Eine solche Meldung hatte ich erwartet, denn da ich nicht WoW spiele, weiß ich nicht, wie eine Meldung von WoW aussieht und was genau drinsteht.

Nach dem Ergebnis von Virustotal nehme ich mal schwer an, dass dein Rechner tatsächlich mit einem Bifrose-Server infiziert ist, denn der Eintrag im Silentrunners-Logfile ist typisch für ihn. Dass nur einer der von Virustotal eingesetzten Scanner anschlägt, ist leider kein Gegenbeweis, denn Bifrose & Co. werden gerne "gecrypted", um die Erkennung zu erschweren.

Wäre es mein System, würde ich es neu aufsetzen und im Anschluss auch alle verwendeten Passwörter ändern, da diese wahrscheinlich ausgelesen worden sind. Wenn du das tun willst, gehe wie folgt vor:

1.
Zitat:
Zitat von KarlKarl
Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread im HijackThis Forum an (das ist ein englisches Forum, so viel Du englisch kannst, nutze es). Kopiere auch die Scanresultate für die folgenden Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch:
C:\Programme\Microsoft\update.exe
Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Die Dateien werden (falls nötig) weiter untersucht und schließlich an die Hersteller von Virenscannern weitergeleitet damit sie in die Erkennungen aufgenommen werden können. Poste bitte einen Link auf deinen Thread bei Spykiller hier.
2. Folge dieser Anleitung: http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.htm

Wenn du das nicht willst, warte bitte die Meinungen anderer hier im Forum ab.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 09.09.2007, 14:43   #9
ZeusBlackwing
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



F**K >-< ... warum muss das mir passieren .... *heul*

Hast du ne angabe in was für Dats sich das ding verstecken kann?

und ob ne System recovery von letzter woche reichen würde?

Alt 09.09.2007, 15:10   #10
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Zitat:
Zitat von ZeusBlackwing Beitrag anzeigen
und ob ne System recovery von letzter woche reichen würde?
Nein. Ein Backdoor-Server ermöglicht seinem Herrn und Meister vollen Zugriff von außen auf das betroffene System. Es hilft nur eine Neuinstallation des Betriebssystems, wenn du wieder ein vertrauenswürdiges System haben willst.
Zitat:
Hast du ne angabe in was für Dats sich das ding verstecken kann?
Grundsätzlich in allen ausführbaren Dateien. Diese solltest du daher beim Sichern deiner Daten auslassen.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 09.09.2007, 15:13   #11
ZeusBlackwing
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



also nur Exe dats?
gut ... dank dir.

Das wird ne scheiss Arbeit >.< *seufz*

und wie bekomm ich mein ICQ PW wieder zurück o-O?

Alt 09.09.2007, 15:18   #12
Franz1968
/// Helfer-Team
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Zitat:
Zitat von ZeusBlackwing Beitrag anzeigen
also nur Exe dats?
Nein, natürlich nicht nur .exe-Dateien. Schau mal hier:
http://de.wikipedia.org/wiki/Liste_ausführbarer_Dateitypen
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 31.03.2008, 15:15   #13
lok1
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Hallo!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 31.03.2008, 22:08   #14
virus
Gast
 
Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Standard

Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!



Zitat:
Zitat von lok1 Beitrag anzeigen
Hallo!
Erstmal ein großes Lob an alle Helfer aus diesem Forum! Habe das Forum durch einen Freund entdeckt und schon einiges durchgelesen, hier bekommt man wirklich kompetente Hilfe.
Deshalb hab ich natürlich auch ne Frage an euch^^ Und zwar hatte ich auch den Trojaner Bifrose.aej und habe - weil es hier viele empfohlen hatten - mein System neu aufgesetzt. Allerdings habe ich mehrere Partitionen und habe bisher nur die Systempartition formatiert, deshalb wollte ich fragen, ob sich der Trojaner möglicherweise von einer anderen Partition wieder auf die Systempartition einschleichen könnte. Habe noch nichts von den anderen Partitionen auf die Syspartition verschoben.
Außerdem wollte ich fragen, ob der Trojaner auch Passwörter auslesen kann, wenn man sie nicht direkt eingegeben hat, als der Trojaner installiert und aktiv war, sondern auch, wenn die Passwörter im Firefox gespeichert waren?

mfg und danke schonmal für die Hilfe!

PS: Mir ist aufgefallen, dass sehr viele, die den Virus auch hatten, WoW spielen oder gespielt haben. Mir scheint das doch sehr sehr verdächtig. Ich vermute stark, dass der Trojaner bei mir mittels eines AddOns von WoW auf den Rechner gelangte (Für alle Nicht-WoWler: mit AddOns sind Programme gemeint, die das Spiel ingame übersichtlicher gestalten). Es wäre deshalb interessant zu wissen, ob ihr anderen auch AddOns von WoW heruntergeladen habt und wenn ja, welche und am besten noch, wo ihr sie runtergeladen habt.
Ich hatte mir Cartographer und MobMap installiert. Bei MobMap hatt ich allerdings sogar noch einen automatischen Installer anstatt nur der gepackten Dateien. Habe nicht viel Ahnung aber ich könnte mir gut vorstellen, dass der installer auch noch was anderes installiert hat...

hi lok1

wenn du wissen willst ob sich noch etwas auf deinem system herum treibt eröffne einen eigenen tread und poste ein HijackThis logfile wie in dieser Anleitung beschrieben

Antwort

Themen zu Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!
acroiehelper.dll, antivir, avg, avgnt, avgnt.exe, avira, browser, ctfmon.exe, desktop.ini, dringend, einstellungen, finds, helper, hijack, hilfe!!, internet explorer, launch, log file, loswerden, malware, musik, programm, realtek, registry, rundll, scan, sched.exe, shortcut, shut down, software, svchost.exe, system, trojaner, tuneup utilities, windows, windows xp



Ähnliche Themen: Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!


  1. Bitte dringend um Hilfe - Backdoor.Win32.Androm.henq Trojaner Macbook
    Plagegeister aller Art und deren Bekämpfung - 11.06.2015 (7)
  2. backdoor,win32.bifrose.f
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (16)
  3. Ad-Aware blockt Win32.Backdoor.Bifrose - Besteht gefahr?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2011 (21)
  4. Torjaner Backdoor.Win32.Bifrose.dmls
    Plagegeister aller Art und deren Bekämpfung - 17.02.2011 (1)
  5. Backdoor.Win32.Bifrose.fpb gelöscht?
    Log-Analyse und Auswertung - 31.03.2010 (3)
  6. backdoor.win32.bifrose.bnyf und Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 30.08.2009 (7)
  7. Mein PC total befallen..Backdoor.Win32.Bifrose.zuh usw.
    Plagegeister aller Art und deren Bekämpfung - 15.01.2009 (0)
  8. Benötige dringend Hilfe
    Mülltonne - 22.10.2008 (0)
  9. Backdoor.Win32.Bifrose.aej aufspürbar ?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (22)
  10. Backdoor.Win32.Bifrose.aej ich finde ihn nicht!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2007 (23)
  11. Win32.Backdoor.Bifrose
    Log-Analyse und Auswertung - 26.11.2007 (3)
  12. Benötige dringend hilfe
    Plagegeister aller Art und deren Bekämpfung - 06.07.2007 (3)
  13. backdoor.win32.bifrose.aej befall?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2007 (13)
  14. benötige dringend hilfe!
    Log-Analyse und Auswertung - 12.06.2007 (3)
  15. Bifrose.LA - Trojaner! Bitte dringend HILFE!!
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (4)
  16. Benötige dringend Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 28.12.2005 (25)
  17. benötige dringend Hilfe ....
    Log-Analyse und Auswertung - 28.09.2005 (1)

Zum Thema Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! - Hallo!! So jetzt habe ich mal dieses Silent Runners Programm da durchlaufen lassen!! Ich hoffe da sind nicht so viele persönliche Informationen drin =(!! Ich hoffe ihr könnt mir helfen - Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!...
Archiv
Du betrachtest: Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.