Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: WoW meldet Backdoor.Win32.Biforse.aej

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.05.2007, 20:36   #1
Warlord711
/// TB-Ausbilder
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Hallo !

Urplötzlich meldet mein World of Warcraft beim Starten den Fund von Bifrose.aej

Hab mein System mit Antivir sowie McAfee jeweils in aktueller Version gescannt und leider den Schädling nicht gefunden.

Hier das HiJack Log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:17:33, on 29.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\r_server.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
E:\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BEI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BEI.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: OPZHRNEFGLGJLU - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Warlord\LOKALE~1\Temp\OPZHRNEFGLGJLU.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 5969 bytes



Irgendwelche Ideen/Tipps ?

Alt 29.05.2007, 20:55   #2
Franz1968
/// Helfer-Team
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Hallo,
interessantes Logfile.
Sehe ich das richtig, dass du den RootkitRevealer von Sysinternals eingesetzt hast? Warum?
Zitat:
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
Es läuft ein Remote Administration Tool. Von dir beabsichtigt?
Da ich kein "Gamer" bin, habe ich keine Ahnung, was WoW meldet, wenn es einen Bifrose (den meinst du ja wohl, und nicht "Biforse") meldet. Gibt es eine Pfadangabe? Wenn ja, nenne sie bitte.

Ansonsten lege ich dir einen Scan mit Silentrunners ans Herz. Du findest es hier, mit einer Anleitung. Poste im Anschluss das Log.
__________________

__________________

Alt 29.05.2007, 21:31   #3
Warlord711
/// TB-Ausbilder
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Hier das Log:



"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"" [null data]
"F-Secure Manager" = ""C:\Programme\F-Secure\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{5CE63B3D-6102-B2D9-A50C-15D800618C41}\(Default) = (no title provided)
\StubPath = "C:\Programme\flashupdate\flashupd.exe s" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{70B28949-EC23-4D00-A411-AD8A1B3A8A5A}" = "awxDTools - ContextMenu ShellExtension"
-> {HKLM...CLSID} = "awxDTShlExt Class"
\InProcServer32\(Default) = "C:\Programme\DAEMON Tools\awxDTools.dll" ["arniWORX"]
"{7A5117B0-B594-4DA8-829D-D15BF11996F2}" = "awxDTools - ColumnHandler ShellExtension"
-> {HKLM...CLSID} = "awxDTColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\DAEMON Tools\awxDTools.dll" ["arniWORX"]
"{D7C3180D-83AA-464B-9154-6BD0B4E34FBD}" = "awxDTools - PropertySheetHandler ShellExtension"
-> {HKLM...CLSID} = "awxDToolsPropSheet Class"
\InProcServer32\(Default) = "C:\Programme\DAEMON Tools\awxDTools.dll" ["arniWORX"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{1AED2A52-81A3-404D-AEF9-7DE981C316D1}" = "R-Wipe&Clean"
-> {HKLM...CLSID} = "FWipeShellExt Class"
\InProcServer32\(Default) = "C:\Programme\R-Wipe&Clean\RwcSh32.dll" ["R-tools Technology Inc."]
"{D120D80B-BD26-4A74-8E43-2C2AF0966139}" = "QuickPar ContextMenu extension"
-> {HKLM...CLSID} = "QuickParContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
<<!>> taskmgr.exe\Debugger = ""D:\PROCESSEXPLORER\PROCEXP.EXE"" ["Sysinternals"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7A5117B0-B594-4DA8-829D-D15BF11996F2}\(Default) = "awxDTools - ColumnHandler"
-> {HKLM...CLSID} = "awxDTColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\DAEMON Tools\awxDTools.dll" ["arniWORX"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Quick Par\(Default) = "{D120D80B-BD26-4A74-8E43-2C2AF0966139}"
-> {HKLM...CLSID} = "QuickParContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
R-Wipe&Clean\(Default) = "{1AED2A52-81A3-404D-AEF9-7DE981C316D1}"
-> {HKLM...CLSID} = "FWipeShellExt Class"
\InProcServer32\(Default) = "C:\Programme\R-Wipe&Clean\RwcSh32.dll" ["R-tools Technology Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Warlord" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AudioDeck" -> shortcut to: "C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe -min" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B13B4423-2647-4CFC-A4B3-C7D56CB83487}\
"ButtonText" = "Share in Hello"
"MenuText" = "Share in H&ello"
"CLSIDExtension" = "{B13B4423-2647-4cfc-A4B3-C7D56CB83487}"
-> {HKLM...CLSID} = "IECmdExecute Class"
\InProcServer32\(Default) = "C:\Programme\Hello\PicasaCapture.dll" ["Picasa, Inc."]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Automatic Update Agent, FSAUA, ""C:\Programme\F-Secure\FSAUA\program\fsaua.exe"" ["F-Secure Corporation"]
F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure\Common\FSMA32.EXE"" ["F-Secure Corporation"]
F-Secure Network Request Broker, F-Secure Network Request Broker, ""C:\Programme\F-Secure\Common\FNRB32.EXE"" ["F-Secure Corporation"]
FSGKHS, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe"" ["F-Secure Corporation"]
Remote Administrator Service, r_server, ""C:\WINDOWS\system32\r_server.exe" /service" [empty string]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt10\Driver = "hpzsnt10.dll" ["HP"]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 221 seconds.
---------- (total run time: 278 seconds)
__________________

Alt 29.05.2007, 21:40   #4
Warlord711
/// TB-Ausbilder
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Zitat:
Zitat von Franz1968 Beitrag anzeigen
Hallo,
interessantes Logfile.
Sehe ich das richtig, dass du den RootkitRevealer von Sysinternals eingesetzt hast? Warum?

Es läuft ein Remote Administration Tool. Von dir beabsichtigt?
Da ich kein "Gamer" bin, habe ich keine Ahnung, was WoW meldet, wenn es einen Bifrose (den meinst du ja wohl, und nicht "Biforse") meldet. Gibt es eine Pfadangabe? Wenn ja, nenne sie bitte.

Ansonsten lege ich dir einen Scan mit Silentrunners ans Herz. Du findest es hier, mit einer Anleitung. Poste im Anschluss das Log.
Remote Admin ist beabsichtigt.
RootkitRevealer hab ich eingesetzt, im Rahmen vom Systemscan.


WoW gibt natürlich KEINE Info wie und wo es Bifrose gefunden hat, sonst wärs ja zu einfach.

Alt 30.05.2007, 23:11   #5
Warlord711
/// TB-Ausbilder
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Kann mir jemand ein aktiveres Board nennen ?
Hier scheint niemand weiter zu wissen.


Alt 31.05.2007, 01:36   #6
ordell1234
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



@Franz1968:
Zitat:
Da ich kein "Gamer" bin, habe ich keine Ahnung, was WoW meldet, wenn es einen Bifrose (den meinst du ja wohl, und nicht "Biforse") meldet.
Siehste, bis vor ein paar Wochen hatte ich noch nicht mal eine Ahnung, was WoW überhaupt bedeutet. Zu WoW gibt es nen netten Abriss bei Wikipedia. Da hinkt wohl auch Shadow als bekennender Nichtgamer etwas hinterher, wenn ihm zum "Pümpel" unbefangen ein "wow" einfällt (obwohl die Übersetzung je nach Anwendung des Pümpels durchaus treffen kann). Muss man das wissen? Vermutlich nicht. Vergisst man es wieder? Vermutlich nicht. Seit kurzem weiß ich auch von "cs", das sowohl CounterStrike als auch Cybersex bedeuten kann. Da darfst du dich nicht im Forum vertun, wenn du auf ein "cs?" frei heraus mit "Jawohl!" antwortest. Und sehr interessant: Ließ mal bei Wikipedia nach, was um Gottes Willen ein "mehrschichtiges Akronym" ist. Eine Begriffsfiligranie in der Szene, du staunst Bauklötzer.

@Warlord711: Du magst zwar ein formidabler Kriegsherr sein, aber Herr deines Computer bist du nicht mehr. Deinen logs kann ich zwar nichts Verdächtiges entnehmen, aber hey:
Zitat:
sonst wärs ja zu einfach.
Deshalb, tschuldigung für meine Inkompetenz. Und das Board, genau, Recht hast du, lahmer Haufen, nicht zu vergleichen mit dem WoW-chat. Unterstellt, dein WoW liegt richtig, hier ein deeplink für dich. Und in Schutz nehmen muss ich dich auch noch, denn weder die Boardsuche noch Google wissen was über "bifrose". Antivir, McAfee, F-secure... dem Kriegsgott gebe ich einen Rat und zitiere aus nem Film: Verlass dich auf andere und du bist verlassen.

Macht 3 Blutfeen zur freien Verfügung! Ich hoffe, ihr Name hält, was er verspricht.

Geändert von ordell1234 (31.05.2007 um 01:42 Uhr)

Alt 31.05.2007, 04:58   #7
KarlKarl
/// Helfer-Team
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Hi,

das sieht sehr danach aus, dass es dein Bifrose ist:

Code:
ATTFilter
HKLM\Software\Microsoft\Active Setup\Installed Components\
{5CE63B3D-6102-B2D9-A50C-15D800618C41}\(Default) = (no title provided)
\StubPath = "C:\Programme\flashupdate\flashupd.exe s" [null data]
         
Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Datei mal bei VirusTotal scannen lassen. Wenn er es ist, dann heißt das formatieren und neu installieren. Und umgehend alle Passwörter von einem sauberen System aus wechseln. Bin zwar bekennender Antigamer, hab aber schon davon gehört, dass sich WoW-Accounts klauen und zu Geld machen lassen.

Gruß, Karl

Alt 31.05.2007, 07:17   #8
Rene-gad
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen
... wie hier abgebildet: http://www.trojaner-board.de/59624-a...-sichtbar.html

Alt 31.05.2007, 09:11   #9
Warlord711
/// TB-Ausbilder
 
WoW meldet Backdoor.Win32.Biforse.aej - Standard

WoW meldet Backdoor.Win32.Biforse.aej



Zitat:
Zitat von ordell1234 Beitrag anzeigen
@Franz1968: Siehste, bis vor ein paar Wochen hatte ich noch nicht mal eine Ahnung, was WoW überhaupt bedeutet. Zu WoW gibt es nen netten Abriss bei Wikipedia. Da hinkt wohl auch Shadow als bekennender Nichtgamer etwas hinterher, wenn ihm zum "Pümpel" unbefangen ein "wow" einfällt (obwohl die Übersetzung je nach Anwendung des Pümpels durchaus treffen kann). Muss man das wissen? Vermutlich nicht. Vergisst man es wieder? Vermutlich nicht. Seit kurzem weiß ich auch von "cs", das sowohl CounterStrike als auch Cybersex bedeuten kann. Da darfst du dich nicht im Forum vertun, wenn du auf ein "cs?" frei heraus mit "Jawohl!" antwortest. Und sehr interessant: Ließ mal bei Wikipedia nach, was um Gottes Willen ein "mehrschichtiges Akronym" ist. Eine Begriffsfiligranie in der Szene, du staunst Bauklötzer.

@Warlord711: Du magst zwar ein formidabler Kriegsherr sein, aber Herr deines Computer bist du nicht mehr. Deinen logs kann ich zwar nichts Verdächtiges entnehmen, aber heyeshalb, tschuldigung für meine Inkompetenz. Und das Board, genau, Recht hast du, lahmer Haufen, nicht zu vergleichen mit dem WoW-chat. Unterstellt, dein WoW liegt richtig, hier ein deeplink für dich. Und in Schutz nehmen muss ich dich auch noch, denn weder die Boardsuche noch Google wissen was über "bifrose". Antivir, McAfee, F-secure... dem Kriegsgott gebe ich einen Rat und zitiere aus nem Film: Verlass dich auf andere und du bist verlassen.

Macht 3 Blutfeen zur freien Verfügung! Ich hoffe, ihr Name hält, was er verspricht.


Ähm, ich weiss nicht was ich von diesem Posting halten soll.
Ich hatte bereits den Rechner mit 3 verschiedenen AV-Tools gescannt, sowie den Informationen von Sorphos usw. nachgegangen, Registry durchforstet sowie die "gängigen" Dateinamen für Bifrose gesucht und geprüft.

Ich weiss auch nicht was deine kindischen Anspielungen auf WoW und meinen, schon seit mind. 15 Jahren von mir benutzten Nickname, sollen.
Nachdem ich die Dateiein in dem Ordner gelöscht habe, den Karlkarl nannte, meldet auch WoW keinen Backdoor mehr.

Komisch das etliche Scans nix gefunden haben. Aber das scheint er echt gewesen zu sein. Im Verzeichnis war eine .exe und eine .dat Datei, letztere liess sich nur entfernen nachdem ich per ProcessExplorer nach dem Handle gesucht habe, der sich im Firefox versteckte.

Hoffentlich ist jetzt alles sauber.

Antwort

Themen zu WoW meldet Backdoor.Win32.Biforse.aej
ad-aware, administrator, antivir, beim starten, bho, browseui preloader, ctfmon.exe, enigma, f-secure, firewall, hijack, hijackthis, hkus\s-1-5-18, hotkey, icq, internet, internet explorer, log, messenger, micro, microsoft, mozilla, mozilla firefox, programme, s-1-5-18, schädling, software, starten, system, temp, trend micro, windows, windows xp



Ähnliche Themen: WoW meldet Backdoor.Win32.Biforse.aej


  1. AVG Meldet Trojaner BackDoor Generic_c. Fehlalarm oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (3)
  2. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  3. Antivir meldet BDS/ZeroAccess.Gen' [backdoor].
    Log-Analyse und Auswertung - 09.05.2013 (10)
  4. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  5. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  6. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  7. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  8. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  9. Kaspersky meldet nach DivX update Backdoor.Win32.IRCNite.anf
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (1)
  10. KIS 2010 meldet Win32.Banker.ajgn und Win32.OnLineGame.uaoe
    Log-Analyse und Auswertung - 04.03.2010 (8)
  11. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  12. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  13. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  14. Norton360 meldet Backdoor.Graybird!Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2008 (1)
  15. Windows-Defender meldet Backdoor.win32/Rbot
    Log-Analyse und Auswertung - 15.04.2008 (1)
  16. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  17. Backdoor.Win32.Y3K.Rat.10
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (11)

Zum Thema WoW meldet Backdoor.Win32.Biforse.aej - Hallo ! Urplötzlich meldet mein World of Warcraft beim Starten den Fund von Bifrose.aej Hab mein System mit Antivir sowie McAfee jeweils in aktueller Version gescannt und leider den Schädling - WoW meldet Backdoor.Win32.Biforse.aej...
Archiv
Du betrachtest: WoW meldet Backdoor.Win32.Biforse.aej auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.