Hallo,

Zitat:

und auf einmal beim start des spiels kam eine meldung:

Könntest du diese Meldung im genauen Wortlaut posten ?
Mit Nennung desjenigen ,der sie ausgibt.
Kopiere sie der Einfachheit halber hier rein...

Anmerkung :
Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ?
Oder würdest du rot werden und zu stammeln anfangen ?
Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten.
Irrlicht

Edit.
Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...

Hi,

die beiden Dateien sind verdächtig:

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Bei der ersten besteht Bifroseverdacht. Dateien bei VirusTotal scannen lassen und Ergebnisse komplett (inklusive Größe, MD5, ...) hierher kopieren.

Gruß, Karl

Zitat:

Zitat von KarlKarl

Hi,

die beiden Dateien sind verdächtig:

C:\WINDOWS\system32\usvr\usvr32.exe
C:\WINDOWS\inetloader.dll

Irgendwie hab ich heute Tomaten auf den Augen, habe nur nach Bifrose gesucht...

Denke aber nicht das die Dateien mit Bifrose in Verbindung stehen..

Zitat:

Zitat von irrlicht

Hallo,


Könntest du diese Meldung im genauen Wortlaut posten ?
Mit Nennung desjenigen ,der sie ausgibt.
Kopiere sie der Einfachheit halber hier rein...

Anmerkung :
Würde ich jetzt neben dir stehen und die Rechnung für das Spiel sehen wollen,könntest du mir sowas vorzeigen ?
Oder würdest du rot werden und zu stammeln anfangen ?
Spiele die vom Laster gefallen sind,haben sehr gerne unerwünschte Zusätze erhalten.
Irrlicht

Edit.
Wenn ich dich online sehe,habe ich schon ein sechser Pack "Doppelherz" und "Galama" drin...

Das Spiel is Orginal aus dem Mediamarkt Rosenheim Rechnung hab ich hier

des bei virustotal hat folgendes ergeben:

C:\WINDOWS\system32\usvr\usvr32.exe:


AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.14336.CD
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 BackDoor.Generic7.YE
BitDefender 7.2 07.06.2007 Trojan.Dropper.Delf.Undet.B
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 BackDoor.Bifrost.79
eSafe 7.0.15.0 07.05.2007 no virus found
eTrust-Vet 30.8.3767 07.06.2007 no virus found
Ewido 4.0 07.06.2007 Backdoor.Spy
FileAdvisor 1 07.06.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 BDoor.CEP!tr.bdr
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 Trojan.Win32.Small.js
Kaspersky 4.0.2.24 07.06.2007 no virus found
McAfee 5068 07.05.2007 BackDoor-CEP.svr
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2382 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.06.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found
VirusBuster 4.3.23:9 07.05.2007 no virus found
Webwasher-Gateway 6.0.1 07.06.2007 no virus found


und C:\WINDOWS\inetloader.dll: muss 20 mins warten
poste später


aber des erste ??? schaut ja ned so gut aus.... was machen??

"Bifrose" ist der Szenename, die meisten Scannerhersteller vermeiden es, diese Namen zu benutzen, DrWeb kommt dem noch am nächsten. Dass viele Scanner die nicht erkennen, ist leider normal: Es gibt extra Webforen, die Leute dazu anleiten, eine solche Backdoor so zu "crypten", dass sie nicht mehr erkannt wird. Bifrose & Co. sind da ernste Problemfälle.

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread an (das ist ein englischsprachiges Forum). Kopiere die Scanresultate in den Beitrag. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.

• C:\WINDOWS\system32\usvr\usvr32.exe

Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Damit hilfst Du mit, dass die Scanner besser werden.

Der Rest ist leider etwas unbeliebt. Du solltest dein Windows neu installieren, denn über die Backdoor hat dein unbekannter Remoteadministrator vollen Zugriff auf dein System und er hat mit Sicherheit kein Log hinterlassen, was er dort alles angestellt hat. Außerdem solltest Du von einem sauberen System aus alle benutzten Passwörter und Zugangsdaten ändern.

ne oda...... schei***

hier mal der bericht von der 2. datei

AhnLab-V3 2007.7.5.0 07.06.2007 Win-Trojan/Downloader.16896.AN
AntiVir 7.4.0.39 07.06.2007 TR/Dldr.Small.ddp.32
Authentium 4.93.8 07.06.2007 W32/Downloader.BBWI
Avast 4.7.997.0 07.06.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.476 07.06.2007 Downloader.Generic3.NUV
BitDefender 7.2 07.06.2007 Trojan.Downloader.Small.DDP
CAT-QuickHeal 9.00 07.06.2007 TrojanDownloader.Small.ddp
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 Trojan.DownLoader.19172
eSafe 7.0.15.0 07.05.2007 Win32.Small.ddp
eTrust-Vet 30.8.3767 07.06.2007 Win32/Seresp.F
Ewido 4.0 07.06.2007 Downloader.Small.ddp
FileAdvisor 1 07.06.2007 High threat detected
Fortinet 2.91.0.0 07.06.2007 W32/Small.DDP!tr.dldr
F-Prot 4.3.2.48 07.06.2007 W32/Downloader.BBWI
F-Secure 6.70.13260.0 07.06.2007 W32/DLoader.BYMI
Ikarus T3.1.1.8 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Kaspersky 4.0.2.24 07.06.2007 Trojan-Downloader.Win32.Small.ddp
McAfee 5068 07.05.2007 AZESearch.dll
Microsoft 1.2704 07.06.2007 TrojanDownloader:Win32/Small!7C55
NOD32v2 2382 07.06.2007 Win32/TrojanDownloader.Small.NTN
Norman 5.80.02 07.06.2007 W32/DLoader.BYMI
Panda 9.0.0.4 07.06.2007 Trj/Downloader.ODN
Sophos 4.19.0 07.06.2007 Troj/Dloadr-AVB
Sunbelt 2.2.907.0 07.06.2007 Trojan-Downloader.Win32.Small.ddp
Symantec 10 07.06.2007 Adware.TrustInBar
TheHacker 6.1.6.143 07.05.2007 Trojan/Downloader.Small.ddp
VBA32 3.12.0.2 07.06.2007 Trojan-Downloader.Win32.Small.ddp
VirusBuster 4.3.23:9 07.05.2007 Trojan.DL.Small.GWF
Webwasher-Gateway 6.0.1 07.06.2007 Trojan.Dldr.Small.ddp.32



Gibts keine andere möglichkeit??

Wenn Du auf Sicherheit und Vertrauenswürdigkeit des Systems Wert legst, gibt es keine andere Möglichkeit. Die Bandbreite der Möglichkeiten, was an dem System manipuliert sein kann, ist so groß, dass sich das nicht alles prüfen lässt. Erst recht nicht online über ein Forum, selbst wenn der Rechner vor mir stehen würde, hätte ich damit ein großes Problem. Neu installieren ist einfach, schnell und sicher.

Niemand kann dir die Sicherheit geben, dass auf den Rechner kein Zugriff mehr möglich ist nach Entfernung dieser Backdoor. Die erste Backdoor auf einem System ist oft relativ auffällig, deshalb ist es möglich, dass sie genutzt wird, eine wesentlich besser versteckte anzulegen, die den Zugriff auch ermöglicht, nachdem die erste Tür geschlossen wurde. Die Details hängen davon ab, wie clever der Angreifer ist.

Wenn dir das egal ist: Dann lösche die Dateien und entferne die Starteinträge. Dann solltest Du aber auf Onlinebanking, Ebay, Spiele mit wertvollen Keys (geklaute WoW-Accounts sind ein wertvolles Handelsgut), usw. auf dem Rechner in Zukunft verzichten.

hab windows neu installiert...
die warnung is jetz weg aber mien daten auch xxD

naja
danke an alle für die schnelle hilfe *lob*

Zitat:

Zitat von I2eI2ell

hab windows neu installiert...
die warnung is jetz weg aber mien daten auch xxD

1.) Man kann selbst im Falle einer Infektion immer noch Datensicherungen anfertigen (wohlgemerkt, Daten!, keine Programme, keine Installationsdateien). Dazu verwendet man idealer Weise eine Notfall-CD. Das kann UBCD4WIN sein, das kann BartPE oder auch ein Ubuntu Live sein. So eine (oder auch mehrere CDs) sollte man immer im Schrank liegen haben.

2.) Man fertigt regelmäßig Backups / Datensicherungen auf externen Medien an, z.B. auf einer externen Festplatte, auf DVD-RAM, oder für etwas kurzfristig zu Sicherndes auf einem USB-Stick.

Backups sind das A und O, wenn es darum geht, Daten dauerhaft zu erhalten!

Ich hab auch das Problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]