Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BiFrost-Infizierung von außen (wahrscheinlich)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.01.2008, 15:50   #1
Endrju
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



Hallo,

ich bin neu hier und richtig froh, dass es solche Projekte wie das Trojaner-Board gibt. Hoffentlich helft ihr auch einem - naja, ich sag mal, so wie ich mich verhalten hab ... Vollidioten. ^^

Ich weiß selber, dass es schwachsinnig ist, solche Programme wie BiFrost und beigelegte Crypter zu öffnen, um das mit den Trojanern zu testen. Aber die Verlockung war damals einfach zu groß.
Ja, jedenfalls hab ich mich selber an solche Trojaner-Baukästen mit beigelegten "nützlichen" Programmen versucht. Keine Angst, im Netz habe ich keine Trojaner verbreitet.

Aber: Ich glaube meine "Baukästen" waren nicht ganz clean. Viele Programme (damit meine ich auch normale Crypt-Programme) wurden immer von Avira Antivir gemeldet, aber ich habs ignoriert.

Nun meine Vermutung:

So, mittlerweile läuft mein PC irgendwie langsamer. Um konkreter zu werden, er ist in gewissen Situationen lang am Arbeiten (aber nur manchmal), das Hochfahren ging auch mal schneller (oder kommt das von der SP2-Installation?).

Ich hab mich wohl an einen der Baukästen infiziert, glaube ich.

Könnt ihr mir BITTE helfen? Ich verspreche euch schonmal - ich werde nicht nochmal so einen S*heiß machen!
(bedenkt: wenigstens bin ich ehrlich :/ )

Mein System und Logs:

System: XP Professionnal SP2 (wobei ich SP1 hatte, als ich mit den Baukästen rumgespielt habe)
Antivirus: Avira Antivir PE, Spybot S&D
Browser: Mozilla Firefox


Erst habe ich den Netstat -a überprüft.

Code:
ATTFilter
C:\Dokumente und Einstellungen\Ena>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    endrju:epmap           endrju:0               ABHÖREN
  TCP    endrju:microsoft-ds    endrju:0               ABHÖREN
  TCP    endrju:netbios-ssn     endrju:0               ABHÖREN
  TCP    endrju:1028            endrju:0               ABHÖREN
  TCP    endrju:1034            localhost:1035         HERGESTELLT
  TCP    endrju:1035            localhost:1034         HERGESTELLT
  TCP    endrju:1037            localhost:1038         HERGESTELLT
  TCP    endrju:1038            localhost:1037         HERGESTELLT
  TCP    endrju:netbios-ssn     endrju:0               ABHÖREN
  UDP    endrju:microsoft-ds    *:*
  UDP    endrju:isakmp          *:*
  UDP    endrju:1032            *:*
  UDP    endrju:1066            *:*
  UDP    endrju:1168            *:*
  UDP    endrju:1169            *:*
  UDP    endrju:1711            *:*
  UDP    endrju:1715            *:*
  UDP    endrju:4500            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:netbios-ns      *:*
  UDP    endrju:netbios-dgm     *:*
  UDP    endrju:1900            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:1713            *:*
  UDP    endrju:1900            *:*
  UDP    endrju:ntp             *:*
  UDP    endrju:netbios-ns      *:*
  UDP    endrju:netbios-dgm     *:*
  UDP    endrju:1900            *:*
         

Dann, natürlich, ein HJT-LOG


Logfile of HijackThis v1.99.1
Scan saved at 15:49:02, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\WinTV\Ir.exe
D:\Crap\Mouse o'Meter\mom.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
D:\Spiele\Steam\Steam.exe
D:\FILEZ\hijackthis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - Startup: Mouse o Meter.lnk = D:\Crap\Mouse o'Meter\mom.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1198608344421
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe





Danke allen, die sich bis hierhin die Mühe gemacht haben. Ich weiß, etwas lang der Post. ^^
Und nochmal Entschuldigung wegen des Herumspielens. Wie gesagt, ich lasse in Zukunft die Finger davon.

mfg

Alt 07.01.2008, 16:11   #2
-SkY-
Gast
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



1. SP1 + diese Baukästen = Auweia, das ist dir wenigstens klar
2. Was war das für ein "Baukasten"? Ich habe zB in Computergeschäften solche Packs gesehen, oder war das irgendwas von einer "pöhsen" Seite?
3. Was hatte AntiVir damals in dem Baukasten gemeldet? Bitte so genau wie es geht, am besten im Log gucken oder so
4. Woher weißt du von der Bifrose-Infektion? Hat AntiVir was gemeldet?
5. In deinem Log sehe ich nicht "Bifröslicheches"
6. Herumspielen ist ja Okay, das machen auch die Leute von den AV-Firmen, aber da sichert man sich ab...
__________________


Alt 07.01.2008, 20:35   #3
Endrju
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



Zitat:
Zitat von -SkY- Beitrag anzeigen
1. SP1 + diese Baukästen = Auweia, das ist dir wenigstens klar
aua :s

Zitat:
2. Was war das für ein "Baukasten"? Ich habe zB in Computergeschäften solche Packs gesehen, oder war das irgendwas von einer "pöhsen" Seite?
Ein Freund brannte mir einige Packs von pöhsen Seiten auf CD.
Waren zwei verschiedene .rar-Archive mit jeweils einem Video-Tutorial.

Zitat:
3. Was hatte AntiVir damals in dem Baukasten gemeldet? Bitte so genau wie es geht, am besten im Log gucken oder so
Puh, ich schau mal nach.

Code:
ATTFilter
In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\Bifrost.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.adr.4' [BDS/Bifrose.adr.4] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\turkojaneng3\Client.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Cakl.A.26' [BDS/Cakl.A.26] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\turkojaneng3\plugin\plugin.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XDR.Gen' [TR/Crypt.XDR.Gen] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\Themida V1.8.0.0 demo - CRACKED\Themida.demo.V1.8.0.0.CracKed.By.fly.eXe'
wurde ein Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted' [HIDDENEXT/Crypted] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'D:\ENDRJU\Daten\h4xx\BiFrost\bft\nützliche dinge\Themida V1.8.0.0 demo - CRACKED\Themida.demo.V1.8.0.0.CracKed.By.fly.eXe'
wurde ein Virus oder unerwünschtes Programm 'HIDDENEXT/Crypted' [HIDDENEXT/Crypted] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'C:\WINDOWS\System32\win32GL\svchost.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.bcn.34' [TR/Agent.bcn.34] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Code:
ATTFilter
In der Datei 'C:\System Volume Information\_restore{2D23271C-DE73-42DF-AFE5-6D08C46DA279}\RP37\A0014196.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.Gen' [BDS/Bifrose.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         


Zitat:
4. Woher weißt du von der Bifrose-Infektion? Hat AntiVir was gemeldet?
Code:
ATTFilter
In der Datei 'C:\System Volume Information\_restore{2D23271C-DE73-42DF-AFE5-6D08C46DA279}\RP37\A0014196.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.Gen' [BDS/Bifrose.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         
Zitat:
6. Herumspielen ist ja Okay, das machen auch die Leute von den AV-Firmen, aber da sichert man sich ab...
Jo sry ...

hoffentlich hilft das ...
__________________

Alt 15.01.2008, 17:01   #4
Endrju
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



*hop*

antwortet noch wer? ich glaub immernoch, hier ist was nich ganz geheuer.jedes mal, wenn mein pc in den screensaver bzw ruhemodus geht, kommt ne virenmeldung ... halt dieses trojan agent/bifrose/steam ...

Alt 15.01.2008, 17:53   #5
Franz1968
/// Helfer-Team
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



Naja, was soll man antworten? Ein mit einer Backdoor infizierter Rechner gehört grundsätzlich neu aufgesetzt (und bis dahin vom Netz getrennt); dass du die Infektion selbst herbeigeführt hast, macht es nicht besser - und dein Problem nicht weniger schwerwiegend.

Ich hoffe, du betreibst mit dem Rechner keine sicherheitsrelevanten Anwendungen, Online-Banking z. B., das solltest du nämlich bis auf Weiteres lassen, und nach dem Neuaufsetzen alle diesbezüglichen Passwörter usw. ändern. Tut mir leid, aber mehr gibt es zu dem Thema m. E. nicht zu sagen.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.01.2008, 18:00   #6
Heike
 
BiFrost-Infizierung von außen (wahrscheinlich) - Standard

BiFrost-Infizierung von außen (wahrscheinlich)



ich vermute mal, Du hast Bifrost getestet, Dir mal einen Server gemacht und den gestartet. der wird auf Deinem PC noch laufen, weil Du ihn nicht entfernt hast.

Wenn dem nicht so ist, bist Du wohl von jemand anderem infiziert.

Das die bifrost.exe von AV-Tools bemängelt wird ist vollkommen normal und vollkommen unwichtig. Diese Datei ist nicht infiziert, wenn sie aus vertrauenswürdiger Quelle kommt. Das kann natürlich bei Deiner Datei, die Dein Freund irgendwo her hat, ganz anders sein, dann könnte es berechtigt sein.

Bei Themida ist vielleicht ein Keygen bei? der könnte auch infiziert sein.

aber wie sagt man so schön: no risk, no fun
__________________
--> BiFrost-Infizierung von außen (wahrscheinlich)

Antwort

Themen zu BiFrost-Infizierung von außen (wahrscheinlich)
antivir, avira, bho, bifrost, crypter, dll, einstellungen, explorer, hijack, hijackthis, icq, infiziert, internet, internet explorer, microsoft-ds, mozilla, netbios-ns, netstat, neu, nvidia, programme, rundll, software, system, tcp, trojaner-board, tuneup.defrag, udp, windows, windows xp



Ähnliche Themen: BiFrost-Infizierung von außen (wahrscheinlich)


  1. Zugriff von außen auf meinen Rechner
    Log-Analyse und Auswertung - 12.08.2015 (25)
  2. Rechner versucht über Port 137 nach außen zu verbinden
    Log-Analyse und Auswertung - 05.09.2012 (1)
  3. PC verhält sich komisch - Informationen dringen nach außen
    Log-Analyse und Auswertung - 23.11.2011 (25)
  4. Überreste von Bifrost?
    Log-Analyse und Auswertung - 24.09.2009 (23)
  5. Vermute Zugriff von außen durch einen Dritten!!!
    Log-Analyse und Auswertung - 13.08.2009 (21)
  6. Bifrost eingefangen :(
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (12)
  7. bin ich mit Bifrost infiziert?
    Log-Analyse und Auswertung - 10.02.2009 (3)
  8. Polung Außen/Innen: minus/plus oder umgekehrt (Laptop)
    Diskussionsforum - 28.01.2009 (4)
  9. BZub und BiFrost..
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (3)
  10. Bifrost plage
    Mülltonne - 01.01.2009 (0)
  11. Wird mein PC von außen kontrolliert?
    Log-Analyse und Auswertung - 21.12.2008 (8)
  12. Bifrost entfernen
    Log-Analyse und Auswertung - 23.11.2008 (9)
  13. Bifrost infiziert?
    Log-Analyse und Auswertung - 08.10.2008 (5)
  14. Bifrost-Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 05.10.2008 (14)
  15. Fremdzugriff auf PC von außen? --> Hijack angriff?? Brauche Hilfe!!!
    Log-Analyse und Auswertung - 20.09.2006 (2)
  16. Zugriff von außen und Pop ups pur hilfe
    Log-Analyse und Auswertung - 14.01.2006 (4)
  17. Portscan von außen?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2004 (3)

Zum Thema BiFrost-Infizierung von außen (wahrscheinlich) - Hallo, ich bin neu hier und richtig froh, dass es solche Projekte wie das Trojaner-Board gibt. Hoffentlich helft ihr auch einem - naja, ich sag mal, so wie ich mich - BiFrost-Infizierung von außen (wahrscheinlich)...
Archiv
Du betrachtest: BiFrost-Infizierung von außen (wahrscheinlich) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.