hallo,

war gerade im urlaub und habe nach meiner rückkehr einen irgendwie "spinnenden" rechner vorgefunden. die tastatur ging nicht mehr zur eingabe im internet, auch nicht bei word etc. (hat sich vorläufig erledigt, nach dem ich firefox deinstalliert und neuinstalliert habe, nach einer gewissen eingrenzung des problembereichs. die alte einfache schnell-lösung. komisch, aber immerhin effektiv)

bei einem durchlauf von avira nun ein virenfund, siehe titel: WORM/Small.I.2

habe schon mal bißchengegoogelt und gefunden, daß es irgendwie mit einem mp3-player zusammenhängen kann.

(ich hatte hier zur urlaubsbetreuung meiner pflanzen und tiere einen bekannten. der hat mich ganz treudoof angeguckt, als er mir erzählte, daß mein rechner nicht in ordnung ist. bevor ich wegfuhr, war er aber noch tadellos in ordnung)

so, und nun die frage: kann mir jemand genaueres zu diesem "worm" sagen? ich habe normalerweise keine viren auf dem rechner und bin da auch ganz vorsichtig, so daß ich leider nicht zu denen gehöre, die sich mit dem ganzen geviech auskennen.
bitte also um auch für mich verständliche tipps. muß ich ihn löschen? hab nur die wahl vorgegeben von avira zwischen löschen und ignorieren. in quarantäne verschieben in dem falle nicht.

besten dank für die tipps schon mal vorneweg.

gruß

von mir selbst :-)

ach so, kleines ps hinterher: die datei selbst heißt "inetsrv.exe". (hört sich nicht grad vertrauenerweckend an, finde ich) habe ich auch im internet gefunden. gab das problem schon mal, eben im zusammenhang mit mp3-player. konnte es nicht entschlüsseln, was da gemeint war. war 1. englisch und 2. computerenglisch mit spezialisierung auf viren- und trojaner-fachchinesisch. da bin ich nicht schlau draus geworden. darum hier meine frage.

Hi,

das kann heiter werden, es kann u. U. ein Trojaner mit Backdoorfunktionalität sein...

Bitte HJ-Log gemäß den Boardregeln (siehe Signatur) und gleich noch combofix
posten (wegen der Infos):

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

so, hier nun der logfile von hijack.

beim virenscan wurde übrigens ersichtlich, daß derselbe sich 3 mal auf meinem rechner "breit gemacht" hat. hab mir die "standorte" aufgeschrieben. konnten nicht in quarantäne verschoben werden.

noch ein anderer "böser wicht" ist ebenfalls 3 mal vertreten, ebenfalls nicht in quarantäne verschiebbar. name: BDS/Bifrose.PG.3 alias BKDR_Bifrose.IA etc. beim googeln habe ich zumindest herausgefunden, daß es ein backdoor-programm ist. und daß es als nicht gefährlich eingestuft wird.

hier nun der log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:42, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\inetsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Antiviren\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{02230634-9528-4A6A-8082-852F32CCD5F1}: NameServer = 213.191.92.87 62.109.123.6
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4150 bytes


in kürze dann dasselbe von combofix

gruß von mir selbst (etwas im schwitzen wegen der geschichte)

hier nun das ergebnis von combofix. hoffe, das kann entziffert werden:

ComboFix 08-08-17.03 - ICH 2008-08-18 15:56:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.203 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ICH\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Driveinfo.exe
C:\WINDOWS\system32\Driveinfo.log
C:\WINDOWS\system32\inetsrv.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 ))))))))))))))))))))))))))))))
.

2008-08-18 15:06 . 2008-08-18 15:06 <DIR> d-------- C:\Programme\Antiviren
2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-17 22:39 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-17 22:39 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-19 16:25 --------- d-----w C:\Programme\Java
2008-07-16 10:16 --------- d-----w C:\Programme\Konverter
2008-07-16 10:11 --------- d-----w C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-05-16 16:19 14,852 ----a-w C:\Programme\settings.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 16:51 36864]
"TomcatStartup"="C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2002-12-03 13:21 143360]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-04 00:58 381440 C:\WINDOWS\system32\irprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Nodfix - C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\kex3mbi7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.net/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 15:57:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...


Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 15:59:34
ComboFix-quarantined-files.txt 2008-08-18 13:59:28

Pre-Run: 6 Verzeichnis(se), 34,739,904,512 Bytes frei
Post-Run: 8 Verzeichnis(se), 34,936,758,272 Bytes frei

76

Bitte folgende Files prüfen:

Zitat:

C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also, wenn Nodfix nicht erkannt wurde, bei "Delete File" rauslöschen!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv
 
Files to delete:
C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen (nur wenn Nodfix erkannt wurde!:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe
         

Anschließend bitte MAM downloaden, updaten, neu booten und alles Laufwerke durchsuchen und bereinigen lassen:
Malwarebytes Antimalware.
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/showthread.php?t=54192


Chris

puh, danke für die ganze mühe erst mal.

es ist eine ganze menge,w as ich jetzt tun muß. werd mich mal ranmachen an die sache.

ganz und gar alle verstanden habe ich noch nicht. kann ich evtl. nachfragen wenn ich nicht weiterkomme? (vor allem all die dinge, die mit "code" beginnen, verstehe ich nicht. bin kein programmierer, kein it-spezialist, kenne keine programmiersprache. - weiß ich, sollte ich inzwischen etwas lernen. aber woher soll ich die zeit dafür auch noch nehmen?)

also, ich mach mich mal an die arbeit. bei bedarf meld ich mich zurück

p.s. ich habe nur heute zeit dafür. morgen muß ich weiter fahren. ich hoffe, das alles zu schaffen.

gruß

von ichselbst

hier erst einmal das ergebnis von virustotal über ndfix.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.18 Win-Trojan/Bifrose.90924
AntiVir 7.8.1.19 2008.08.18 BDS/Bifrose.PG.3
Authentium 5.1.0.4 2008.08.18 W32/BifrostP.D
Avast 4.8.1195.0 2008.08.18 Win32:Bifrose-IK
AVG 8.0.0.161 2008.08.18 BackDoor.Generic3.DL
BitDefender 7.2 2008.08.18 Trojan.Inject.FA
CAT-QuickHeal 9.50 2008.08.18 Backdoor.Bifrose.yg
ClamAV 0.93.1 2008.08.18 Trojan.Bifrose-846
DrWeb 4.44.0.09170 2008.08.18 BackDoor.Bifrost.24
eSafe 7.0.17.0 2008.08.18 Win32.Bifrose.yg
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 Backdoor.Bifrose.pg
F-Prot 4.4.4.56 2008.08.18 W32/BifrostP.D
F-Secure 7.60.13501.0 2008.08.18 Backdoor.Win32.Bifrose.yg
Fortinet 3.14.0.0 2008.08.18 W32/Bifrose.PG!tr.bdr
GData 2.0.7306.1023 2008.08.18 Backdoor.Win32.Bifrose.yg
Ikarus T3.1.1.34.0 2008.08.18 Backdoor.Win32.Bifrose.pg
K7AntiVirus 7.10.417 2008.08.18 Backdoor.Win32.Bifrose.yg
Kaspersky 7.0.0.125 2008.08.18 Backdoor.Win32.Bifrose.yg
McAfee 5362 2008.08.15 Generic.dl
Microsoft 1.3807 2008.08.18 Backdoor:Win32/Bifrose
NOD32v2 3365 2008.08.18 Win32/Bifrose.PG
Norman 5.80.02 2008.08.18 W32/Bifrose.CCY
Panda 9.0.0.4 2008.08.17 Bck/Bifrose.NW
PCTools 4.4.2.0 2008.08.18 Backdoor.Bifrost.XP
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 Backdoor.Bifrose.ade
Sophos 4.32.0 2008.08.18 Mal/Bifrose-I
Sunbelt 3.1.1546.1 2008.08.15 Trojan.Unclassified.gen
Symantec 10 2008.08.18 Trojan Horse
TheHacker 6.3.0.5.053 2008.08.18 Backdoor/Bifrose.yg
TrendMicro 8.700.0.1004 2008.08.18 BKDR_BIFROSE.IA
VBA32 3.12.8.3 2008.08.18 Backdoor.Win32.Bifrose.pg
ViRobot 2008.8.18.1339 2008.08.18 Backdoor.Win32.Bifrose.90924
VirusBuster 4.5.11.0 2008.08.18 Backdoor.Bifrost.XP
Webwasher-Gateway 6.6.2 2008.08.18 Trojan.Backdoor.Bifrose.PG.3
weitere Informationen
File size: 90924 bytes
MD5...: e01972a9980670054b127320418e40c0
SHA1..: 47803661a83641949016117f445d892e18fa1173
SHA256: 6ad091a28a9ba3b8d36ec2f55d9739c8d66d0d4802ff5f5fb7fd1286d3f3382a
SHA512: 5bd33866f5d20555be667052a7c0c19a9d4e3f734c172dbff8837c9f1466c3a4
8fbb867e36c1d0d59f7d24ac996be85b7b44a0867c67711d8a60e96cb706eee4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401010
timedatestamp.....: 0x4414e15a (Mon Mar 13 03:04:58 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8d88 0x8e00 7.99 9612b1fa644aac5a8b2ff44b30725c97
.idata 0xa000 0x6ec 0x800 4.22 252fa9ebcbff2a90237a60747e13dfb8

( 5 imports )
> KERNEL32.DLL: ReadProcessMemory, lstrcpyA, CreateProcessA, lstrcatA, GetWindowsDirectoryA, DuplicateHandle, GetCurrentProcess, OpenProcess, Process32Next, Process32First, CreateToolhelp32Snapshot, GetVersionExA, GetComputerNameA, lstrcmpA, CopyFileA, DeleteFileA, SetFileAttributesA, VirtualProtectEx, lstrlenA, GetSystemDirectoryA, GetFileSize, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap, CreateRemoteThread, SetLastError, GetCurrentProcessId, VirtualFree, WriteProcessMemory, Sleep, GetModuleHandleA, GetProcAddress, WaitForSingleObject, WriteFile, CloseHandle, VirtualAlloc, GetPriorityClass, ResumeThread, GetTempPathA, GetFileTime, SetFileTime
> ADVAPI32.DLL: RegOpenKeyExA, RegCloseKey, RegCreateKeyExA, RegQueryValueExA, GetUserNameA, RegSetValueExA
> MSVCRT.DLL: _strrev, strrchr, strncpy, strchr, atoi, free, malloc, _strnicmp, _stricmp
> SHLWAPI.DLL: SHDeleteKeyA
> USER32.DLL: FindWindowA, GetWindowThreadProcessId, wsprintfA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=e01972a9980670054b127320418e40c0

hoffe, das war hilfreich?

jetzt weiter im text mit avenger. hoffe, daß ich das hinbekomme. wenn nicht, frage ich noch mal nach.

gruß von

ich selbst

Hoi,
ich nehm mir mal das Recht, mich einzumischen.
Vergiss das mit dem Avenger, du bist mit einem Backdoor Server der Bifrost-Familie infiziert.

Wer weiß, wer dir den untergejubelt hat, auf jedenfall ist Neuaufsetzen Pflicht und all deine Daten sind als bekannt anzusehen.
Das heißt für dich:

• Rechner schnellstmöglich vom Netz trennen; Datensicherung offline durchführen
• Neuaufsetzen
• Alle Passwörter und Zugangsdaten ändern
• Wenn Onlinebanking, etc. betrieben wird, Bank kontraktieren

mfg

hier erst mal das ergebnis von avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe" deleted successfully.

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|inetsrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

könnte mir mal jemand erklären, was da in den ganzen logfiles drinsteht. und was heißt jetzt bifrost-familie? den rechner neu aufsetzen, das schaffe ich heute auf keinen fall. und morgen fahre ich für 2 wochen weg. irgendwie fang ich langsam an, panik zu kriegen.

bitte um etwas verständliche erklärungen.

so und nun versuche ich noch das andere hinzukriegen,w as da vorgegeben war.

gruß

ichselbst

Bifrost ist ein Remote Administration Tool, du hast den Server davon.
Dieser ermöglicht Zugriff auf deinen Computer durch Dritte. Man kann also Daten herunterladen, Daten löschen, Daten hochladen, Passwörter auslesen, etc. Also alles, was du jetzt auch machen kannst.

Neuaufsetzen kannst du machen, wann du willst. Der infizierte Rechner sollte nur bis dahin stillgelegt sein.

mfg

also mit HijackThis durchgecheckt. wenn ich das richtig begriffen habe, so ist dies:


Code:

O4 - HKCU\..\Run: [Nodfix] C:\DOKUME~1\ICH\LOKALE~1\Nodfix.exe



nicht in der liste enthalten, wurde also nicht erkannt.

bin jetzt etwas ratlos, was weiter tun.

noch mal die frage: kann es nicht sein,d aß diese "würmer" einfach mit dem treiber des wechseldatenträgers zusammenhängen (welcher auch immer das war)?

gruß von

ichselbst

Zitat:

noch mal die frage: kann es nicht sein,d aß diese "würmer" einfach mit dem treiber des wechseldatenträgers zusammenhängen (welcher auch immer das war)?

Mit Sicherheit nicht. Ich will nochmal darauf hinweisen, das jeglicher Schritt, der jetzt durchgeführt wird (außer Neuaufsetzen) die Technische Kompromittierung deines Systems nicht aufheben wird.

Außerdem ist Bifrost kein Wurm, sondern ein Backdoor Server (Backdoor Trojaner). Bei der Infektion ist der eigentliche Wurm quasi irrelevant.
Aber da er sich über Wechseldatenträger verbreitet, solltest du diese formatieren. (Bei gedrückter Shift-Taste am PC anschließen => Rechtsklick auf den Träger => Formatieren...).

mfg

tja, da habe ich wohl echt die .. karte gezogen, wies aussieht, was? und das auf meinem zwischenstop zuhause, zwischen zwei mal zu besuch fahren.

aber es ist ja immerhin gut, daß es so schnell rausgekommen ist. ich habe noch mal die history von avira angeschaut. der wurm kann erst gestern abend auf meinen rechner gekommen sein. so gesehen, glück im unglück wohl.

na, da werd ich mal rekapitulieren,w as ich nun tun kann.

meine ideen:

1. daten sichern!!! habe eine externe festplatte. kann ich meine privaten daten noch problemlos auf die externe festplatte kopieren, um sie zu sichern? (habe meine festplatte geteilt, ein teil ist nur für daten, weils so einfacher ist für mich, die c:-platte ist nur für programme etc.)
1.1. habe meine daten bisher immer einfach über kopie auf die externe festplatte gesichert. ist sicher nicht die korrkte methode. ist jetzt auch schon gut ein monat her das letzte mal.
>>>>>>>>>>> darum mal eine nachfrage zu einem korrekten backup: wie geht das? bitte nicht gleich augen rollen. ich lern jeden tag was dazu. learning by doing praktisch. und das mit dem korrekten backup habe ich eben noch nicht gemacht. vielleicht also gleich bei dieser gelegenheit hinzulernen.

2. habe als btriebssystm windows xp. ich weiß, daß ich xp auf einen tag x (also bspw. letzten mittwoch) und dessen stand zurücksetzen kann. wäre das jetzt machbar. also wäre das eine lösung, die praktikabel ist? oder in dem falle zu schwach?

3. vermutlich rechner ausmachen und morgen zu besuch fahren. und nach rückkehr rechner neuaufsetzen.

zu dem, was du schreibst:

"Außerdem ist Bifrost kein Wurm, sondern ein Backdoor Server (Backdoor Trojaner). Bei der Infektion ist der eigentliche Wurm quasi irrelevant."

das habe ich noch gut verstanden. so ist also mein rechner jetzt ein server, der von außerhalb genutzt wird?

"Ich will nochmal darauf hinweisen, das jeglicher Schritt, der jetzt durchgeführt wird (außer Neuaufsetzen) die Technische Kompromittierung deines Systems nicht aufheben wird."

also auch nicht betriebssystem zurücksetzen auf tag x?

"Aber da er sich über Wechseldatenträger verbreitet, solltest du diese formatieren. (Bei gedrückter Shift-Taste am PC anschließen => Rechtsklick auf den Träger => Formatieren...)."

darauf habe ich keinen einfluß mehr. ist nicht MEIN wechseldatenträger. kann dem bekannten lediglich schreiben, daß er dies tun sollte.

also erst mal wollte ich euch allen danken, daß ihr mich so lange durch das ganze geleitet habt. ich selbst hätte das ganz gewiß nicht hinbekommen.

und ansonsten kann ich jetzt bloß etwas gefaßt die sache zur kenntnis nehmen und mich auf computer-neuaufsetzen nach dem urlaub vorbereiten. denn mehr kann ich wohl nicht tun?

also wenn ihr noch tipps habt, die ihr mir weiter geben könnt zu dieser geschichte, dann bin ich ein guter abnehmer dafür, immer her damit

bis dahin

gruß von mir selbst

Zitat:

tja, da habe ich wohl echt die .. karte gezogen, wies aussieht, was? und das auf meinem zwischenstop zuhause, zwischen zwei mal zu besuch fahren.

aber es ist ja immerhin gut, daß es so schnell rausgekommen ist. ich habe noch mal die history von avira angeschaut. der wurm kann erst gestern abend auf meinen rechner gekommen sein. so gesehen, glück im unglück wohl.

na, da werd ich mal rekapitulieren,w as ich nun tun kann.

Da hast du Recht, nur das das Hauptproblem schon länger drauf sein kann, oder ein "Mitbringsel" des Wurmes war - das wissen die Götter.

Zu deinen Fragen:

Zitat:

1. daten sichern!!! habe eine externe festplatte. kann ich meine privaten daten noch problemlos auf die externe festplatte kopieren, um sie zu sichern? (habe meine festplatte geteilt, ein teil ist nur für daten, weils so einfacher ist für mich, die c:-platte ist nur für programme etc.)

Daten sichern kannst du. Dazu von einer Live-CD wie Knoppix, BartPE booten und dann deine Daten von der internen HDD auf die externe ziehen. Die CD musst du vorher an einem sauberen Rechner erstellen, kein großes Ding.

Zitat:

1.1. habe meine daten bisher immer einfach über kopie auf die externe festplatte gesichert. ist sicher nicht die korrkte methode. ist jetzt auch schon gut ein monat her das letzte mal.
>>>>>>>>>>> darum mal eine nachfrage zu einem korrekten backup: wie geht das? bitte nicht gleich augen rollen. ich lern jeden tag was dazu. learning by doing praktisch. und das mit dem korrekten backup habe ich eben noch nicht gemacht. vielleicht also gleich bei dieser gelegenheit hinzulernen.

Die ext. HDD musst du leider davor formatieren, aufgrund des Autorun-Wurmes. Wie man ein sicheres und gutes Backup macht? Ganz einfach. Und zwar mit einem Image-Programm (leider kostenpflichtig, lohnt sich aber) wie Acronis True Image. Damit kannst du genaue Abbilder des Systems erstellen und bei Bedarf zurückspielen. Sowas dauert keine 20 Minuten.

Zitat:

2. habe als btriebssystm windows xp. ich weiß, daß ich xp auf einen tag x (also bspw. letzten mittwoch) und dessen stand zurücksetzen kann. wäre das jetzt machbar. also wäre das eine lösung, die praktikabel ist? oder in dem falle zu schwach?

Leider hilft die Systemwiederherstellung bei einer Infektion nicht. Also man kann diese Funktion vergessen, in der Hinsicht.

Zitat:

3. vermutlich rechner ausmachen und morgen zu besuch fahren. und nach rückkehr rechner neuaufsetzen.

zu dem, was du schreibst:

"Außerdem ist Bifrost kein Wurm, sondern ein Backdoor Server (Backdoor Trojaner). Bei der Infektion ist der eigentliche Wurm quasi irrelevant."

das habe ich noch gut verstanden. so ist also mein rechner jetzt ein server, der von außerhalb genutzt wird?

"Ich will nochmal darauf hinweisen, das jeglicher Schritt, der jetzt durchgeführt wird (außer Neuaufsetzen) die Technische Kompromittierung deines Systems nicht aufheben wird."

also auch nicht betriebssystem zurücksetzen auf tag x?

"Aber da er sich über Wechseldatenträger verbreitet, solltest du diese formatieren. (Bei gedrückter Shift-Taste am PC anschließen => Rechtsklick auf den Träger => Formatieren...)."

darauf habe ich keinen einfluß mehr. ist nicht MEIN wechseldatenträger. kann dem bekannten lediglich schreiben, daß er dies tun sollte.

Praktisch ja, dein Computer gehört also nicht mehr dir.
Zu der Systemwiederherstellung hab ich ja oben schon geschrieben.
Wegen des Wechseldatenträgers:
Es betrifft alle Wechseldatenträger, die an deinem Rechner angeschlossen wurden. Dein Bekannter wird evlt. die gleiche Prozedur wie du durchführen müssen.

Zitat:

also erst mal wollte ich euch allen danken, daß ihr mich so lange durch das ganze geleitet habt. ich selbst hätte das ganz gewiß nicht hinbekommen.

und ansonsten kann ich jetzt bloß etwas gefaßt die sache zur kenntnis nehmen und mich auf computer-neuaufsetzen nach dem urlaub vorbereiten. denn mehr kann ich wohl nicht tun?

Kein Problem, Ehrensache.
Leider kannst du nur froh sein, das du es jetzt gemerkt hast und nicht später.
Wer weiß, was sonst noch alles passiert wäre.

Zitat:

also wenn ihr noch tipps habt, die ihr mir weiter geben könnt zu dieser geschichte, dann bin ich ein guter abnehmer dafür, immer her damit

Wenn du über Malware generell mehr wissen willst, klicke auf den Link Virenkunde in meiner Signatur.
Ansonsten kannst du dich mal durch Wikipedia schlagen, da sind diverse Sachen gut beschrieben.
Was auch hilfreich ist, einfach hier mal im Board diverse Themen und Beiträge mitstudieren, dabei kann man auch viel lernen.

mfg

"Leider kannst du nur froh sein, das du es jetzt gemerkt hast und nicht später.
Wer weiß, was sonst noch alles passiert wäre."

tja, das kann man wohl sagen, was?

"Wenn du über Malware generell mehr wissen willst, klicke auf den Link Virenkunde in meiner Signatur.
Ansonsten kannst du dich mal durch Wikipedia schlagen, da sind diverse Sachen gut beschrieben.
Was auch hilfreich ist, einfach hier mal im Board diverse Themen und Beiträge mitstudieren, dabei kann man auch viel lernen. "

ach, das werd ich sicher in ner pause ab und an mal machen (müssen), mich da rein lesen. wenn ich nur wüßte, wo ich sonst die zeit dazu kriegen könnte, mich mal systematisch mit dem ganzen kram zu beschäftigen.

für heute mach ich jetzt aber den rechner mal aus. und werd ihn dann anch dem urlaub wieder an machen und mich evtl. wieder hier melden. obwohl- neu aufgesetzt habe ich den rehner ja erst irgendwann im frühjahr. das müßte ich eigentlich noch mal selbst hinbekommen.

also ich wünsch nen schönen feierabend

ahoi und fürs erste bye bye

von mir selbst