Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bifrost infiziert?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2008, 16:59   #1
Rubylive
 
Bifrost infiziert? - Standard

Bifrost infiziert?



Hallo liebe User.
ich musste leider feststellen , dass ich seit einiger Zeit mir dem Bifrost Trojaner trotz GData 2008 infiziert bin.Ich hbae im system 32 Ordner die Datei server.exe aufgefunden die Meine Vermutung bestätigt. Jedoch habe ich ein weiteres Problem und zwar ständig verscuhen Programme wie Internet Explorer USW: DEN Port 81 ushc( oder so=) zu benutzen. Da ich Bifrost kenne vermute ich das ich den Trojaner noch nicht los bin.
Ich habe mit HiJack eine Logfile Liste erstelllt.Vielleciht fällt euch ja was auf?
Gibt es ein Programm mit dem ich spiziell nach Bifrost Porgrammen suchen kann?
Mein Computer hackt manchmal seit kurzem , seit dem ich die Vermutung mit dem Trojaner habe.
Kann es sein dass es wegen Bifrost ist?

Kann man den Trojaner überhaupt entfernen, da es ja Programme wie BifrostCrypter usw. gibt-.-

Hier das Ergebnis des Logfiles oder wie des heißt^^^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:04, on 07.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Multimedia keyboard utility\LED.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Targa VFD Display\Targa VFD Display.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ruby\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.targa.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.targa.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\LED.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Targa VFD Display.lnk = ?
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157368862312
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9504 bytes

Wäre sehr toll wenn ich Unterstützung bekommen würde

MfG
Ruby

Alt 07.10.2008, 17:52   #2
nochdigger
 
Bifrost infiziert? - Standard

Bifrost infiziert?



Moin

Zitat:
ich musste leider feststellen , dass ich seit einiger Zeit mir dem Bifrost Trojaner trotz GData 2008 infiziert bin.
es wird halt nicht jeder (veränderter) Schädling von jedem Antivirenprogramm erkannt.

Zitat:
Da ich Bifrost kenne...
klingt für mich nach klassischem Fußschuss

Zitat:
...vermute ich das ich den Trojaner noch nicht los bin.
kann gut sein, im Log sind jedenfalls noch Spuren zu erkennen.

Zitat:
Gibt es ein Programm mit dem ich spiziell nach Bifrost Porgrammen suchen kann?
Kann ich dir leider nicht sagen, da ich bei einer solchen infektion eine Neuinstallation anrate.
Zur Vorbereitung sollten keine ausführbare Dateien gesichert werden und es sollten unbedingt alle Pass- und Kennwörter nach der Neuinstallation oder von einem sauberen Rechner aus geändert werden.

MFG
__________________

__________________

Alt 07.10.2008, 19:07   #3
Rubylive
 
Bifrost infiziert? - Standard

Bifrost infiziert?



welche Spuren genau denn?
Also welche Einträge oder Datein?
__________________

Alt 07.10.2008, 19:23   #4
nochdigger
 
Bifrost infiziert? - Standard

Bifrost infiziert?



Hallo

hier sind noch Einträge zu erkennen
Zitat:
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
Zitat:
Kann man den Trojaner überhaupt entfernen, da es ja Programme wie BifrostCrypter usw. gibt-.-
Evtl. ginge es, aber ich rate davon ab, da man nicht weiß, was und ob etwas an deinem System verbogen oder manipuliert wurde.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 07.10.2008, 20:38   #5
Rubylive
 
Bifrost infiziert? - Standard

Bifrost infiziert?



Danke nochbigger für deine Hilfe , eine Frage noch, und zwar, als ich des mit dem Infiziert gemerkt habe kam bei Gdata Firewall anfrage ob ich verschiedene progs auf port 81(stadartport bei server.exe) zulassen will .Die Datei hat sich als mehrere Programme ausgegeben um sich zum Internet zugang zu verschaffen^^.Ich muss allerdings sagen das ich einmal server.exe selbst auf meinem Pc ausprobiert habe zum Test , wegen meinem Sohn zur Kontrolle.Wie kann ich sehen , mit welcher Ip oder Verbindung ich verbunden bin.Ich hatte mal einen Befehl bei Start-> Ausführen-> netstat oder so eingegeben . Wie heißt der Befehl nochmal?

MfG
Ruby


Alt 08.10.2008, 16:54   #6
nochdigger
 
Bifrost infiziert? - Standard

Bifrost infiziert?



Hallo

Zitat:
Ich hatte mal einen Befehl bei Start-> Ausführen-> netstat oder so eingegeben . Wie heißt der Befehl nochmal?
versuche mal netstat -abn, ich muss aber sagen, dass ich mich nicht mit Netzwerken und Verbindungen auskenne.

MFG
__________________
--> Bifrost infiziert?

Antwort

Themen zu Bifrost infiziert?
antivirus, bho, bifrost, bonjour, computer, crypter, cyberghost, desktop, entfernen, firefox, g data, hijack, hijackthis, hkus\s-1-5-18, infiziert?, install.exe, internet, internet explorer, logfile, mozilla, port, problem, rundll, security, software, solution, stick, system, system 32, trojaner, tuneup.defrag, userinit.exe, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Bifrost infiziert?


  1. Bifrost trojaner eingefangen
    Log-Analyse und Auswertung - 05.08.2013 (9)
  2. Datei dhm.scr mit Bifrose / Bifrost geöffnet - ist mein PC infiziert?
    Log-Analyse und Auswertung - 24.05.2010 (6)
  3. MBAM findet Bifrost :/
    Log-Analyse und Auswertung - 03.05.2010 (7)
  4. Ist das ein Bifrost Backdoor Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2009 (11)
  5. Überreste von Bifrost?
    Log-Analyse und Auswertung - 24.09.2009 (23)
  6. Bifrost immer gefährlich?
    Diskussionsforum - 31.07.2009 (18)
  7. Bifrost Trojaner eingefangen
    Log-Analyse und Auswertung - 07.05.2009 (2)
  8. Bifrost eingefangen :(
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (12)
  9. Bifrose.LA & versteckter Ordner Bifrost
    Plagegeister aller Art und deren Bekämpfung - 16.04.2009 (7)
  10. bin ich mit Bifrost infiziert?
    Log-Analyse und Auswertung - 10.02.2009 (3)
  11. BZub und BiFrost..
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (3)
  12. Bifrost plage
    Mülltonne - 01.01.2009 (0)
  13. Bifrost entfernen
    Log-Analyse und Auswertung - 23.11.2008 (9)
  14. Bifrost-Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 05.10.2008 (14)
  15. Bifrost entfernt,bitte überprüfen
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (2)
  16. BiFrost-Infizierung von außen (wahrscheinlich)
    Log-Analyse und Auswertung - 15.01.2008 (5)
  17. Bitte um hilfe bifrost!!!
    Log-Analyse und Auswertung - 31.05.2007 (1)

Zum Thema Bifrost infiziert? - Hallo liebe User. ich musste leider feststellen , dass ich seit einiger Zeit mir dem Bifrost Trojaner trotz GData 2008 infiziert bin.Ich hbae im system 32 Ordner die Datei server.exe - Bifrost infiziert?...
Archiv
Du betrachtest: Bifrost infiziert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.