Hallo ich habe mir heute was aus dem Internet geladen und ein freund sagte zu mir in der Datei ist Bifrost Trojaner, Shark und auch Sality Trojaner.
Diese Trojaner kennt ihr bestimmt und werden nicht von AntiVir erkannt, wie kann ich diese Trojaner ausfindig machen?

Hier meine hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:27, on 30.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
I:\Programme\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
I:\Programme\Avira\AntiVir Desktop\avgnt.exe
H:\WINDOWS\system32\RUNDLL32.EXE
I:\Programme\Avira\AntiVir Desktop\avguard.exe
H:\Programme\Java\jre6\bin\jusched.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\system32\ctfmon.exe
I:\Programme\CDBurnerXP\NMSAccessU.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\PnkBstrB.exe
H:\WINDOWS\System32\PAStiSvc.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Winamp\Winamp.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HDAudDeck] H:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "I:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] H:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = H:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = H:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4518A33-FD15-4E86-B68B-CEACFB804B1B}: NameServer = 192.168.1.197
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - I:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - H:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - H:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5856 bytes

Hi

ich glaube erstmal, das gehört in eine andere Section Hier.

Dann werden die Trojaner Shark und Bifrost garantiert von deinem AV erkannt, vorausgesetzt, die Datei wurde nicht gecryptet oder ähnliches. Den Sality kenn ich persönlich nicht. Aber
a) warum sollte man 3 Trojaner in eine Datei packen ? Recht unlogisch, meiner Meinung nach, aber nagut.
b) Woher weiß dein Freund das so genau ?

Naja ich kenn mich mit HJT- Logs nicht aus, die zu lesen muss mir noch mal einer beibringen.. :P

Da wird dir jemand anders sagen müssen, ob du infiziert bist. Aber wenn es sich tatsächlich um Bifrost,Shark oder ähnliche Konsorten handelt, würde ich schon mal die Windows-Cd rauskramen, den Neuaufsetzn ist hier das sinnigste und sicherheitshalber deinen "infizierten" PC jetzt schon mal vom Internt trennen --> Lan-Kabel raus. Den mit den Trojanr ist nicht zu spassen, logge dich von den PC aus vorerst nirgends mehr ein und wechsele die Passwörter von einem sauberen PC.
Ich halte es bisher nur für einen Fake, aber wer weiß, geh lieber auf Sicherheit und warte ob jemand von den Eexprten entwarnung gibt.

Zu frage b:

Der jenige der die Datei erstellt hat hat mit mein Freund kontakt gehabt und hat es ihn gesagt.

Gut, vllt. doch Script-Kiddy On-Tour.

Naja trenne diesen PC vorläufig vom Netz und melde dich von einem andere PC aus wieder hier.
Lade die Datei vorerst noch bei Virus-Total hoch und poste das Ergebnis mal hier. Vllt kannst du mir die Datei auch hochladen und den Link per PM schicken, dann kann ich die mal genauer unter die Lupe nehmen und sagen obs was gefährliches ist.

Sonst hilft nur warten, bis sich jemand vom Kompetenzteam oder so sich das hier ansieht.

Mfg

Omnibus

Ok habe sie dir geschickt

Jo habs....
VirusTotal kannst du vergessen, das File hat ca. 80 MB, VirusTotal erlaubt glaube ich nur max. 20MB.

Ich schaus mir mal an...
Du kannst schon mal Das hier ab Punkt 2 abarbeiten und die Logs hier posten.

Und dann heißt es warten, bis sich ein Experte meldet.


P.S. So...von wegen AntiVir erkennt den nicht. Erkennungsrate 11/40.
Er befindet sich in der Datei "RCX1080.tmp"

Mache bitte so schnell wie möglich die Logs fertig, damit dein PC gereinigt werden kann.