|
Plagegeister aller Art und deren Bekämpfung: Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.01.2010, 22:18 | #1 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Hallo an alle Forum-Teilnehmer , bin heute neu hier, mich bedrückt zu Zeit der Trojaner "Backdoor.Bifrose" , über den Spyware Doktor wird dieser täglich gefunden, hier der Bericht dazu : Backdoor.Bifrose Scan-Art - Intelli-Scan 23.01.2010 21:49:40:187 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungswert Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}, stubpath 23.01.2010 21:49:40:203 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungsschlüssel Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} 23.01.2010 21:52:36:843 Scan beendet Scan-Art - Intelli-Scan Bearbeitete Elemente - 300214 Gefundene Bedrohungen - 1 Gefundene Infizierungen - 2 Übergangene Infizierungen - 0 23.01.2010 21:53:30:234 Infektion gesperrt Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungsschlüssel Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} 23.01.2010 21:53:30:234 Infektion gesperrt Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungswert Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}, stubpath 23.01.2010 21:53:30:250 Infektion gelöscht Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungsschlüssel Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} 23.01.2010 21:53:30:281 Infektion gelöscht Name der Bedrohung - Backdoor.Bifrose Typ - Registrierungswert Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}, stubpath 23.01.2010 21:53:32:343 Zusammenfassung der aus der Quarantäne beseitigten Infizierungen. In Quarantäne verlegt - 2 Quarantäne fehlgeschlagen - 0 Beseitigt - 2 Beseitigung fehlgeschlagen - 0 über "spybot" sind heute keine Trojaner gefunden worden, der Bericht dazu: "Gratulation, es wurden keine Spione gefunden" über "Hijack this" habe ich folgenden Bericht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:05:42, on 23.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WinTV\Ir.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\System32\svchost.exe C:\Programme\Uniblue\RegistryBooster\registrybooster.exe C:\WINDOWS\System32\alg.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe D:\backup Maxtor 80GB D\Eigene Dateien\Downloads\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telesondsl.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {ffbcfcc8-e11f-4a67-9d8b-d8ba717dd167} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: (no name) - {ffbcfcc8-e11f-4a67-9d8b-d8ba717dd167} - (no file) O3 - Toolbar: (no name) - {ffbcfcc8-e11f-4a67-9d8b-d8ba717dd167} - (no file) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "launcher.exe" delay 20000 O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: ImageFox.lnk = ? O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O8 - Extra context menu item: ImTranslator - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU) O9 - Extra 'Tools' menuitem: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.teleson.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553542000} - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5BE3E34E-371A-43A6-BAD0-42745C01ADEB}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1015AED-99E2-4F50-8218-5CD06C7800F2}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Update Service (gupdate1c9d46fc219a04c) (gupdate1c9d46fc219a04c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 10299 bytes Kann mir jemand sagen, ob in diesem Hijackthis-Bericht tatsächlich der Trojaner "Backdoor.Bifrose" existiert. Vielen Dank für Euere Hilfe. m.f.G. Mike |
25.01.2010, 13:11 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Hallo und
__________________Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
25.01.2010, 23:45 | #3 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Hallo Cosinus,
__________________vielen Dank für die grosse Hilfe, hier nun mein Bericht: Step 1: CCleaner erfolgreich durch geführt , alles entfernt worden Step 2: Malwarebytes erfolgreich durchgeführt Step 3: auch durchgeführt Im Anhang habe ich die Berichte beigefügt. Vielen Dank nocheinmal m.f.G. Mike |
25.01.2010, 23:49 | #4 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Datei im Anhang CCleaner |
26.01.2010, 03:35 | #5 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Hallo Cosinus, habe nun den den "Spyware Doctor" durchlaufen lassen = Ergebnis = "keine Bedrohungen gefunden worden", vielen Dank noch einmal, dieser Threat kann nun geschlossen werden. m.f.G. Mike |
26.01.2010, 18:29 | #7 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" anbei noch die gewünschte Datei : info.txt logfile Ich hoffe, dass ist die Richtige. m.f.G. Mike |
26.01.2010, 20:16 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" Ich hab geschrieben log.txt und Du schiebst hier ein 2. Mal die info.txt rein?
__________________ Logfiles bitte immer in CODE-Tags posten |
27.01.2010, 18:28 | #9 |
| Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" sorry, habe mich vertan, habe nun den Ordner "rsit" gefunden + gewünschte Datei, vielen Dank nochmal für euere Hilfe hier. m.f.G. Mike |
27.01.2010, 19:01 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten: Code:
ATTFilter C:\WINDOWS\System32\drivers\SSHDRV58.sys C:\WINDOWS\cadkasdeinst01.exe 2.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor" |
antivir, antivir guard, askbar, avira, backdoor.bifrose, bho, browser, browser guard, components, computer, defender, desktop, downloader, excel, firefox, fritz!, google, gupdate, hijack, hijack this, hijackthis, internet, internet explorer, mozilla, plug-in, security, software, spyware, system, trojaner, trojaner gefunden, windows, windows xp |