hallo,
hab mir auf ne unbekannte .exe datei geklickt. also, archiv entpackt, doppelklick, in diesem moment sehe ich aus den augenwinckeln, oh shit, das is doch ne exe du volldepp. hatte eigentl mit ner mp3 gerechnet, aber einfach automatisiert draufgeklickt:headbang: ich weiss, sau dumm, blöder gehts nich:eek:
naja, also folgendes: spybot search&destroy findet Bifrose.LA. wenn man google glauben darf, ungefähr das schlimmste was passieren kann:party:
ein schön, fertig eingerichteter backdoor server auf meiner xp installation. spybot erkennt das teil, aber nach jedem neustart, sind die einträge wieder da, d.h. spybot entfernt das teil nicht rcihtig:(
spybot gibt folgende pfade an:
Code:
HKEY_USERS\S-1-5-21-2052111302-1060284298-839522115-1003\Software\Bifrost
Bifrose.LA: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
im hijack log sehe ich eigentl nichts verdächtiges, aber besser jemand der mehr ahnung hat, guck sich den noch mal an:
- Logfile of HijackThis v1.99.1
Scan saved at 23:22:42, on 25.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\DOKUME~1\B@ule\LOKALE~1\Temp\{256974B0-2E04-4E3B-B577-53EB9F79D799}\Blaero Start Orb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\7-Zip\7zFM.exe
C:\DOKUME~1\B@ule\LOKALE~1\Temp\7zO4.tmp\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [QIP2005] Y:\Programme\qip\qip.exe
O4 - Startup: Blaero Start Orb.lnk = C:\Programme\Blaero Start Orb\Blaero Start Orb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: Freenet 0.7 darknet-8889-8888 (freenet-darknet-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: Freenet 0.7 darknet-8889-8889-8888 (freenet-darknet-8889-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Unknown owner - C:\WINDOWS\system32\sfrem01.exe (file missing)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
es gibt aufm board schon nen thread dazu, aber ich glaube die situation ist nicht wirklich vergleichbar.
asquared und adaware finden übrigens nichts, ebenso schlägt avast kein alarm.. :pfui:
jetzt ist die frage, kann ich da noch was retten, oder sollte ich lieber xp neuinstallieren..?
danke für die hilfe!
mfg B@ule