Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bifrose.LA (https://www.trojaner-board.de/38367-bifrose-la.html)

B@uleK 25.04.2007 22:41
Bifrose.LA
 
hallo,

hab mir auf ne unbekannte .exe datei geklickt. also, archiv entpackt, doppelklick, in diesem moment sehe ich aus den augenwinckeln, oh shit, das is doch ne exe du volldepp. hatte eigentl mit ner mp3 gerechnet, aber einfach automatisiert draufgeklickt:headbang: ich weiss, sau dumm, blöder gehts nich:eek:

naja, also folgendes: spybot search&destroy findet Bifrose.LA. wenn man google glauben darf, ungefähr das schlimmste was passieren kann:party:
ein schön, fertig eingerichteter backdoor server auf meiner xp installation. spybot erkennt das teil, aber nach jedem neustart, sind die einträge wieder da, d.h. spybot entfernt das teil nicht rcihtig:(

spybot gibt folgende pfade an:
Code:
  HKEY_USERS\S-1-5-21-2052111302-1060284298-839522115-1003\Software\Bifrost

Bifrose.LA: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
im hijack log sehe ich eigentl nichts verdächtiges, aber besser jemand der mehr ahnung hat, guck sich den noch mal an:

  • Logfile of HijackThis v1.99.1
    Scan saved at 23:22:42, on 25.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\avmwlanstick\WlanNetService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Raxco\PerfectDisk\PDSched.exe
    C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
    C:\Programme\LClock\LClock.exe
    C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
    C:\Programme\T-DSL SpeedManager\TSMSvc.exe
    C:\DOKUME~1\B@ule\LOKALE~1\Temp\{256974B0-2E04-4E3B-B577-53EB9F79D799}\Blaero Start Orb.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\7-Zip\7zFM.exe
    C:\DOKUME~1\B@ule\LOKALE~1\Temp\7zO4.tmp\HijackThis.exe

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
    O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
    O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
    O4 - HKCU\..\Run: [QIP2005] Y:\Programme\qip\qip.exe
    O4 - Startup: Blaero Start Orb.lnk = C:\Programme\Blaero Start Orb\Blaero Start Orb.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: Freenet 0.7 darknet-8889-8888 (freenet-darknet-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: Freenet 0.7 darknet-8889-8889-8888 (freenet-darknet-8889-8889-8888) - Unknown owner - G:\Programme\Freenet\bin\wrapper-windows-x86-32.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
    O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Unknown owner - C:\WINDOWS\system32\sfrem01.exe (file missing)
    O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe


es gibt aufm board schon nen thread dazu, aber ich glaube die situation ist nicht wirklich vergleichbar.
asquared und adaware finden übrigens nichts, ebenso schlägt avast kein alarm.. :pfui:

jetzt ist die frage, kann ich da noch was retten, oder sollte ich lieber xp neuinstallieren..?

danke für die hilfe!

mfg B@ule

Mobius07 25.04.2007 23:02
Zu Deinem Freund:
* Ermöglicht Dritten den Zugriff auf den Computer
* Installiert sich in der Registrierung
Alias
* Backdoor.Win32.Bifrose.aj
* W32/Agent.MJ
* BackDoor-CQA

Könnte ein Rootkit sein:
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll

Also, irgendwas stimmt nicht bei Dir, würde da keine halben Sachen machen, setz neu auf!!!

Gruß Patrick

B@uleK 26.04.2007 13:29
tja.. denke ich auch :(

meinst du ich sollte auch meine daten partition formatiren? oder ist es mit der system parti getan?:snyper:

thx, mfg B@ule

Rene-gad 26.04.2007 13:41
@Mobius07
Zitat:
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
Der Eintrag ist i.O.
@B@uleK
Du hättest dir den Thread sparen können ;) http://www.trojaner-board.de/37244-b...end-hilfe.html

B@uleK 26.04.2007 14:15
@rene-gad: ja, hab den thread gesehn.. nur hab ich bei mir im log nichts aufälliges gesehn. außerdem habe ich direkt nach der infektion reagiert und windows kaum noch benutzt. in dem anderen thread steht nämlich i-wie auch, das es sinnlos ist, wenn der trojaner schon aktiv war.. ist er das bei mir?

die ashampoo einträge sind i.o., die sind von meiner personal firewall, wie rene-gad schon richtig sagte..

naja, ich werde wohl neu aufsetzten, so ein scheiss! da hat man mal langes wochenende und dann sowas^^:huepp:

aber um noch mal auf die anderen daten partitionen zurück zukommen. die muss ich aber nicht formatieren oder?

mfg B@ule

Rene-gad 26.04.2007 14:35
Zitat:
Zitat von B@uleK (Beitrag 265139)
aber um noch mal auf die anderen daten partitionen zurück zukommen. die muss ich aber nicht formatieren oder?
Die formatieren musst du erstmal nicht. Aber diese vom frisch aufgesetzten und gepatchten System mit einem aktuellen Antivirus-Scanner überprüfen - schon.
PS: Versuche noch, dem Link AVZ4 in meiner Signatur nachzugehen. Da sind aber die minimalen Englisch-Kenntnisse vorausgesetzt.

Mobius07 26.04.2007 17:16
Zitat Rene-gad
"Der Eintrag ist i.O."

Yepp, auch gemerkt. Zu vorschnell. Langsam iss mehr....

B@uleK 26.04.2007 19:47
ich hab jetzt ma neu aufgesetzt.. danke für eure ratschläge! :D

ps: bin jetzt eh hauptsächlich mit ubuntu unterwegs (die neue 7.04 is richtig, RICHTIG gut. :), unter ubuntu wäre das nich passiert :P)

mfg B@ule


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28