|
Bifrose Hallo! Mir hatte Antivir heute folgendes angezeigt: In der Datei 'C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe' wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.beg' [backdoor] gefunden. Nachdem ich ein bisschen gegoogelt hab und mich in diverse Foren eingelesen hab, ist Bifrose wohl gar nichts nettes... :heulen: Kann ich Glück haben und der Virus ist vtl noch nicht aktiv gewesen? Wie kann ich das überprüfen? Und eine andere Frage: Warum hat mir Antivir nicht schon vorher angeschlagen, ich hatte erst vor drei Tagen eine komplette Systemprüfung und da hat er nix gefunden... :-( Viele Grüße Martina |
hallo, abcmartina, lade dir hier bitte http://www.trendsecure.com/portal/en...HiJackThis.exe hijackthis herunter, nenne die hijackthis.exe in abc.exe um, dann - do a system scan and save a logfile und dann poste das log. dann bitte per kopieren/einfügen (nicht durchsuchen) das Zitat:
VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten lassen und das komplette ergebnis posten. |
Vielen Dank für die schnelle Antwort! Hier ist das log: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
hallo, die malware ist aktiv: Zitat:
Zitat:
|
Ok, habe die entsprechende Datei überprüfen lassen.. Das Ergebnis ist an meinem letzten Post angehängt... Sorry für das durcheinander.. und vielen vielen Dank für die Hilfe!! Kann ich mich denn jetzt irgendwo einloggen, hat der Virus eh schon alle Passwörter oder bringt es etwas, wenn ich das einloggen sein lasse? |
sorry, daß ich erst jetzt antworte. ich mußte noch einmal kurz weg. das vt-ergebnis ist leider das, was ich erwartet habe. der wurm steht im zusammenhang mit dem bifrose. diese kombination könntest du dir durch einen verseuchten stick, externe hd etc. auf deinen rechner geholt haben. ich würde bei backdoor-befall grundsätzlich neuaufsetzen. |
Oh nein... Kann ich diese tolle Kombi irgendwo so wieder loswerden? vorerst mal, also dass das Zeug mir keinen weiteren Schaden anrichtet? Das mit dem formatieren krieg ich auf jeden Fall nicht selber hin und werd wohl dann nächste Woche nen Kumpel damit belästigen und hoffen, dass er mir das macht... Ich hab auf meinem eigenen USB-Stick Fotos bekommen und dann kam gleich die Warnung, aber ich hab den Ordner nicht mal geöffnet gehabt, sondern habe als erstes Antivir drüber laufen lassen... Wie kann das sein, dass ich dann trotzdem den Mist krieg?! |
hallo, auf dem usb-stick ist eine autorun.inf, die den wurm auf deinen rechner kopiert hat. diesen stick vorerst nicht benutzen. wir können eine bereinigung versuchen, allerdings empfehle ich, danach, so schnell wie möglich, das system neuaufzusetzen. (das ist nicht schwierig, siehe hier http://www.trojaner-board.de/51262-n...sicherung.html) bitte wende das an combofix http://www.trojaner-board.de/51187-m...i-malware.html und poste combofix.txt und das anti-malware-log. |
Also combofix hab ich schonmal durch, hier das log dazu: ComboFix 08-04-22.5 - Tina 2008-04-23 20:26:55.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\lsprst7.dll C:\WINDOWS\system32\ssprs.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-03-23 bis 2008-04-23 )))))))))))))))))))))))))))))) . 2008-04-23 20:17 . 2008-04-23 20:17 <DIR> d-------- C:\Programme\CCleaner 2008-04-21 07:11 . 2008-04-21 07:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps 2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz 2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll 2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\clauth2.dll 2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\clauth1.dll 2008-04-21 07:11 . 2008-04-21 07:11 219 --a------ C:\WINDOWS\system32\lsprst7.tgz 2008-04-21 07:11 . 2008-04-21 07:11 87 --a------ C:\WINDOWS\system32\ssprs.tgz 2008-04-21 07:10 . 2008-04-21 22:22 <DIR> d-------- C:\Programme\Müller Foto 2008-04-12 19:09 . 2008-04-13 13:51 <DIR> d-------- C:\Programme\Black & White 2008-04-10 02:12 . 2008-04-10 02:12 4,128 --a------ C:\INFCACHE.1 2008-03-26 21:18 . 2008-03-26 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\gtk-2.0 2008-03-26 21:16 . 2008-04-11 19:12 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\.purple 2008-03-26 21:14 . 2008-03-26 21:15 <DIR> d-------- C:\Programme\pidgin 7 Datei(en) . 11,694,048 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-20 20:37 6,944 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-04-19 14:40 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Skype 2008-04-19 14:14 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\skypePM 2008-04-14 18:26 --------- d-----w C:\Programme\Teachmaster 2008-04-12 18:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-24 17:22 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\MyPhoneExplorer 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 17:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll 2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll 2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-01-16 17:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-07-06 18:36 38,616 ----a-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-06-13 13:21 77,824 ---ha-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe 2006-11-24 10:29 0 ----a-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wklnhst.dat 2004-07-26 01:16 598,086 ----a-w C:\Programme\DVD Shrink 3.2.exe 2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "ClocX"="C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe" [2004-01-21 15:42 103936] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 20:49 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 20:46 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 20:50 114688] "SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 23:30 282624 C:\WINDOWS\stsystra.exe] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 14:59 385024] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 18:48 761947] "Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-06-29 12:13 1032192] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 10:44 249856] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 10:44 81920] "DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 05:20 122940] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 17:11 262401] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-24 08:40 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-09-15 00:20:11 24576] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-09-15 00:20:11 24576] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] "waults"= C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 16:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0] --------- 2005-05-17 17:42 933888 C:\Programme\Brother\ControlCenter2\brctrcen.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-04-03 23:29 165784 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport] --a------ 2006-07-16 21:29 389120 C:\Programme\Dell Support\DSAgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher] --a------ 2005-11-01 03:12 94208 C:\Programme\Dell\Media Experience\DMXLauncher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-26 23:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch] --a------ 2005-03-17 17:01 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ModemOnHold] --------- 2003-09-10 02:24 20480 C:\Programme\NetWaiting\netwaiting.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD] --a------ 2005-03-17 16:39 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2007-10-23 22:18 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt] --------- 2005-01-26 18:02 49152 C:\Programme\Brother\Brmfl05a\BrStDvPt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 15:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] -ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-11-24 08:40 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AdminSVC"=2 (0x2) "Brother XP spl Service"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\Bluetooth-USB-Stick\\BlueSoleil.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Black & White\\runblack.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10421:UDP"= 10421:UDP:SingleClick Discovery Protocol "10426:UDP"= 10426:UDP:SingleClick ICC R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;C:\WINDOWS\system32\DRIVERS\hnm_wrls_pkt.sys [2006-01-12 22:27] R2 wsppkt;Wireless Security Protocol;C:\WINDOWS\system32\DRIVERS\wsp_pkt.sys [2006-01-12 22:29] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-23 20:29:43 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-23 20:31:33 ComboFix-quarantined-files.txt 2008-04-23 19:31:23 11 Verzeichnis(se), 14,993,424,384 Bytes frei 14 Verzeichnis(se), 15,002,136,576 Bytes frei 188 --- E O F --- 2008-04-08 19:11:58 Das andere folgt hoffentlich zugleich... |
Ok, der Scan dauert wohl dann wahrscheinlich noch länger... Im Moment sinds schonmal 8 infizierte Objekte.. Noch ne andere Frage zu dem Stick: kann das ein Versehen gewesen sein, dass der Virus auf dem Stick gelandet ist, also verbreitet er sich so selbst oder muss das Absicht gewesen sein? Diejenigen, von denen ich die Dateien aufm Stick hab (es waren nur Fotos) haben beide ein (it-?!)technisches Studium hinter sich und ich hätte eigentlich gedacht, dass die sich mit sowas auskennen müssten.. Und bringt eine Systemwiederherstellung in diesem Fall etwas?! Ok, die Frage hört sich schon beim Stellen blöd an, aber könnte ja vtl sein.. Hab nämlich zufällig erst letzte Wochen einen erstellt und der Stick samt Virus kam erst gestern abend rein... |
dein stick ist von dem rechner infiziert worden, in den er eingesteckt war. wenn du ausschließen kannst, daß der besitzer des rechners das mutwillig gemacht hat, ist davon auszugehen, daß es unbewußt geschehen ist und dieser rechner ebenfalls infiziert ist. systemwiederherstellung hilft leider nicht. |
Zitat:
Zitat:
Ich weiß, dass weiblich Opfer begehrt sind, aber dass nur nebenbei. Vertraue nicht zuviel, Heike:teufel3: |
Zitat:
WORM_AUTORUN.FW - Technical details |
Dankeschön euch zwein! Also kann es wohl beides gewesen sein, Absicht oder Zufall... Naja, bin einfach froh, wenn ich das Zeugs wieder los hab... der Scan läuft ja im Moment noch.. wenigstens sinds noch nicht mehr geworden... :-) @Boston: Vielen Dank für die schnelle und kompetente Hilfe!!! Ich bin in sowas einfach ne totale Niete und mehr als regelmäßig Antivir durchlaufen zu lassen hab ich in solchen Dingen nicht drauf... ;-) |
Hier die andere Logfile: Malwarebytes' Anti-Malware 1.11 Datenbank Version: 675 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 129325 Scan Dauer: 2 hour(s), 22 minute(s), 7 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully. |
Kurzes Update: Habe eben meinen Laptop wieder eingeschaltet und Antivir kam wieder mit den zwei Meldungen über bifrose. Bei Malwarebytes' Anit-Malware waren die 8 Dateien in der Quarantäneliste (obwohl ich sie gemäß dem andern Forumeintrag alle gelöscht hatte gestern). Hab sie dann wieder gelöscht, neu gestartet und Antivir hat wieder die Meldung gebracht, bei Anti-Malware sind die Dateien jetzt aber nicht mehr in Quarantäne. |
sind die funde immer noch im gleichen pfad? hijackthis ausführen - do a system scan only - haken setzen bei Zitat:
- bestätigen direkt danach bitte The Avenger mit folgendem skript anwenden Zitat:
|
So, endlich kann ich wieder ins Internet und das Log posten... Also die Funde bei Antivir waren immer im gleichen Pfad. Inzwischen meldet Antivir aber nichts mehr... Hier ist avenger.txt: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe" not found! Deletion of file "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. und hier das hijackthis-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:03:23, on 26.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bluetooth-USB-Stick\BTNtService.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\stsystra.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Dell\QuickSet\quickset.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Tina\Desktop\abc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=1060915 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/&s=jVpk6BPQlnJRlk6B5p-25pEle1w O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClocX] C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158764227906 O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Bluetooth-USB-Stick\BTNtService.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 8408 bytes Ist dann jetzt der Virus weg? Aber wie war das: es können trotzdem noch Teile übrig geblieben sein und deswegen muss ich den PC einmal formatieren?! Und was mach ich jetzt mit dem USB-Stick? Wenn ich den wieder einstöpsel, hab ich ja wahrscheinlich das Mistvieh wieder drauf?! Vielen Dank für die Hilfe!! |
hallo, antivir + avenger haben nur die offensichtlichen spuren des befalls beseitigt. ich würde dem rechner nicht mehr trauen. den stick kannst du formatieren. ganz wichtig dabei: während du ihn einsteckst, die shift-taste gedrückt halten, damit die autorun.inf nicht gestartet wird. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board