Hilfe bei der suche nach Schädlingen

Hallo,
ich habe ein Problem und brauche mal Hilfe,
ich habe einen unbekannten und nicht auffindbaren Schädling auf meinem Rechner.Das Teil versucht sich immer nach dem starten des PC mit dem Standard Browser zu einer Webseite zu verbinden.

Ad-aware,Spybot,Antivir und ein online Virenscann haben nichts gefunden,die suche nach Autostart Einträgen in der Registry war auch erfolglos.Highjackthis habe ich auch gemacht scheint aber nix verdächtiges dabei zu sein!?

Was kann ich denn noch machen?

Also das Teil benutzt immer den Standard Browser hier die Meldung der Firewall(Sygate):
Was mir noch aufgefallen ist,benutze ich zb Opera als Standard Browser,ist die opera.exe schon im Taskmanager Aktiv obwohl ich opera noch gar nicht gestartet habe,starte ich Opera habe ich dann 2 opera.exe im Taskmanager laufen,das selbe mit IE wenn der als Standard Browser eingestellt ist.

File Version : 9.25.8827.0
File Description : Opera Internet Browser (Opera.exe)
File Path : D:\Programme\Opera\Opera.exe
Process ID : 0x5B4 (Heximal) 1460 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.0.2
Local Port : 1091
Remote Name : kawazx.no-ip.org
Remote Address : 80.123.25.226
Remote Port : 2000 (CALLBOOK)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-c0-02-ed-9e-66
Source: 00-0d-87-3a-ce-c6
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1… = Don’t fragment: Set
…0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x1647 (Correct)
Source: 192.168.0.2
Destination: 80.123.25.226
Transmission Control Protocol (TCP)
Source port: 1091
Destination port: 2000
Sequence number: 940078668
Acknowledgment number: 0
Header length: 28
Flags:
0… … = Congestion Window Reduce (CWR): Not set
.0… … = ECN-Echo: Not set
…0. … = Urgent: Not set
…0 … = Acknowledgment: Not set
… 0… = Push: Not set
… .0… = Reset: Not set
… …1. = Syn: Set
… …0 = Fin: Not set
Checksum: 0xb05d (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 C0 02 ED 9E 66 00 0D : 87 3A CE C6 08 00 45 00 | …f…:…E.
0010: 00 30 C8 AA 40 00 40 06 : 47 16 C0 A8 00 02 50 7B | .0…@[email protected]…P{
0020: 19 E2 04 43 07 D0 38 08 : 76 4C 00 00 00 00 70 02 | …C…8.vL…p.
0030: 40 00 5D B0 00 00 02 04 : 05 B4 01 01 04 02 6E 6F | @.]…no
0040: 2D 69 70 03 6F 72 67 00 : 00 01 00 01 | -ip.org…

Und hie das Highjackthis Ergebnis:
Logfile of HijackThis v1.99.1
Scan saved at 22:47:13, on 17.01.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINNT\system32\RunDll32.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\freemex\FREEMEX.EXE
D:\Programme\Saitek\Software\ProfilerU.exe
D:\Programme\Saitek\Software\SaiMfd.exe
D:\Programme\Microsoft ActiveSync\Wcescomm.exe
D:\Programme\NetMeter\NetMeter.exe
D:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
D:\Programme\Opera\Opera.exe
D:\Dokumente und Einstellungen\bam\Desktop\procexp.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\WINNT\msagent\AgentSvr.exe
D:\WINNT\system32\regsvc.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.0.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM…\Run: [avgnt] „D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM…\Run: [QuickTime Task] „D:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [TkBellExe] „D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM…\Run: [SunJavaUpdateSched] „D:\Programme\Java\jre1.6.0_03\bin\jusched.exe“
O4 - HKLM…\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM…\Run: [CHZ FreeMeX] D:\freemex\FREEMEX.EXE
O4 - HKLM…\Run: [Profiler] D:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM…\Run: [SaiMfd] D:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM…\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU…\Run: [H/PC Connection Agent] „D:\Programme\Microsoft ActiveSync\Wcescomm.exe“
O4 - HKCU…\Run: [D:\Programme\NetMeter\NetMeter.exe] D:\Programme\NetMeter\NetMeter.exe
O4 - Startup: HDDlife.lnk = D:\Programme\BinarySense\HDDlife\HDDlifePro.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = D:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra ‚Tools‘ menuitem: Mobilen Favoriten erstellen… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra ‚Tools‘ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‚Tools‘ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5C…
O20 - Winlogon Notify: ActiveSync - D:\WINNT\SYSTEM32\WcesWlgn.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Hallo

Was kann ich denn noch machen?

Daten extern sichern, soweit nötig. Danach den Rechner vom Netz trennen, flach machen und neu aufsetzen. Bzw. evt. ein Image einspielen, das zu einem Zeitpunkt erstellt wurde, als das System noch sauber war.

CU
Peter

Guten Morgen;
Also: ich will dich weder beruhigen, noch mein Wissen über den grünen Klee loben…
Allerdings hatte ich das gleiche Problem…
War bei mir nur in einem anderen Ordner.
Bei mir wars das da:

D:\PROGRA~1\MICROS~2\rapimgr.exe

Hatte das ActiveSync installiert und das Teil suchte IMMER nach einem Gerät, hat die Datei vor Ort nix zum Synchronisieren gefunden, hat sie sich mit dem Internet verbunden.
http://www.file.net/prozess/rapimgr.exe.html

Wenns nur das ist… deaktiveren oder deinstallieren und dann sollte Ruhe sein !

Lg
Manfred

Hallo,
also zu Peter,das ist doch nicht dein Ernst???So etwas macht man nur wenn gar nix mehr geht…

Die Ursache war ganz einfach eine neue Bifrost Variante,die eine Art Browser Highjack macht und sich dann als Explorer getarnt mit dem Internet verbindet.Registry wert finden und die dazugehörigen Dateien löschen,das wars…

Dank der zahlreichen Anleitungen im Internet ist jeder Sonderschüler und voll Depp in der Lage Viren zu manipulieren das sie nicht erkannt werden.Dazu kommen noch die Fertig Bausätze und ohne besondere Kenntnisse hat man dann einen guten Trojaner…

Hallo

also zu Peter,das ist doch nicht dein Ernst???So etwas macht
man nur wenn gar nix mehr geht…

Das ist mein Ernst. Und nein, das macht man nicht erst, wenn nichts mehr geht.

Die Ursache war ganz einfach eine neue Bifrost Variante,die
eine Art Browser Highjack macht und sich dann als Explorer
getarnt mit dem Internet verbindet.Registry wert finden und
die dazugehörigen Dateien löschen,das wars…

Falsch. Damit wirst Du vielleicht (!) den Bifrost selber los. Aber mach Dich doch mal schlau, was Bifrost eigentlich ist. Ein Backdoor-Trojaner. Sprich, sobald das Ding aktiv ist, hat der Urheber Zugriff auf das befallene System. Was der mit dem System so alles anstellt, weiss nur er selber und er wird es nicht verraten.

Man muss also prinzipiell vom schlimmsten denkbaren Szenario ausgehen. Das bedeutet, dass man davon ausgehen muss, dass sämtliche gespeicherten und in der Zeit des Befalls eingetippten Passwörter ausgespäht wurden. Dass der eigene Rechner Teil eines Botnetzes ist, das zum Spam-Versand, für DDoS-Angriffe oder sonstige fragwürdige Sachen missbraucht wird.

Weiterhin stellt sich die Frage, ob Bifrost wirklich die einzige Malware ist/war, die auf dem Rechner läuft. Oder ob da noch mehr aktiv ist, was halt hinreichend clever ist, sich vor dem Virenscanner zu verbergen.

Dank der zahlreichen Anleitungen im Internet ist jeder
Sonderschüler und voll Depp in der Lage Viren zu manipulieren
das sie nicht erkannt werden.Dazu kommen noch die Fertig
Bausätze und ohne besondere Kenntnisse hat man dann einen
guten Trojaner…

Eben. Und genau deshalb weiss man ja nicht, was mit dem befallenen System alles geschehen ist.

Eine manuelle Bereinigung erfordert viel Zeit und viel Know How. Ob sie aber erfolgreich ist, steht in den Sternen. Das System flach zu machen und neu aufzusetzen ist deutlich einfacher und schneller, insbesondere mit einem sauberen Image. Da man sich sinnvollerweise ein vernünftiges Sicherheitskonzept angelegt hat, welches u.a. die regelmässige Sicherung von Daten und evt. System beinhaltet, sollte das eigentlich kein wirkliches Problem darstellen.

CU
Peter

also zu Peter,das ist doch nicht dein Ernst???So etwas macht
man nur wenn gar nix mehr geht…

Nein, das macht man, sobald ein Rechner mal kompromittiert wurde, was bei dir der Fall ist. Und es ist die einzige Lösung, die Aussicht auf Erfolg hat. Alles andere wird dir ohnehin nichts bringen. Selbst wenn du diesen einen Schädling entfernen kannst: Wer sagt dir, dass nicht noch ein dutzend anderer Schadprogramme auf deinem Rechner rumliegen, die sich nur nicht so offensichtlich bemerkbar machen sondern ihre Arbeit still und unbemerkt im Hintergrund erledigen?