Schädling bifrose.AL / Red Swoosh EDN Client

[konrad]

Als ich heute meinen Rechner mit den neustesten Spybot-Def. gecheckt habe, wurde mir 1 Schädling (bifrose.LA) angezeigt (Bild1). ... ich bin ja fast aus allen Wolken gefallen ... bestimmt 3 Jahre gar nix + jetzt fang ich mir so n Krüppel ein ... frag mich nur woher/wie.

HijackThis sagt, es kommt von der Anwendung

Code:

 Red Swoosh EDN Client -  C:\Programme\RSSoft\RSEDNClient.exe

(Bild2) - die ich nicht installiert habe! Hat sich wohl irgendwie eingenistet (über was kann ich leider nicht nachvollziehen, bin eigentlich nur auf seriösen Webseiten unterwegs) ...

Naja, werde den Eintrag jetzt erstmal mit HJT fixen und dann weiterschauen bzw. mich nochmal über Google weiter schlau machen.

Irgendwelche Tipps, wie ich das herausfinden könnte, wo/wann ich mir das Mistding eingefangen habe?

Könnte evtl. auch eine bisher ungepatchte Windowslücke der Grund für die "Infektion" sein?

Mein Rechner ist immer auf dem aktuellen Stand, was Virendefs, WindowsPatches und Updates für Adaware und Spybot angeht. (Mit den vorherigen Defs. von Spybot wurde nichts gefunden .. wahrscheinlich hatten sie ihn da noch nicht in der Datenbank).

Den Eintrag / die Datei

Code:

c:\windows\system32\drivers\oreans32.sys

hab ich inzwischen mit Spybot gefixt.

Habe inzwischen herausgefunden, dass es wohl ein DL-Trojaner ist, der auch in der Lage ist Dateien/Schädlinge aus dem Netz nachzuladen.

Hat jemand genauere Infos was das Teil macht ?

Naja, spätestens nächstes WE wird komplett gesichert (nur Daten aus seriösen Quellen und Fotos ...) und neu aufgesetzt.

PS: Ich jag jetzt mal noch MS-Antispyware (ach, scheiss Alzheimer, das heisst ja jetzt Windows Defender) drüber, mal schauen ob der auch was findet.

[edit]So, bevor ich den Eintrag mit HJT gefixt habe habe ich nochmals:
- unter c:\programme nachgeschaut ... da war nicht mal ein Verzeichnis namens "RSSoft" ... versteckte+SysDateien hab ich mir natürlich anzeigen lassen ... vllt. gehört die SW ja auch zu nem Rootkit ?
- WIndowsDefender drüberlaufen lassen, aber der konnte nix finden

[quman]

...
Hat jemand genauere Infos was das Teil macht ?

...

...
Habe inzwischen herausgefunden, dass es wohl ein DL-Trojaner ist, der auch in der Lage ist Dateien/Schädlinge aus dem Netz nachzuladen.
...

Beantwortest du dir damit nicht deine Frage gerade selbst?
Ansonsten einfach mal das lesen, was in deinem HJT-Screen rechts als Textblock steht.

Google hilft auch meist...

...File rsednclient.exe is called Red Swoosh Enterprise Delivery Network Client, it is associated with Filefront's P2P network. The program uses victim's computers and bandwidth to provide the download bandwidth and may even allow others to download the file from your computer....Quelle

Wie man den bekommt kann ich nur vermuten, aber ich denke mal über P2P od. sonstige Downloadpages (evtl. sogar Downloadmanager).


Grüsse
Q

[HeikoBerlin]

oreans.sys gehört zu einem Software Protection System
(Process Monitor) der Firma Oreons und da dies
"auch in der Lage ist Dateien/Schädlinge aus dem Netz nachzuladen"
wird's von einigen Sicherheitslösungen als RiskWare eingestuft.

Jedoch sagt der Dateiname nichts über deren Zustand/Ursprung aus..
..was mich erstmal stutzig macht ist das ich überall von der Datei
in windows\system32\drivers und nicht in windows\system32 lese.

[konrad]

Also den einzigen DL-Manger den ich in letzter Zeit installiert hab war der für Windows Vista RC1 ... von akamai oder so ... der wird zwar im HJT als unbekannt angezeigt, aber den stufe ich nicht als böse ein.

P2P nutzt ich sogut wie gar nicht, höchstens mal für n Knoppix oder so. Das einzige evtl. verdächtige war ne "komische" Nero 6.6.1.6 Version, auf die ich irgendwo im Netz gestossen war (weiss leider nicht mehr wo)... schon möglich, dass das Teil nicht ganz sauber war (aber nix hatet angeschlagen) ... dort - wie gesagt ich weis die Seite nicht mehr - wurde auch behauptet, dass diese Version auch auf einem offiziellen .com Nero-ftp-Server liegen würde. Vllt. sogar damals direkt von dort geladen .. aber wie gesagt, das weis ich nicht mehr. Ist bestimmt schon 3-4 Wochen her, wenn nicht noch länger (bis jetzt ist die 6.6.1.6 auf jedenfall noch nicht über die interne Updatefunktion verfügbar >> siehe Anhang !) Werde auch gleich mein Nero deinstall und neuinstall. - "sicher ist sicher" ... haha, der war gut

Naja, hab jetzt mal mit den Tools gefixt - im Moment keine Funde mehr. Später in der Nacht mal n Neustart machen und dann werd ich nochmal mit allem durchprüfen ... aber da ich gern auf der realtiv sicheren Seite bin werd ich die Kiste eh platt machen demnächst.

Gegoogelt hab ich ja schon, aber da findet man soviel und nix besonders Ausführliches, aber solche Auskünfte wie diese:


müssen wohl erstmal reichen. Ups, is ja scho Uhr vorbei .. gleich mal im MNThread posten (MN-Mitternacht

[konrad]

oreans.sys ..
..was mich erstmal stutzig macht ist das ich überall von der Datei
in windows\system32\drivers und nicht in windows\system32 lese.

Keine Angst *g ... hatte es vorhin schon bemerkt, dass ich vergessen hatte das \drivers mit anzugeben .. wollte es auch gleich ändern, aber mir kam was dazwischen (werd ich jetzt gleich nachholen)... auf dem Bild isses ja auch zu sehen.

[EcoVia]

Hallo, Leute!

Ich habe mir dieses Backdoor-Programm vorgestern eingefangen.
Es war in Form eines Registrierungsschlüssels getarnt.

Das Symbol sah - im Zusammenhang mit dem von mir geladenen Programm - verdächtig aus. Aber manchmal ist meine Neugier selbstmörderisch. Ich habe es angeklickt.

Zunächst habe ich nichts bemerkt. Erst mein Vater - der am Rechner war - bemerkte, dass Firefox nicht richtig lud und sehr langsam lief. Es ließ sich nach dem Minimieren nicht öffnen.

Ich startete den Laptop neu. Keine Veränderung. Spybot-Search & Destroy (1.6...) erkannte dann die Datei.

3 Registierungseinträge wurden von Spybot gefunden und gefixt.
Währenddessen entfernte ich es noch manuel.
Einen Eintrag fand ich unter C:/Windows/System32/Bifrose.
In dem Ordner befand sich eine "server.exe".

Einen weiteren Eintrag löschte ich manuel aus der
LOCAL_MASCHINE_Software.

Ich weiß nicht, ob mein Vorgehen als elegent bezeichnet werden kann. Ich habe lediglich in der Suchleiste "bifrose.la" eingegeben.

Nach einem Scan und Neustart war das Trojaner-Problem erledigt. Ein zweiter Scan mit Spybot zeigte nichts an.

Hat jemand noch irgendwelche Ergänzungen? Ich hoffe, ich hab nichts übersehen.

[FFlash]

Nach einem Scan und Neustart war das Trojaner-Problem erledigt. Ein zweiter Scan mit Spybot zeigte nichts an.

Das sagt gar nichts

Lade dir mbam herunter und überprüfe dein System

Malwarebytes Anti-Malware
http://www.trojaner-board.de/51187-a...i-malware.html