Irgendwie ist mir nicht klar, wie in diesem Thread der Informationsaustausch vonstatten geht, daher habe ich nachgefragt.
Wenn du einen Ordner "Bifrost" mit klog.dat als Inhalt hattest, dann musst du davon ausgehen, dass Bifrose auf deinem System aktiv war oder ist und dein System kompromittiert ist.
Wie lauteten denn nun die Pfade zu den infizierten Dateien?

D:Programm Files/ICQ6/icq.exe.\silent
D:Programm Files/MSN Messenger/msnmsgr.exe\background
D:Programm Files/Windows Media Player/WMPNSCFG.exe

wie auf dem screen unten

Und diese drei Dateien wurden als infiziert gemeldet? Von wem?

ja das ist eben mein problem, ich weiß eben NICHT ob sie infiziert sind, deshakb fragte ob ich sie es sind.

sind denn diese /silent und /background endungen normal?

ich hab die dateien gelöscht im abgesicherten modus sowie ohne mit O&O safeErase und tuneupshredder, dann habe ich kaspersky drüber laufen lassen -> kein erfolg, virustotal.com -> kein erfolg

die teile tauchen immer noch im regedit auf

Zitat:

Zitat von Sukros

ja das ist eben mein problem, ich weiß eben NICHT ob sie infiziert sind, deshakb fragte ob ich sie es sind.

sind denn diese /silent und /background endungen normal?

ich hab die dateien gelöscht im abgesicherten modus sowie ohne mit O&O safeErase und tuneupshredder, dann habe ich kaspersky drüber laufen lassen -> kein erfolg, virustotal.com -> kein erfolg

die teile tauchen immer noch im regedit auf

Kann es sein das du bei dem Wort BIFROSE leichte Wahnvorstellungen erleidest?

Also, alles was ich bisher gesehen habe aus deinen Logfiles, Screenshots und deinen Beschreibungen, es deutet nichts auf einen Befall mit dem Bifrose Backdoor hin.

Mal ganz abgesehen von diesen Programmen:

Zitat:

O&O safeErase und tuneupshredder

...diese würden sowieso nichts finden oder bewirken.

Du darfst also deine Ferien ohne weitere Verzögerungen geniessen.

Gruß
Sunny

Zitat:

Zitat von Sukros

Ich habe dann im regedit die sachen rausgesucht die betroffen waren (icq.exe / msnmsgr.exe / wmp.exe)

Das bedeutet doch, dass dir diese Dateien als infiziert gemeldet wurden, oder nicht? Von wem?
Außer diesem Umstand:

Zitat:

Zitat von Sukros

ich hab einen ordner Bifrost mit inhalt klog.data im abgesciherten modus gelöscht.

sehe ich im Moment kein Indiz für eine Infektion mit Bifrose. Aber auch keinen Grund, Entwarnung zu geben, eher im Gegenteil.
Vielleicht sollte jemand wie KarlKarl sich mal diesen Thread ansehen.

ok erstmal danke und ein großes lob an den tollen support hier!

bis jetzt ist mir auch nichts aufgefallen, wie sieht es nun mit dem screen von den Log.data aus? das hat nichts damit zu tun? was denkt ihr?

Zitat:

Zitat von Sukros

ok erstmal danke und ein großes lob an den tollen support hier!

bis jetzt ist mir auch nichts aufgefallen, wie sieht es nun mit dem screen von den Log.data aus? das hat nichts damit zu tun? was denkt ihr?

Hier nochmal zum lesen:

Supportnet: ntuser.dat

http ://www.computerhilfen.de/hilfen-5-57962-0.html

Hi,

ich habe schon einige Infektionen mit einem Bifrose-Server gesehen, bei denen er in \Programme\Bifrose sass. Habe ihn noch nicht selber konfiguriert (werde ihn mir jetzt aber wohl doch mal besorgen), vermute aber, dass das der voreingestellte Pfad ist und manche Scriptkiddies noch nicht einmal den konfigurieren können.

Dann auch noch eine Datei klog.data (oder klog.dat) in diesem Ordner. Da bewahrt Bifrose normalerweise die per Keylogger abgegriffenen Geheimnisse auf.

Mehr ist natürlich hier nicht mehr zu ermitteln, da, wie bereits im ersten Beitrag mitgeteilt, der TO alle Spuren, anhand derer man das hätte genauer überprüfen können, vernichtet hat. So ist auch im Silentrunners nichts auffälligeres zu finden, als dass Vistas wirklich ein finster aufgeblasenes System ist. Unglaublich, was da alles steht.

Bei den Berichten habe ich aber keine Zweifel, dass dieses System von einem Bifrose Backdoorserver infiziert war. Ich halte es für extrem unwahrscheinlich (eigentlich ausgeschlossen), dass jemand für eine harmlose Software diesen Pfad wählen würde und dann auch noch eine Datei klog.dat(a) benutzen würde.

Die icq.exe / msnmsgr.exe / wmp.exe kannst Du ja gerne noch mal bei VirusTotal prüfen lassen, ich habe aber keine Zweifel daran, dass es sich um zwei Messenger und einen Media Player handelt. Startparameter wie "/silent" und "/background" sind ganz normal für solche Programme.

Mit der Löschaktion in dem Ordner, wo NTUSER, ntuser.dat usw. liegen, hast Du vermutlich noch mal Glück gehabt. Bitte in Zukunft nicht einfach mal eine Datei löschen, nur weil dir ihr Name komisch vorkommt, das kann böse Folgen haben bis hin zur Neuinstallation, auch dann, wenn Windows Schutzmechanismen dagegen hat.

Wenn Dateien auf der Festplatte gelöscht werden, werden dabei keine Einträge in der Registry, die auf diese Dateien zeigen, gelöscht.

Gruß, Karl

ok, ich danke nochmals ALLEN, die hier gepostet haben

danke karlkarl für die ausführliche beschreibung

ich habe die icq.exe / msnmsgr.exe / wmp.exe mit virustotal.com geprüft und es ist alles clean soweit.

Zitat:

Zitat von Sukros

und es ist alles clean soweit.

Die drei Dateien mögen clean sein. Für dein System gilt das wahrscheinlich nicht.

was meinst du jetzt genau?

Zitat:

Zitat von Sukros

was meinst du jetzt genau?

NICHTS!!!

Wie schon meine "Vorschreiber" schrieben, das System sieht auf den ersten Blick sauber aus, vielleicht hat dein AV-Programm auch nur eine false-positiv Meldung erbracht, weil diese/-r genauso arbeitet wie der BIFROSE-Trojaner.

Also, wenn keine Meldungen mehr kommen und auch sonst alles läuft, kann ich dir nur einen Tip geben, lass dich nicht verunsichern!

EOD

Augenblick mal!

Dass ich mit meinem Posting, auf das sich der TO bezieht,

Zitat:

Zitat von [Gc]Sunny

NICHTS!!!

meine, ist nicht richtig!
Ich sehe keinen Grund, hier Entwarnung zu geben (auch wenn du anderer Meinung bist, [Gc]Sunny) - es sei denn, es findet sich eine plausible Erklärung für den "Bifrost"-Ordner und die klog.dat.

Zitat:

Zitat von Franz1968

Augenblick mal!

Dass ich mit meinem Posting, auf das sich der TO bezieht,

meine, ist nicht richtig!
Ich sehe keinen Grund, hier Entwarnung zu geben (auch wenn du anderer Meinung bist, [Gc]Sunny) - es sei denn, es findet sich eine plausible Erklärung für den "Bifrost"-Ordner und die klog.dat.

Ohne das es wieder heißt ich nehme die Helferlein hier im BOARD auseinander, aber das will ich jetzt näher betrachtet haben.

Dann beweise das Gegenteil und zeig mir den Ordner und die dazugehörigen Dateien die in den verschiedensten Versionen des Programms vorkommen:

Zitat:

1.) keine Datei namens MSMSSGS.EXE im Ordner /System
2.) keine Datei namens Plugin1.dat. im Ordner /System
3.) keine Datei namens system.exe im Ordner /System
4.) kein Ordner namens Bifrose sondern BIFROST (?)
5.) keine Datei namens syspare.exe
6.) keine Registrierungsschlüssel namens HKEY_CURRENT_USER\Software\Wget
7.) und ebenfalls keine C:\WINDOWS\Bifrost\server.exe

Lasst es dem TO doch freigestellt ob er sein System weiterhin benutzen will oder zur Sicherheit alles platt macht, aber die User verunsichern ist auch nicht Sinn und Zweck.

Daher auch mein Beitrag:

Zitat:

Zitat von Sunny

Wie schon meine "Vorschreiber" schrieben, das System sieht auf den ersten Blick sauber aus, vielleicht hat dein AV-Programm auch nur eine false-positiv Meldung erbracht, weil diese/-r genauso arbeitet wie der BIFROSE-Trojaner.

Soll nicht heißen das das System "clean" ist..aber auch nicht das es unmittelbar gefährdet ist.