Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Bifrose

Bifrose


Plagegeister aller Art und deren Bekämpfung: Bifrose

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 24.04.2008, 06:15   #16
abcMartina
 
Bifrose - Standard

Bifrose


Kurzes Update:
Habe eben meinen Laptop wieder eingeschaltet und Antivir kam wieder mit den zwei Meldungen über bifrose. Bei Malwarebytes' Anit-Malware waren die 8 Dateien in der Quarantäneliste (obwohl ich sie gemäß dem andern Forumeintrag alle gelöscht hatte gestern). Hab sie dann wieder gelöscht, neu gestartet und Antivir hat wieder die Meldung gebracht, bei Anti-Malware sind die Dateien jetzt aber nicht mehr in Quarantäne.

Alt 24.04.2008, 11:02   #17
boston
 
Bifrose - Standard

Bifrose


sind die funde immer noch im gleichen pfad?

hijackthis ausführen
- do a system scan only
- haken setzen bei
Zitat:
O4 - HKCU\..\Policies\Explorer\Run: [waults] C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe
- fix checked
- bestätigen

direkt danach bitte
The Avenger
mit folgendem skript anwenden
Zitat:
Files to delete:
C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe
C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe
und avenger.txt und ein neues hijackthis-log posten.
__________________
Alt 04.05.2008, 07:03   #18
abcMartina
 
Bifrose - Standard

Bifrose


So, endlich kann ich wieder ins Internet und das Log posten...

Also die Funde bei Antivir waren immer im gleichen Pfad. Inzwischen meldet Antivir aber nichts mehr...

Hier ist avenger.txt:




Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


und hier das hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:23, on 26.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bluetooth-USB-Stick\BTNtService.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Tina\Desktop\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=1060915
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/&s=jVpk6BPQlnJRlk6B5p-25pEle1w
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClocX] C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158764227906
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Bluetooth-USB-Stick\BTNtService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8408 bytes


Ist dann jetzt der Virus weg? Aber wie war das: es können trotzdem noch Teile übrig geblieben sein und deswegen muss ich den PC einmal formatieren?!

Und was mach ich jetzt mit dem USB-Stick? Wenn ich den wieder einstöpsel, hab ich ja wahrscheinlich das Mistvieh wieder drauf?!

Vielen Dank für die Hilfe!!
__________________
Alt 04.05.2008, 12:33   #19
boston
 
Bifrose - Standard

Bifrose


hallo, antivir + avenger haben nur die offensichtlichen spuren des befalls
beseitigt. ich würde dem rechner nicht mehr trauen.
den stick kannst du formatieren. ganz wichtig dabei:
während du ihn einsteckst, die shift-taste gedrückt halten, damit
die autorun.inf nicht gestartet wird.

Antwort
Seite 2 von 2 1 2

Themen zu Bifrose
aktiv, andere, angezeigt, antivir, anwendungsdaten, backdoor, bifrose, datei, diverse, dokumente, einstellungen, folge, folgendes, foren, frage, gefunde, heulen, heute, komplette, nichts, programm, tagen, unerwünschtes programm, virus, warum, überprüfe, überprüfen


« TrojanDownloader | TR/Vundo.GJ (verzweifelt :( hilfe) »


Ähnliche Themen: Bifrose


  1. BDS/bifrose.ejdq
    Log-Analyse und Auswertung - 02.02.2012 (5)
  2. backdoor,win32.bifrose.f
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (16)
  3. bds/bifrose.ejdq
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (2)
  4. Bifrose.Backdoor
    Log-Analyse und Auswertung - 19.01.2011 (11)
  5. Verdacht auf Bifrose
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (15)
  6. BDS/Hupigon./ BDS/Bifrose.bbld
    Plagegeister aller Art und deren Bekämpfung - 18.08.2009 (9)
  7. Bifrose-Befall?
    Log-Analyse und Auswertung - 06.08.2009 (9)
  8. Wie kann man BDS/Bifrose.vmw entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.01.2009 (5)
  9. Backdoor.Bifrose.acs
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (3)
  10. Bifrose.LA - help
    Mülltonne - 30.09.2008 (0)
  11. hilfe bei bifrose.gen und anderen
    Log-Analyse und Auswertung - 24.05.2008 (5)
  12. Bifrose +Startuplog +Hijack
    Log-Analyse und Auswertung - 22.05.2008 (3)
  13. Backdoor Bifrose
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (6)
  14. *Help* Trojaner gefunden BDS/Bifrose.AAS.8
    Plagegeister aller Art und deren Bekämpfung - 10.09.2007 (2)
  15. Bifrose.LA
    Log-Analyse und Auswertung - 26.04.2007 (7)
  16. Backdoor.Bifrose ?
    Log-Analyse und Auswertung - 21.12.2006 (2)
  17. Prob mit Bifrose
    Plagegeister aller Art und deren Bekämpfung - 14.08.2006 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bifrose - Kurzes Update: Habe eben meinen Laptop wieder eingeschaltet und Antivir kam wieder mit den zwei Meldungen über bifrose. Bei Malwarebytes' Anit-Malware waren die 8 Dateien in der Quarantäneliste (obwohl ich - Bifrose...
Archiv
Du betrachtest: Bifrose auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55