Hallo!
Mir hatte Antivir heute folgendes angezeigt:

In der Datei 'C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.beg' [backdoor] gefunden.

Nachdem ich ein bisschen gegoogelt hab und mich in diverse Foren eingelesen hab, ist Bifrose wohl gar nichts nettes...

Kann ich Glück haben und der Virus ist vtl noch nicht aktiv gewesen? Wie kann ich das überprüfen?

Und eine andere Frage: Warum hat mir Antivir nicht schon vorher angeschlagen, ich hatte erst vor drei Tagen eine komplette Systemprüfung und da hat er nix gefunden... :-(

Viele Grüße

Martina

hallo, abcmartina,
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die hijackthis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log.

dann bitte per kopieren/einfügen (nicht durchsuchen)
das

Zitat:

C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe

bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten lassen und das komplette ergebnis posten.

Vielen Dank für die schnelle Antwort!

Hier ist das log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

hallo, die malware ist aktiv:

Zitat:

O4 - HKCU\..\Policies\Explorer\Run: [waults] C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe

bitte diese datei

Zitat:

C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe

bei virustotal auswerten lassen und das komplette ergebnis posten.

Ok, habe die entsprechende Datei überprüfen lassen..
Das Ergebnis ist an meinem letzten Post angehängt...
Sorry für das durcheinander..
und vielen vielen Dank für die Hilfe!!

Kann ich mich denn jetzt irgendwo einloggen, hat der Virus eh schon alle Passwörter oder bringt es etwas, wenn ich das einloggen sein lasse?

sorry, daß ich erst jetzt antworte. ich mußte noch einmal kurz weg.

das vt-ergebnis ist leider das, was ich erwartet habe.
der wurm steht im zusammenhang mit dem bifrose.
diese kombination könntest du dir durch einen verseuchten stick, externe hd etc. auf deinen rechner geholt haben.
ich würde bei backdoor-befall grundsätzlich neuaufsetzen.

Ok, der Scan dauert wohl dann wahrscheinlich noch länger...
Im Moment sinds schonmal 8 infizierte Objekte..
Noch ne andere Frage zu dem Stick: kann das ein Versehen gewesen sein, dass der Virus auf dem Stick gelandet ist, also verbreitet er sich so selbst oder muss das Absicht gewesen sein?
Diejenigen, von denen ich die Dateien aufm Stick hab (es waren nur Fotos) haben beide ein (it-?!)technisches Studium hinter sich und ich hätte eigentlich gedacht, dass die sich mit sowas auskennen müssten..
Und bringt eine Systemwiederherstellung in diesem Fall etwas?! Ok, die Frage hört sich schon beim Stellen blöd an, aber könnte ja vtl sein.. Hab nämlich zufällig erst letzte Wochen einen erstellt und der Stick samt Virus kam erst gestern abend rein...

dein stick ist von dem rechner infiziert worden, in den er eingesteckt war.
wenn du ausschließen kannst, daß der besitzer des rechners das
mutwillig gemacht hat, ist davon auszugehen, daß es unbewußt geschehen ist
und dieser rechner ebenfalls infiziert ist.
systemwiederherstellung hilft leider nicht.

Zitat:

also verbreitet er sich so selbst oder muss das Absicht gewesen sein?

Bifrost verbreitet sich nicht selber, es war Absicht.

Zitat:

Diejenigen, von denen ich die Dateien aufm Stick hab (es waren nur Fotos) haben beide ein (it-?!)technisches Studium hinter sich und ich hätte eigentlich gedacht, dass die sich mit sowas auskennen müssten..

sicherlich kennen sie sich aus, bloß Wissen kann man so oder so anwenden.
Ich weiß, dass weiblich Opfer begehrt sind, aber dass nur nebenbei.

Vertraue nicht zuviel,
Heike

Zitat:

Bifrost verbreitet sich nicht selber, es war Absicht.

in diesem fall imho doch, siehe eine vergleichbare beschreibung hier
WORM_AUTORUN.FW - Technical details

Dankeschön euch zwein!
Also kann es wohl beides gewesen sein, Absicht oder Zufall...
Naja, bin einfach froh, wenn ich das Zeugs wieder los hab... der Scan läuft ja im Moment noch.. wenigstens sinds noch nicht mehr geworden... :-)
@Boston: Vielen Dank für die schnelle und kompetente Hilfe!!!
Ich bin in sowas einfach ne totale Niete und mehr als regelmäßig Antivir durchlaufen zu lassen hab ich in solchen Dingen nicht drauf... ;-)

Hier die andere Logfile:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 675

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 129325
Scan Dauer: 2 hour(s), 22 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.