| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bifrost Virus - Wie kann er vollständig entfernt werden?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.10.2009, 16:43
| #1 |
| |  Bifrost Virus - Wie kann er vollständig entfernt werden? Hallo. Ich hab wohl nen Bifrost auf meinem Laptop... Habs gemerkt, als ich mich auf ner anderen Seite nicht mehr einloggen konnte weil mein Passwort gehackt wurde. Ich habe mich wieder freischalten lassen und eine Stunde später kam ich wieder nicht mehr rein. Nachdem ich die 2 dateien gelöscht hab, frage ich mich trotzdem ob das wirklich alles war?? Ich hab keine Lust dass jetzt ständig meine Passwörter ausspioniert werden und ich mich nciht merh einloggen kann. Hab CCleaner laufen lassen und auch Malwarebytes. Da wurden 2 Sachen gefunden, die hab ich auch löschen lassen. Ich poste trotzdem mal den Log hier: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2979
Windows 6.0.6002 Service Pack 2
18.10.2009 17:12:48
mbam-log-2009-10-18 (17-12-48).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 227459
Laufzeit: 1 hour(s), 9 minute(s), 23 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\Rebecca\AppData\Roaming\addons.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
|
|
18.10.2009, 16:44
| #2 |
| | Bifrost Virus - Wie kann er vollständig entfernt werden? RSIT:
__________________Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Rebecca at 2009-10-18 17:32:14 Microsoft® Windows Vista™ Home Premium Service Pack 2 System drive C: has 203 GB (72%) free of 282 GB Total RAM: 3070 MB (62% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:32:17, on 18.10.2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18828) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\OSD.exe C:\Windows\System32\rundll32.exe C:\Program Files\SSS\SimpleScreenshot.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\WindowsMobile\wmdSync.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Windows\System32\mobsync.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Rebecca\Downloads\Desktop\RSIT.exe C:\Program Files\Trend Micro\HijackThis\Rebecca.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe" O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [{3DBFA422-DF9C-22B2-761C-6EE20837D9E3}] C:\Users\Rebecca\AppData\Roaming\Bifrost\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Program Files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Nortel CVC Service (NvcRpcServer) - Nortel Networks NA, Inc. - C:\Program Files\Nortel Networks\NvcRpcSvr.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\OmniServ.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe -- End of file - 6567 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-09-23 1088296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184] "SynTPStart"=C:\Program Files\Synaptics\SynTP\SynTPStart.exe [2007-08-31 102400] "LaunchAp"=C:\Program Files\Launch Manager\LaunchAp.exe [2007-09-01 32768] "LMgrOSD"=C:\Program Files\Launch Manager\OSD.exe [2006-12-26 180224] "UCam_Menu"=C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [2007-09-13 222504] "NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-07-11 13543968] "NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-07-11 92704] "SimpleScreenshot"=C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE [2005-04-14 962048] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-20 209153] "Windows Mobile-based device management"=C:\Windows\WindowsMobile\wmdSync.exe [2008-01-21 215552] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-07-25 149280] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696] "Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288] " Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ICQ"=C:\Program Files\ICQ6.5\ICQ.exe [2009-03-01 172792] "{3DBFA422-DF9C-22B2-761C-6EE20837D9E3}"=C:\Users\Rebecca\AppData\Roaming\Bifrost\svchost.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe [2009-04-23 691656] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe [2007-09-06 188416] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [2007-10-03 178712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe /background [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe [2007-11-02 2564096] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL] C:\Windows\PLFSetL.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QIP2005] C:\Program Files\QIP\qip.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\QuickTime\QTTask.exe [2009-09-05 417792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl] C:\Windows\RtHDVCpl.exe [2008-07-03 6266880] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Program Files\Skype\Phone\Skype.exe [2008-09-23 21755688] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel] C:\Windows\Skytel.exe [2008-06-25 1826816] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2uvc] C:\Windows\vsnp2uvc.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe [2009-07-25 149280] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton] C:\Program Files\Launch Manager\Wbutton.exe [2007-09-07 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk] C:\PROGRA~1\MICROS~4\Office\OSA9.EXE [1999-02-17 65588] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^web'n'walk Manager.lnk] C:\PROGRA~1\T-Mobile\WEB'N'~1\WEB'N'~1.EXE /noshow [] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "BindDirectlyToPropertySetStorage"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2afb0ca5-a38e-11de-9d57-8635d1a25f17}] shell\AutoRun\command - G:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40548153-9e0e-11de-95b2-8a66179ed1b2}] shell\AutoRun\command - G:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5149e35d-3b07-11de-9564-444553544200}] shell\AutoRun\command - wscript.exe open_website.vbs ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2009-10-18 17:32:14 ----D---- C:\rsit 2009-10-18 16:00:03 ----D---- C:\Users\Rebecca\AppData\Roaming\Malwarebytes 2009-10-18 15:59:54 ----D---- C:\ProgramData\Malwarebytes 2009-10-18 15:59:54 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-10-18 15:46:32 ----D---- C:\Program Files\CCleaner 2009-10-18 14:36:12 ----D---- C:\Program Files\Trend Micro 2009-10-18 10:30:36 ----D---- C:\Program Files\Adobe 2009-10-18 10:30:15 ----SHD---- C:\Config.Msi 2009-10-16 10:04:48 ----A---- C:\Windows\system32\mshtml.dll 2009-10-16 10:04:47 ----A---- C:\Windows\system32\ieframe.dll 2009-10-16 10:04:46 ----A---- C:\Windows\system32\iertutil.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\wininet.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\urlmon.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\occache.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\msfeeds.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\ieui.dll 2009-10-16 10:04:45 ----A---- C:\Windows\system32\iedkcs32.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\msfeedssync.exe 2009-10-16 10:04:44 ----A---- C:\Windows\system32\msfeedsbs.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\jsproxy.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\ieUnatt.exe 2009-10-16 10:04:44 ----A---- C:\Windows\system32\iesysprep.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\iesetup.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\iernonce.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\iepeers.dll 2009-10-16 10:04:44 ----A---- C:\Windows\system32\ie4uinit.exe 2009-10-16 09:50:59 ----A---- C:\Windows\system32\msv1_0.dll 2009-10-16 09:50:50 ----A---- C:\Windows\system32\ntoskrnl.exe 2009-10-16 09:50:50 ----A---- C:\Windows\system32\ntkrnlpa.exe 2009-10-16 09:50:29 ----A---- C:\Windows\system32\msasn1.dll 2009-10-16 09:50:15 ----A---- C:\Windows\system32\WMSPDMOD.DLL 2009-10-05 17:25:40 ----D---- C:\ProgramData\Office Genuine Advantage 2009-10-05 16:06:07 ----A---- C:\Windows\system32\D3DX9_41.dll 2009-10-05 16:06:07 ----A---- C:\Windows\system32\d3dx10_41.dll 2009-10-05 16:06:07 ----A---- C:\Windows\system32\D3DCompiler_41.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\XAudio2_4.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\XAPOFX1_3.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\xactengine3_4.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\X3DAudio1_6.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\d3dx10_40.dll 2009-10-05 16:06:06 ----A---- C:\Windows\system32\D3DCompiler_40.dll 2009-10-05 16:06:05 ----A---- C:\Windows\system32\XAudio2_3.dll 2009-10-05 16:06:05 ----A---- C:\Windows\system32\XAPOFX1_2.dll 2009-10-05 16:06:05 ----A---- C:\Windows\system32\xactengine3_3.dll 2009-10-05 16:06:05 ----A---- C:\Windows\system32\X3DAudio1_5.dll 2009-10-05 16:06:05 ----A---- C:\Windows\system32\D3DX9_40.dll 2009-10-03 09:00:31 ----N---- C:\Windows\system32\MpSigStub.exe 2009-10-03 08:54:21 ----A---- C:\Windows\system32\wups2.dll 2009-10-03 08:54:21 ----A---- C:\Windows\system32\wuauclt.exe 2009-10-03 08:54:20 ----A---- C:\Windows\system32\wucltux.dll 2009-10-03 08:54:20 ----A---- C:\Windows\system32\wuaueng.dll 2009-10-03 08:54:03 ----A---- C:\Windows\system32\wups.dll 2009-10-03 08:54:03 ----A---- C:\Windows\system32\wudriver.dll 2009-10-03 08:54:03 ----A---- C:\Windows\system32\wuapi.dll 2009-10-03 08:53:57 ----A---- C:\Windows\system32\wuwebv.dll 2009-10-03 08:53:57 ----A---- C:\Windows\system32\wuapp.exe 2009-10-02 20:41:38 ----A---- C:\Windows\system32\python26.dll 2009-09-30 13:23:25 ----A---- C:\Windows\RUNAWAY2.INI 2009-09-30 12:23:02 ----D---- C:\Remote Programs 2009-09-30 11:49:07 ----D---- C:\Metaboli 2009-09-30 11:13:21 ----N---- C:\Windows\ExentInfo.exe 2009-09-30 11:13:18 ----D---- C:\Program Files\Metaboli Player ======List of files/folders modified in the last 1 months====== 2009-10-18 17:32:16 ----D---- C:\Windows\Temp 2009-10-18 17:22:27 ----D---- C:\Windows\System32 2009-10-18 17:22:26 ----D---- C:\Windows\inf 2009-10-18 17:22:26 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-10-18 17:15:09 ----D---- C:\Windows 2009-10-18 17:15:09 ----D---- C:\Program Files 2009-10-18 16:17:43 ----D---- C:\Windows\prefetch 2009-10-18 15:59:57 ----D---- C:\Windows\system32\drivers 2009-10-18 15:59:54 ----D---- C:\ProgramData 2009-10-18 15:50:07 ----D---- C:\Windows\Debug 2009-10-18 12:14:28 ----D---- C:\Windows\Minidump 2009-10-18 12:12:43 ----SD---- C:\Users\Rebecca\AppData\Roaming\Microsoft 2009-10-18 12:02:54 ----D---- C:\ProgramData\Ulead Systems 2009-10-18 11:47:38 ----HD---- C:\Program Files\InstallShield Installation Information 2009-10-18 11:47:37 ----D---- C:\Program Files\Common Files 2009-10-18 11:46:54 ----SHD---- C:\System Volume Information 2009-10-18 11:46:04 ----SHD---- C:\Windows\Installer 2009-10-18 11:45:36 ----D---- C:\Program Files\Common Files\DVDVideoSoft 2009-10-18 11:41:00 ----D---- C:\Program Files\Common Files\microsoft shared 2009-10-18 11:40:47 ----D---- C:\Program Files\Windows Live 2009-10-18 11:33:26 ----D---- C:\Windows\system32\wbem 2009-10-18 11:32:33 ----D---- C:\Program Files\Common Files\Adobe 2009-10-18 11:32:32 ----D---- C:\Windows\Tasks 2009-10-18 11:32:32 ----D---- C:\Windows\system32\spool 2009-10-18 11:32:32 ----D---- C:\Windows\system32\catroot2 2009-10-18 11:32:32 ----D---- C:\Windows\registration 2009-10-18 11:28:31 ----D---- C:\ProgramData\Adobe 2009-10-18 11:22:38 ----D---- C:\Windows\winsxs 2009-10-18 11:22:38 ----D---- C:\Windows\system32\migration 2009-10-18 11:22:38 ----D---- C:\Windows\system32\CodeIntegrity 2009-10-18 11:22:38 ----D---- C:\Windows\ehome 2009-10-18 11:22:36 ----D---- C:\Program Files\Windows Mail 2009-10-18 11:22:36 ----D---- C:\Program Files\Internet Explorer 2009-10-16 10:35:05 ----D---- C:\Windows\Microsoft.NET 2009-10-16 10:34:39 ----RSD---- C:\Windows\assembly 2009-10-16 10:16:38 ----D---- C:\Windows\system32\catroot 2009-10-14 18:39:18 ----D---- C:\Python26 2009-10-10 08:10:29 ----D---- C:\Users\Rebecca\AppData\Roaming\ICQ 2009-10-09 22:22:25 ----AD---- C:\ProgramData\TEMP 2009-10-07 19:37:14 ----D---- C:\Users\Rebecca\AppData\Roaming\teamspeak2 2009-10-06 16:33:53 ----D---- C:\Windows\rescache 2009-10-06 16:16:34 ----D---- C:\Windows\system32\en-US 2009-10-06 16:16:34 ----D---- C:\Windows\system32\de-DE 2009-10-05 16:25:34 ----D---- C:\Users\Rebecca\AppData\Roaming\ProtectDisc 2009-10-03 09:02:36 ----D---- C:\Windows\system32\zh-TW 2009-10-03 09:02:36 ----D---- C:\Windows\system32\zh-HK 2009-10-03 09:02:36 ----D---- C:\Windows\system32\tr-TR 2009-10-03 09:02:36 ----D---- C:\Windows\system32\sv-SE 2009-10-03 09:02:36 ----D---- C:\Windows\system32\pt-BR 2009-10-03 09:02:36 ----D---- C:\Windows\system32\nl-NL 2009-10-03 09:02:36 ----D---- C:\Windows\system32\nb-NO 2009-10-03 09:02:36 ----D---- C:\Windows\system32\ko-KR 2009-10-03 09:02:36 ----D---- C:\Windows\system32\it-IT 2009-10-03 09:02:36 ----D---- C:\Windows\system32\he-IL 2009-10-03 09:02:36 ----D---- C:\Windows\system32\fr-FR 2009-10-03 09:02:36 ----D---- C:\Windows\system32\fi-FI 2009-10-03 09:02:36 ----D---- C:\Windows\system32\es-ES 2009-10-03 09:02:36 ----D---- C:\Windows\system32\el-GR 2009-10-03 09:02:36 ----D---- C:\Windows\system32\da-DK 2009-10-03 09:02:36 ----D---- C:\Windows\system32\ar-SA 2009-10-02 20:01:57 ----A---- C:\Windows\system32\mrt.exe 2009-10-02 13:40:25 ----D---- C:\temp 2009-09-30 12:23:11 ----D---- C:\ProgramData\Metaboli Player 2009-09-30 12:22:53 ----SD---- C:\Windows\Downloaded Program Files 2009-09-27 21:41:06 ----D---- C:\Users\Rebecca\AppData\Roaming\Real |
|
18.10.2009, 16:45
| #3 |
| | Bifrost Virus - Wie kann er vollständig entfernt werden? Gehört noch zum RSIT
__________________Code:
ATTFilter
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-03-20 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 Hotkey;Hotkey; C:\Windows\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 acedrv10;acedrv10; \??\C:\Windows\system32\drivers\acedrv10.sys [2007-07-24 328824]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
R2 acehlp10;acehlp10; \??\C:\Windows\system32\drivers\acehlp10.sys [2007-07-11 201848]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-09-02 281760]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-09-02 25888]
R2 X4HSX32Ex;X4HSX32Ex; \??\C:\Program Files\Metaboli Player\X4HSX32Ex.Sys [2007-11-14 29856]
R3 ATSWPDRV;AuthenTec TruePrint USB Driver (SwipeSensor); C:\Windows\system32\DRIVERS\ATSwpDrv.sys [2007-08-28 146560]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 Eacfilt;Eacfilt Miniport; C:\Windows\system32\DRIVERS\eacfilt.sys [2007-04-09 31784]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-07-03 2152088]
R3 IPSECSHM;Nortel IPSECSHM Adapter; C:\Windows\system32\DRIVERS\ipsecw2k.sys [2007-04-09 148232]
R3 LVUSBSta;Logitech USB Monitor Filter; C:\Windows\system32\drivers\lvusbsta.sys [2005-01-31 22016]
R3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw4v32.sys [2008-03-13 2555392]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-07-11 7539744]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-06-25 84480]
R3 RTSTOR;Realtek USB 2.0 Card Reader; C:\Windows\system32\drivers\RTSTOR.SYS [2008-06-23 62464]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC); C:\Windows\system32\DRIVERS\snp2uvc.sys [2008-07-10 1753984]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-08-31 192688]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 aqjrt0as;aqjrt0as; C:\Windows\system32\drivers\aqjrt0as.sys []
S3 Cam5607;Bison Webcam; C:\Windows\System32\Drivers\BisonC07.sys [2007-08-30 805416]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 IPSECEXT;Nortel Extranet Access Protocol; C:\Windows\system32\DRIVERS\ipsecw2k.sys [2007-04-09 148232]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 PID_0928;Logitech QuickCam Express(PID_0928); C:\Windows\system32\DRIVERS\LV561AV.SYS [2005-01-31 211712]
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]
S3 winusb;WinUSB Service; C:\Windows\system32\DRIVERS\winusb.sys [2009-04-11 31616]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirMailService;Avira AntiVir MailGuard; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [2009-06-09 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 AntiVirWebService;Avira AntiVir WebGuard; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2009-06-09 434945]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [2007-10-03 358936]
R2 NvcRpcServer;Nortel CVC Service; C:\Program Files\Nortel Networks\NvcRpcSvr.exe [2007-04-09 71176]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-07-11 196608]
R2 omniserv;Softex OmniPass Service; C:\Program Files\Softex\OmniPass\OmniServ.exe [2007-11-02 40960]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 TeamViewer4;TeamViewer 4; C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe [2009-08-24 185640]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S4 Boonty Games;Boonty Games; C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe []
S4 WisLMSvc;WisLMSvc; C:\Program Files\Launch Manager\WisLMSvc.exe [2007-09-11 118784]
-----------------EOF-----------------
|
|
18.10.2009, 16:46
| #4 |
| | Bifrost Virus - Wie kann er vollständig entfernt werden? Noch eine RSIT: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-10-18 17:32:20
======Uninstall list======
-->MsiExec /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
AGEIA PhysX v7.11.13-->MsiExec.exe /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
Any Video Converter 2.6.7-->"C:\Program Files\Any Video Converter\unins000.exe"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
AuthenTec Fingerprint Sensor Minimum Install-->MsiExec.exe /X{E815FB81-995F-4F33-8E25-F16712123AB7}
Avira AntiVir Premium-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
CABAReT Stage 4.1-->"C:\Program Files\CABAReT Stage 4.1\unins000.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\Setup.exe" /z-uninstall
DVD Shrink 3.2 deutsch (DeCSS-frei)-->"C:\Program Files\DVD Shrink DE\unins000.exe"
FLV Player 2.0 (build 25)-->C:\Program Files\FLV Player\uninst.exe
Free Studio version 4.2-->"C:\Program Files\DVDVideoSoft\Free Studio\unins000.exe"
Free Video to Mp3 Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free Video to Mp3 Converter\unins000.exe"
Futuremark SystemInfo-->"C:\Program Files\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe" -runfromtemp -l0x0009 -removeonly
GHC 6.10.2-->"C:\ghc\ghc-6.10.2\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Inst5657-->MsiExec.exe /I{FEDE400D-3381-4087-ACCB-689DD8A56123}
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
IsoBuster 2.5.5-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
K-Lite Mega Codec Pack 5.0.5-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Launch Manager V1.4.9-->C:\Program Files\InstallShield Installation Information\{D0846526-66DD-4DC9-A02C-98F9A2806812}\setup.exe -runfromtemp -l0x0007 -removeonly
LetsTrade Komponenten-->C:\Windows\fpuninst.exe -uninstall:"C:\Program Files\Letstrade\uninst\uninst.ini"
Letstrade-->MsiExec.exe /X{E0091C29-DEE8-4B24-BF65-8C35B5940D77}
MakeDisc-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\Setup.exe" -uninstall
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
MediaShow-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\Setup.exe" -uninstall
Metaboli Player-->"C:\Program Files\Metaboli Player\Uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nortel Networks Contivity VPN Client-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EF964A78-078C-11D1-B7A7-0000C0134CE6}\setup.exe" Uninstall
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA GAME System Software 2.8.1-->MsiExec.exe /I{4F0C7CCF-5666-474B-B02E-AC514A95EC93}
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OmniPass 5.00.91-->C:\Program Files\InstallShield Installation Information\{F4E57F49-84B4-4CF2-B0A1-8CA1752BDF7E}\setup.exe -runfromtemp -l0x0007 -removeonly
OpenAL-->"C:\Program Files\OpenAL\Oalinst.exe" /U
PhotoNow!-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\Setup.exe" -uninstall
PhotoScape-->"C:\Program Files\PhotoScape\uninstall.exe"
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
ProtectDisc Helper Driver 10-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v10.exe
Python 2.6.3-->MsiExec.exe /I{3D9AC095-E115-4E94-BDEF-7F7EDF17697D}
Python 2.6-->MsiExec.exe /I{110EB5C4-E995-4CFB-AB80-A5F315BEA9E8}
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Realtek USB 2.0 Card Reader-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe" -l0x9 -removeonly
Recover My Files-->"C:\Program Files\GetData\Recover My Files\unins000.exe"
Runaway 2 - The dream of the turtle-->C:\Remote Programs\Runaway 2\GPlrLanc.exe -LOpCode 2 /RemoveContent cid=466852;name=Runaway 2 - The dream of the turtle;dir=C:\Remote Programs\Runaway 2\;prvid=200;cmdid=1;prvdir=Default
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
SimpleScreenshot 1.30-->C:\Windows\SSSUn.EXE /UnInst:"C:\Windows\SimpleScreenshot_Uninstall.ins"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
Suyin Webcam-->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe -runfromtemp -l0x0007 -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamSpeak 2 RC2-->"C:\Program Files\teamspeak2_RC2\unins000.exe"
TeamViewer 4-->C:\Program Files\TeamViewer\Version4\uninstall.exe
Unreal Streaming Media Player v 5.0-->MsiExec.exe /I{DB099DFB-C7A3-4A4F-AB24-C8ADCC94ABE6}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
=====HijackThis Backups=====
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) [2009-10-18]
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU) [2009-10-18]
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing) [2009-10-18]
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) [2009-10-18]
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU) [2009-10-18]
======Security center information======
AS: Windows Defender
=====Application event log=====
Computer Name: Computername
Event Code: 105
Message:
Record Number: 5
Source Name: PLFlash DeviceIoControl Service
Time Written: 20080904091620.000000-000
Event Type: Informationen
User:
Computer Name: Computername
Event Code: 0
Message:
Record Number: 4
Source Name: Nero BackItUp Scheduler 3
Time Written: 20080904091620.000000-000
Event Type: Informationen
User:
Computer Name: Computername
Event Code: 4625
Message: Das EventSystem-Subsystem unterdrückt duplizierte Ereignisprotokolleinträge für eine Dauer von 86400 Sekunden. Dieses Zeitlimit kann durch den REG_DWORD-Wert SuppressDuplicateDuration unter folgendem Registrierungsschlüssel gesteuert werden: HKLM\Software\Microsoft\EventSystem\EventLog.
Record Number: 3
Source Name: Microsoft-Windows-EventSystem
Time Written: 20080904091617.000000-000
Event Type: Informationen
User:
Computer Name: WIN-00FKWDLZUDS
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.
Record Number: 2
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080904091616.000000-000
Event Type: Informationen
User:
Computer Name: WIN-00FKWDLZUDS
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet.
Record Number: 1
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080904091615.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
=====Security event log=====
Computer Name: Rebecca-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: REBECCA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x2e8
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 19031
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090129172158.035475-000
Event Type: Überwachung erfolgreich
User:
Computer Name: Rebecca-PC
Event Code: 5056
Message: Ein Kryptografieselbsttest wurde ausgeführt.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: REBECCA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Modul: ncrypt.dll
Rückgabecode: 0x0
Record Number: 19030
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090129172156.651470-000
Event Type: Überwachung erfolgreich
User:
Computer Name: Rebecca-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 19029
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090129172153.016646-000
Event Type: Überwachung erfolgreich
User:
Computer Name: Rebecca-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: REBECCA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2e8
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 19028
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090129172153.016646-000
Event Type: Überwachung erfolgreich
User:
Computer Name: Rebecca-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: REBECCA-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x2e8
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 19027
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090129172153.016646-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Softex\OmniPass;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
Danke schonmal im Vorraus, liebe Grüße Rebecca |
|
18.10.2009, 17:20
| #5 |
   | Bifrost Virus - Wie kann er vollständig entfernt werden? Hallo Rebecca Das beste in deinem Fall wäre http://www.trojaner-board.de/51262-a...sicherung.html. Bei Bifrost ist das immer so eine Sache, die Bereinigung ist schwierig und aufwendig und es gibt keine Garantie daß wirklich zu 100% alles entfernt wurde. Ändere auch von einem sauberen Rechner aus ALLE deine Passwörter. Von dem infizierten Rechner aus die PW´s zu ändern hat absolut keinen Sinn. Gruß Acid
__________________ Kein Support per PM Das befolgen der Tips und Anleitungen geschieht auf eigene Gefahr. |
|
18.10.2009, 17:22
| #6 |
| | Bifrost Virus - Wie kann er vollständig entfernt werden? Naja, ich hatte jetzt ehrlich gesagt nicht damit gerechnet, dass man sofort das System neu aufsetzen soll... Dann werd ich wohl noch wo anders fragen. Das kann ja nicht immer nur die einfachste Lösung sein -.- Trotzdem Danke, Rebecca |
|
| Themen zu Bifrost Virus - Wie kann er vollständig entfernt werden? |
| anderen, anti-malware, appdata, ausspioniert, backdoor.bifrose, bifrose.trace, bifrost, ccleaner, code, dateien, dateien gelöscht, einloggen, entfernt, frage, gehackt, gelöscht, löschen, nicht mehr, passwort, passwort gehackt, passwörter, registrierungsschlüssel, roaming, sachen, seite, service, software, version, virus, wirklich |
Linear-Darstellung
