Virus erfolgreich gelöscht? Backdoor.Win32.Bifrose.fpb

    Virus erfolgreich gelöscht? Backdoor.Win32.Bifrose.fpb

    Hallo Liebe helfer,
    Ich habe heute ein Virus gedownloadet und hatte leider -nur- Kaspersky ausgeschaltet, weil es im video so stand. Aber dank windows defender hat es eine Warnung gegeben. Ich habe mein PC erstmal sofort ausgeschaltet, dann aber habe ich mir es anders überlegt, wollte erstmal sofort formatieren.
    Weil ich viele wertvolle sachen auf mein pc habe, habe ich mal gesagt lass mal.

    Windows Defender hat es erkannt und erfolgreich gelöscht.
    Als ich dan später mit kaspersky nochmal nen FullScan gemacht habe stand da auch:

    30.03.2010 01:13:08 Gelöscht: Backdoor.Win32.Bifrose.fpb c:\Documents and Settings\All Users\Microsoft\Windows Defender\LocalCopy\{03A760E6-D916-4C3A-86D1-516D3AA8E972}-Bifrost.rar/Bifrost\Bifrost.exe

    Ich bin mir nicht sicher ob es jetzt ganz raus ist...
    hier meine Logfile:

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 00:10:15, on 31.03.2010
    3. Platform: Unknown Windows (WinNT 6.01.3504)
    4. MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    5. Boot mode: Normal
    6. Running processes:
    7. C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    8. C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
    9. C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
    10. C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
    11. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    12. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    13. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    14. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    15. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    16. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    17. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    18. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    19. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
    20. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    21. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    22. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    23. R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
    24. R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
    25. R3 - URLSearchHook: (no name) - - (no file)
    26. F2 - REG:system.ini: UserInit=userinit.exe
    27. O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    28. O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
    29. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    30. O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    31. O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
    32. O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
    33. O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    34. O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
    35. O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
    36. O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
    37. O4 - HKLM\..\Run: [BCU] "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe"
    38. O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    39. O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
    40. O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
    41. O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    42. O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
    43. O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    44. O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
    45. O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    46. O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    47. O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    48. O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    49. O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    50. O4 - Startup: No-IP DUC.lnk = C:\Program Files (x86)\No-IP\DUC20.exe
    51. O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    52. O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
    53. O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    54. O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    55. O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    56. O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
    57. O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
    58. O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
    59. O13 - Gopher Prefix:
    60. O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-us/wlscctrl2.cab
    61. O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    62. O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    63. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    64. O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    65. O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD5E422-A9DC-48A4-A4B3-A2CACB019436}: NameServer = 195.50.140.248 195.50.140.246
    66. O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    67. O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll
    68. O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    69. O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
    70. O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
    71. O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
    72. O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
    73. O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    74. O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    75. O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    76. O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
    77. O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
    78. O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    79. O23 - Service: ICQ Service - Unknown owner - C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
    80. O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    81. O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    82. O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    83. O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    84. O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
    85. O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    86. O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
    87. O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    88. O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    89. O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    90. O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    91. O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    92. O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    93. O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    94. O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe
    95. O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    96. O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    97. O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    98. O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    99. O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    100. O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    101. O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
    102. --
    103. End of file - 11265 bytes




    Malwarebytes vollständige untersuchung:


    Quellcode

    1. Malwarebytes' Anti-Malware 1.45
    2. www.malwarebytes.org
    3. Datenbank Version: 3933
    4. Windows 6.1.7600
    5. Internet Explorer 8.0.7600.16385
    6. 30.03.2010 22:15:47
    7. mbam-log-2010-03-30 (22-15-47).txt
    8. Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
    9. Durchsuchte Objekte: 296271
    10. Laufzeit: 57 Minute(n), 26 Sekunde(n)
    11. Infizierte Speicherprozesse: 0
    12. Infizierte Speichermodule: 0
    13. Infizierte Registrierungsschlüssel: 2
    14. Infizierte Registrierungswerte: 0
    15. Infizierte Dateiobjekte der Registrierung: 1
    16. Infizierte Verzeichnisse: 0
    17. Infizierte Dateien: 1
    18. Infizierte Speicherprozesse:
    19. (Keine bösartigen Objekte gefunden)
    20. Infizierte Speichermodule:
    21. (Keine bösartigen Objekte gefunden)
    22. Infizierte Registrierungsschlüssel:
    23. HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorNE (Rogue.RegistryDoktor) -> No action taken.
    24. HKEY_CURRENT_USER\SOFTWARE\bifrost1.2 (Bifrose.Trace) -> No action taken.
    25. Infizierte Registrierungswerte:
    26. (Keine bösartigen Objekte gefunden)
    27. Infizierte Dateiobjekte der Registrierung:
    28. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    29. Infizierte Verzeichnisse:
    30. (Keine bösartigen Objekte gefunden)
    31. Infizierte Dateien:
    32. C:\Program Files (x86)\Adobe\Adobe Photoshop CS4\AdobeCS4 LIC.exe (Trojan.Agent) -> No action taken.
    Im ersten Bericht habe ich nix besonderes gefunden.
    Der Vollständigkeit halber könntest du in deiner Registry den infizierten RegKey mit dem bifrost1.2 löschen, schaden kann's ja nicht.
    Damit müsstest du bifrost los sein

    Ich habe außerdem noch die erwähnte lic.exe im AdobePhotoshop-Verzeichnis gegooglet und überall steht, dass es sich dabei um einen Wurm handelt, jedoch verwirrt mich, dass es dazu keinen AutostartEintrag gibt... ?(
    Es gibt zwei Dinge, die unendlich sind. Das Universum und die menschliche Dummheit. Aber bei dem Universum bin ich mir noch nicht sicher...
    Albert Einstein

    ozonschicht schrieb:

    Wie kann ich es löschen?

    Mit malwarebytes habe ich nicht viel ahnung.

    Muss ich dan ein hacken setzen und dann Auswahl löschen?


    Ja.

    Lade diese Dateien mal hier hoch virustotal.com/de/ und lasse sie überprüfen. Wenn es ein Schädling ist kopiere das log hier ab.

    C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
    C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll

    Danach download dir diesen Antivirenscanner und lasse deinen PC vollständig scannen:
    freedrweb.com/cureit/?lng=de
    Kopiere das Log von dem Scan hier ab.

    GAV.