ok erstmal danke und ein großes lob an den tollen support hier!

bis jetzt ist mir auch nichts aufgefallen, wie sieht es nun mit dem screen von den Log.data aus? das hat nichts damit zu tun? was denkt ihr?

Zitat:

Zitat von Sukros

ok erstmal danke und ein großes lob an den tollen support hier!

bis jetzt ist mir auch nichts aufgefallen, wie sieht es nun mit dem screen von den Log.data aus? das hat nichts damit zu tun? was denkt ihr?

Hier nochmal zum lesen:

Supportnet: ntuser.dat

http ://www.computerhilfen.de/hilfen-5-57962-0.html

Hi,

ich habe schon einige Infektionen mit einem Bifrose-Server gesehen, bei denen er in \Programme\Bifrose sass. Habe ihn noch nicht selber konfiguriert (werde ihn mir jetzt aber wohl doch mal besorgen), vermute aber, dass das der voreingestellte Pfad ist und manche Scriptkiddies noch nicht einmal den konfigurieren können.

Dann auch noch eine Datei klog.data (oder klog.dat) in diesem Ordner. Da bewahrt Bifrose normalerweise die per Keylogger abgegriffenen Geheimnisse auf.

Mehr ist natürlich hier nicht mehr zu ermitteln, da, wie bereits im ersten Beitrag mitgeteilt, der TO alle Spuren, anhand derer man das hätte genauer überprüfen können, vernichtet hat. So ist auch im Silentrunners nichts auffälligeres zu finden, als dass Vistas wirklich ein finster aufgeblasenes System ist. Unglaublich, was da alles steht.

Bei den Berichten habe ich aber keine Zweifel, dass dieses System von einem Bifrose Backdoorserver infiziert war. Ich halte es für extrem unwahrscheinlich (eigentlich ausgeschlossen), dass jemand für eine harmlose Software diesen Pfad wählen würde und dann auch noch eine Datei klog.dat(a) benutzen würde.

Die icq.exe / msnmsgr.exe / wmp.exe kannst Du ja gerne noch mal bei VirusTotal prüfen lassen, ich habe aber keine Zweifel daran, dass es sich um zwei Messenger und einen Media Player handelt. Startparameter wie "/silent" und "/background" sind ganz normal für solche Programme.

Mit der Löschaktion in dem Ordner, wo NTUSER, ntuser.dat usw. liegen, hast Du vermutlich noch mal Glück gehabt. Bitte in Zukunft nicht einfach mal eine Datei löschen, nur weil dir ihr Name komisch vorkommt, das kann böse Folgen haben bis hin zur Neuinstallation, auch dann, wenn Windows Schutzmechanismen dagegen hat.

Wenn Dateien auf der Festplatte gelöscht werden, werden dabei keine Einträge in der Registry, die auf diese Dateien zeigen, gelöscht.

Gruß, Karl

ok, ich danke nochmals ALLEN, die hier gepostet haben

danke karlkarl für die ausführliche beschreibung

ich habe die icq.exe / msnmsgr.exe / wmp.exe mit virustotal.com geprüft und es ist alles clean soweit.

Zitat:

Zitat von Sukros

und es ist alles clean soweit.

Die drei Dateien mögen clean sein. Für dein System gilt das wahrscheinlich nicht.

was meinst du jetzt genau?

Zitat:

Zitat von Sukros

was meinst du jetzt genau?

NICHTS!!!

Wie schon meine "Vorschreiber" schrieben, das System sieht auf den ersten Blick sauber aus, vielleicht hat dein AV-Programm auch nur eine false-positiv Meldung erbracht, weil diese/-r genauso arbeitet wie der BIFROSE-Trojaner.

Also, wenn keine Meldungen mehr kommen und auch sonst alles läuft, kann ich dir nur einen Tip geben, lass dich nicht verunsichern!

EOD