IMHO, wenn das Projekt "offiziell" von den Autoren eingestellt wurde, heißt das ja nich dass man den Code nicht mehr bekommt...

=) meinst du im Ernst das wüsste ich nicht? Nur wird der mitlerweile von praktisch jedem Scanner erkannt und KSV hat eigentlich alle gebeten es nicht weiter zu verbreiten.
Egal, macht was ihr wollt. Ich hab' seit bestimmt 'nem halben Jahr keinen einzigen richtigen Bifrost mehr gesehen. Nur Fehlalarme die von komischen Tools produziert wurden...

Ich glaube hier auch nicht wirklich an einem Bifrost-Befall. Allerdings wollte ich schon erwähnt haben, daß ein solcher Befall ein Neuaufsetzen erfordert.

Da unser "Fragezeichet" aber ja geradezu mit Infos um sich schmeißt, kann man nicht viel mehr sagen... :teufel2:

Hallo,

sorry das ich nicht so viele Infos gebe aber das hat schon seinen Sinn.

Warum muss ich neu aufsetzen, wenn ich ein bifrost trojaner habe? Habe in der regedit "ctfmon.exe" unter RUN gefunden und es gelöscht und dann im systemordner die exe datei von dem typen gelöscht.....jetzt wird nichts mehr geladen wenn ich den pc starte....

Nur leider kann ich pchealth und debug/passwD.log nicht löschen weil ein anderes programm zugreift?!

Hat da jemand nen plan?

Und Du meinst das Du dann in einem Forum richtig bist?:rolleyes:

Tja, du sagst uns nichts, machst nichts von dem was dir empfohlen wird und löschst dann fröhlich Systemdateien.
Egal was wir dir jetzt noch empfehlen: Wir verbrennen uns die Finger, nachher glaubt man noch, wir hätten deinen Rechner zerschossen.

Ehrlich: Wenn du keine Informationen rausgeben willst und nicht das tust was man dir empfiehlt, warum bist du dann hier?
Warum ziehst du dann nicht die Konsequenz und setzt neu auf. Da musst du keine Infos rausgeben, kannst tun und lassen was du willst und den RemoteControl biste auch los.

Bisher hast du jedenfalls nur den Officesupport für exotische Schriftzeichen zerstört
Wenn du es dann tatsächlich schaffen solltest pchealth und debug zu löschen, dürfte ein Neuaufsetzen eh unumgänglich werden. Dann funktioniert Windows wahrscheinlich nicht mehr richtig.

lg myrtille

hallo,

ich ziehe alle eurer vorschläge in betracht aber hijackthis habe ich schon mal gepostet, das war zu einem andern thema aber mit demselben problem, nur damals wußte ich noch nicht das es sich um ein remote controll tool handelt.

Ferner ich lösche nicht fröhlich alle möglichen Systemdateien, sondern nur die die bei registry mechanic als gefährdet eingestuft werden.

Habe jetzt nur noch 4 dateien die zu löschen sind....dann müsste der pc wieder clean sein.

realsched.exe
updater.exe
firefox.exe
RTHOCPL.exe

alle dateien werden in der regedit angezeigt aber ich kann sie net löschen und die exe dateien sind auch net vorhanden?

weiß jemand wie man dateien löschen kann auch wenn ständig "zugriff verweigert" kommt? Ich will ramba zamba machen....falls es schief geht dann formatiere ich einfach oder repariere windows

MfG

Mich interessiert erstmal nur, wer oder was Dir von der Existenz des Bifrost erzählt hat. Und wenn ja, welche angebliche Datei angemeckert wurde.

Die von Dir zitierten vier Dateien sind es offensichtlich nicht! Ist aber auch schlecht, denn wenn Du Dateien erwähnst solltest Du den kompletten Pfad posten!!

realsched.exe - vom Realplayer
updater.exe - kann man nicht genau sagen, kompletter Pfad wäre wichtig! Bei Virustotal auswerten
firefox.exe - logisch, sollte die firefox-executable sein :D
RTHOCPL.exe - unbekannt - bitte komletten Pfad posten und bei Virustotal auswerten

Bevor wieder mangelnde Infos kommen: Poste wirklich alle Ergebnisse von Virustotal!

Moin

wenn im richtigen Pfad und FF genutzt wird...
sonst evtl. mal einen Scan mit Blacklight machen
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

MFG

root24,

mir wurde auch schon mal die saubere iexplore.exe von einem AV gelöscht, als ich mal was getestet habe. das Tool ist wohl davon ausgegangen so wird der laufende Server, der in den IE injekziert hatte, beseitigt. :aplaus:
das war natürlich ein Fehlversuch. :D

wenn also die firefox.exe bemängelt wird, kann es durchaus ein berechtigter Hinweis sein, dass da was nicht stimmt. Welches AV? kann ich mich echt nicht erinnern, der Server war entweder Bifrost oder Poison Ivy.

das aber nur nebenbei, Fragezeichet ist ja an irgendwelchen Tipps zum Umsetzen nicht weiter interessiert, was soll man sich da beteiligen. ;)

have fun,
Heike :teufel3:

Eure Einwände sind ja berechtigt. Ein Schädling kann sich auch als iexplore.exe oder firefox.exe tarnen oder eben Schadcode in eine iexplore.exe injizieren - das ist mir bekannt!

Aber einfach nur die bemängelten Dateien zu posten reicht nicht, deswegen bat ich ja den TO um den kompletten Pfad. :teufel2:

Entweder du missverstehst das Tool, oder es erzählt dir Blödsinn:
ctfmon.exe ist nicht Teil von bifrost, die Ordner PCHealth und debug gehören zu Windows und wie es um die 4 weiteren Dateien steht hat dir root ja auch schon angedeutet.
Wobei ich bei der letzten Datei vermute, dass du da ein O mit einem D verwechselt hast?
Mein Verdacht ist ja, dass die Dateien längst nicht mehr existieren, sondern nur noch herrenlose RegistryEinträge existieren, die von RegistryMechanic als bösartig identifiziert werden (der will sich ja auch verkaufen) und jetzt von dir mit Dateien gleichgesetzt werden.

Aber auch hier können wir/kann man nur raten.

@Heike
Kein Virenprogramm, die Meldungen stammen von einem (mir unbekannten, kann da jemand was zu sagen?) Registrycleaner. :p

lg myrtille