Backdoor BDS/Bifrose.NQ.470 |
||
---|---|---|
#0
| ||
11.08.2007, 21:12
...neu hier
Beiträge: 4 |
||
|
||
12.08.2007, 12:08
Moderator
Beiträge: 7805 |
#2
Wo und mit welchem Dateinamen wird denn dieser Trojaner gemeldet?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.08.2007, 12:48
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Ralf,
wie gesagt, nur wenn ich AVG mal durchscannen lasse. Dann öffnet sich Fenster: "Virus oder unerwünschtes Programm gefunden unter C:\DOKUME~1\Manuel\...\$66993C2E.t$m, enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bifrose.NQ.470. Jede gebotene Möglichkeit in Quarantäne verschieben, Löschen, Umbenennen, Zugriff verweigern oder Ignorieren hilft nicht. denn beim nächsten Mal kommt das gleiche immer wieder. Sonst habe ich eigentlich keine großen Probleme, läuft sonst ziemlich normal, außer daß er sich manchmal aufhängt, aber das glaube ich, weil ich dann zu viele Programme aufhabe und dann evtl alle Ressourcen verbraucht sind (ist ein alter PC aus 2001). Ist denn das Hijackthis logfile soweit OK? Was meinst Du? Gruß, Manuel. Anhang: trojaner-backdoor jpeg.JPG
|
|
|
||
12.08.2007, 14:31
Moderator
Beiträge: 7805 |
#4
Sonderbares faellt mir zwar nicht auf, aber reiche nochmal ein Combofix Report nach http://board.protecus.de/t23188.htm
Auch solltest du nur den Guard von Antivir aktivieren, nicht den von AVG. Wen dir sonst AVG, Antivir, A2 oder SafenSec nicht ins gehege kommen, solls mir gleich sein. Der Genaue Fundort der Malware waere wichtig. Schau einmal in Antivir unter Berichte, bzw ereignlisse nach, wo das genau gemeldet wird. Ich denke, Antivir findet nur entpackte Dateien von AVG, aber wer weiss.. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.08.2007, 15:29
...neu hier
Themenstarter Beiträge: 4 |
#5
Also, der Fundort der Malware ist folgende:
"In der Datei 'C:\DOKUME~1\Manuel\LOKALE~1\Temp\$78060A0E.t$m' wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.NQ.470' [BDS/Bifrose.NQ.470] gefunden." ...und hier der Combofix log report: ComboFix 07-08-09.3 - "Manuel" 2007-08-12 15:17:12.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.266 [GMT 2:00] ((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 ))))))))))))))))))))))))))))))) 2007-08-12 14:57 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-11 13:20 <DIR> d-------- C:\Programme\S.N.Safe&Software 2007-08-10 10:32 9 --a------ C:\DOKUME~1\Manuel\ANWEND~1\mdb.bin (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-12 15:14 --------- d-------- C:\Programme\eMule 2007-08-12 10:37 --------- d-------- C:\DOKUME~1\Manuel\ANWEND~1\Free Download Manager 2007-08-08 23:03 --------- d-------- C:\Programme\a-squared Free 2007-08-06 22:26 --------- d-------- C:\Programme\Opera 2007-07-10 22:29 --------- d-------- C:\DOKUME~1\Manuel\ANWEND~1\AdobeUM 2007-05-16 17:12 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll 2007-05-16 17:12 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll 2007-05-16 17:11 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll 2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll 2007-05-16 17:11 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-05-16 17:11 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll 2006-02-05 17:58 954827 --a------ C:\Programme\ImageGrabberII.zip 2005-02-20 23:48 22550456 --a------ C:\Programme\iTunesSetup.exe 2004-10-01 16:00 40960 --a------ C:\Programme\Uninstall_CDS.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 23:01] "C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 C:\WINDOWS\mixer.exe] "RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 18:35] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 12:24] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-07-01 14:23] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-02-07 23:36] "Safe'n'Sec"="C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe" [2007-02-26 17:16] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-15 23:21] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "eMuleAutoStart"="C:\Programme\eMule\emule.exe" [2006-09-14 16:15] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SafenSec] snsntfy.dll 2007-02-26 17:16 64312 C:\WINDOWS\system32\snsntfy.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys R1 sfcorevt;SafenSec Base System Events Provider v2.0;C:\WINDOWS\system32\Drivers\sfcorevt.sys R2 SafenSec;SafenSec;"C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe" S3 alcan5wn;SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys S3 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys S4 rtl8185;Realtek RTL8185 54M Wireless LAN Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\rtl8185.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B0Command] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B0Command- setup.exe] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B1Command] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B1Command- write.exe handbuch.doc] ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-12 15:19:09 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-12 15:20:49 C:\ComboFix2.txt ... 2007-08-12 15:05 --- E O F --- Wie kann man eigentlich den AVG guard ausschalten? Hab überall in den Einstellungen gesucht, aber nichts gefunden... Ist denn der Antivir Guard besser? Reichen diese AV programs oder kannst Du noch einen besseren empfehlen? Gruß M. |
|
|
||
12.08.2007, 16:19
Moderator
Beiträge: 7805 |
#6
Antivir Premium waere mein Favorit, aber wenn du mit AVG gut klar kommst, kannst du diesen auch nehmen. Dann musst du unter Software Antivir aufrufen und dort den Guard deinstallieren.
Wenn die Bifrose Meldung nur beim Scan mit Avg auftaucht, sollte es keine Probleme geben und du kannst den Temp Ordner mit hilfe von ATF Cleaner oder dern Datentraegerbereinigung leeren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.08.2007, 16:36
...neu hier
Themenstarter Beiträge: 4 |
#7
Vielen vielen Dank für Deine Hilfe. Ich hoffe, daß mein PC dann clean ist, wenn soweit auch der Combofix log report ok war.
Temp Ordner werde ich dann mal entleeren. Thnx nochmals! mgf Manuel. |
|
|
||
bin neu hier und möchte ersteinmal alle Grüßen!
Seit Kurzem habe ich anscheinend einen backdoor, der nur von AVG gefunden wird, nicht aber von antivir, spybot, ad-aware und a-squared. Die Meldung lautet dann:
Signatur des gefährlichen Backdoorprogrammes BDS/Bifrose.NQ.470 gefunden. Löschen und in Quarantäne verschieben etc. bringt nichts, AVG findet ihn nach erneutem durchscannen wieder und wieder.... :-(
Habe einen Hijackthis Logfile erstellt. Kann mir jemand helfen?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:36, on 11.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\REALTEK Semiconductor Corp\REALTEK RTL8185 Wireless LAN Driver and Utility\RtlWake.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\protect.exe
C:\Programme\Opera\Opera.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe
C:\Dokumente und Einstellungen\Manuel\Desktop\Security\HiJackThis2\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Safe'n'Sec] "C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe" autostart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Realtek Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142156916250
O16 - DPF: {F0FCC76D-767E-4759-A447-62289CA775AA} (Coreport SSO Client) - http://sail.scania.com/sail/v52/ie/controls/CoreportSsoClient.cab
O20 - Winlogon Notify: SafenSec - C:\WINDOWS\SYSTEM32\snsntfy.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SafenSec - S.N.Safe&Software - C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe
--
End of file - 7130 bytes
Vorab schon einmal vielen vielen Dank!
Grüße,
Salserito.