Backdoor BDS/Bifrose.NQ.470

#1 Hallo,

bin neu hier und möchte ersteinmal alle Grüßen!
Seit Kurzem habe ich anscheinend einen backdoor, der nur von AVG gefunden wird, nicht aber von antivir, spybot, ad-aware und a-squared. Die Meldung lautet dann:

Signatur des gefährlichen Backdoorprogrammes BDS/Bifrose.NQ.470 gefunden. Löschen und in Quarantäne verschieben etc. bringt nichts, AVG findet ihn nach erneutem durchscannen wieder und wieder.... :-(

Habe einen Hijackthis Logfile erstellt. Kann mir jemand helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:36, on 11.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\REALTEK Semiconductor Corp\REALTEK RTL8185 Wireless LAN Driver and Utility\RtlWake.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\protect.exe
C:\Programme\Opera\Opera.exe
C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe
C:\Dokumente und Einstellungen\Manuel\Desktop\Security\HiJackThis2\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Safe'n'Sec] "C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe" autostart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Realtek Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142156916250
O16 - DPF: {F0FCC76D-767E-4759-A447-62289CA775AA} (Coreport SSO Client) - http://sail.scania.com/sail/v52/ie/controls/CoreportSsoClient.cab
O20 - Winlogon Notify: SafenSec - C:\WINDOWS\SYSTEM32\snsntfy.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SafenSec - S.N.Safe&Software - C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe

--
End of file - 7130 bytes


Vorab schon einmal vielen vielen Dank!


Grüße,
Salserito.

#2 Wo und mit welchem Dateinamen wird denn dieser Trojaner gemeldet?
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

wie gesagt, nur wenn ich AVG mal durchscannen lasse. Dann öffnet sich Fenster: "Virus oder unerwünschtes Programm gefunden unter C:\DOKUME~1\Manuel\...\$66993C2E.t$m, enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bifrose.NQ.470. Jede gebotene Möglichkeit in Quarantäne verschieben, Löschen, Umbenennen, Zugriff verweigern oder Ignorieren hilft nicht. denn beim nächsten Mal kommt das gleiche immer wieder.

Sonst habe ich eigentlich keine großen Probleme, läuft sonst ziemlich normal, außer daß er sich manchmal aufhängt, aber das glaube ich, weil ich dann zu viele Programme aufhabe und dann evtl alle Ressourcen verbraucht sind (ist ein alter PC aus 2001).

Ist denn das Hijackthis logfile soweit OK? Was meinst Du?

Gruß,
Manuel.

#4 Sonderbares faellt mir zwar nicht auf, aber reiche nochmal ein Combofix Report nach http://board.protecus.de/t23188.htm

Auch solltest du nur den Guard von Antivir aktivieren, nicht den von AVG. Wen dir sonst AVG, Antivir, A2 oder SafenSec nicht ins gehege kommen, solls mir gleich sein.

Der Genaue Fundort der Malware waere wichtig. Schau einmal in Antivir unter Berichte, bzw ereignlisse nach, wo das genau gemeldet wird. Ich denke, Antivir findet nur entpackte Dateien von AVG, aber wer weiss..
__________
MfG Ralf
SEO-Spam Hunter

#5 Also, der Fundort der Malware ist folgende:

"In der Datei 'C:\DOKUME~1\Manuel\LOKALE~1\Temp\$78060A0E.t$m'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.NQ.470' [BDS/Bifrose.NQ.470] gefunden."


...und hier der Combofix log report:


ComboFix 07-08-09.3 - "Manuel" 2007-08-12 15:17:12.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.266 [GMT 2:00]


((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 )))))))))))))))))))))))))))))))


2007-08-12 14:57 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-11 13:20 <DIR> d-------- C:\Programme\S.N.Safe&Software
2007-08-10 10:32 9 --a------ C:\DOKUME~1\Manuel\ANWEND~1\mdb.bin


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-12 15:14 --------- d-------- C:\Programme\eMule
2007-08-12 10:37 --------- d-------- C:\DOKUME~1\Manuel\ANWEND~1\Free Download Manager
2007-08-08 23:03 --------- d-------- C:\Programme\a-squared Free
2007-08-06 22:26 --------- d-------- C:\Programme\Opera
2007-07-10 22:29 --------- d-------- C:\DOKUME~1\Manuel\ANWEND~1\AdobeUM
2007-05-16 17:12 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll
2006-02-05 17:58 954827 --a------ C:\Programme\ImageGrabberII.zip
2005-02-20 23:48 22550456 --a------ C:\Programme\iTunesSetup.exe
2004-10-01 16:00 40960 --a------ C:\Programme\Uninstall_CDS.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 23:01]
"C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 C:\WINDOWS\mixer.exe]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 18:35]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 12:24]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-07-01 14:23]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-02-07 23:36]
"Safe'n'Sec"="C:\Programme\S.N.Safe&Software\Safe'n'Sec\snsmcon.exe" [2007-02-26 17:16]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-15 23:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"eMuleAutoStart"="C:\Programme\eMule\emule.exe" [2006-09-14 16:15]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SafenSec]
snsntfy.dll 2007-02-26 17:16 64312 C:\WINDOWS\system32\snsntfy.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 sfcorevt;SafenSec Base System Events Provider v2.0;C:\WINDOWS\system32\Drivers\sfcorevt.sys
R2 SafenSec;SafenSec;"C:\Programme\S.N.Safe&Software\Safe'n'Sec\safensec.exe"
S3 alcan5wn;SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys
S3 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
S4 rtl8185;Realtek RTL8185 54M Wireless LAN Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\rtl8185.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B0Command]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B0Command- setup.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B1Command]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b96ba46-8549-11da-9686-806d6172696f}\AR_B1Command- write.exe handbuch.doc]


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-12 15:19:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-12 15:20:49
C:\ComboFix2.txt ... 2007-08-12 15:05

--- E O F ---


Wie kann man eigentlich den AVG guard ausschalten? Hab überall in den Einstellungen gesucht, aber nichts gefunden... Ist denn der Antivir Guard besser? Reichen diese AV programs oder kannst Du noch einen besseren empfehlen?

Gruß
M.

#6 Antivir Premium waere mein Favorit, aber wenn du mit AVG gut klar kommst, kannst du diesen auch nehmen. Dann musst du unter Software Antivir aufrufen und dort den Guard deinstallieren.

Wenn die Bifrose Meldung nur beim Scan mit Avg auftaucht, sollte es keine Probleme geben und du kannst den Temp Ordner mit hilfe von ATF Cleaner oder dern Datentraegerbereinigung leeren.
__________
MfG Ralf
SEO-Spam Hunter

#7 Vielen vielen Dank für Deine Hilfe. Ich hoffe, daß mein PC dann clean ist, wenn soweit auch der Combofix log report ok war.

Temp Ordner werde ich dann mal entleeren.


Thnx nochmals!


mgf Manuel.