Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor Bifrose

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.11.2007, 10:21   #1
tim_s04
 
Backdoor Bifrose - Standard

Backdoor Bifrose



Moinsen zusammen

Ich habe vorhin mal spybot über meinen rechner laufen lassen, weil ich einfach mal nachschauen wollte,was so bei mir auf dem rechner schlummert...

aber dann bekam ich nen großen bis übermäßigen schock,weil da dann bifrose kam...

habe dann bei spybot auf probleme beheben geklickt und dann kommt er auch nicht mehr wenn ich spybot über mein sys laufen lasse...ich denke mal ihr wollt das HJT File,dann geb ichs euch(habe auch den ordner aus der zip entpackt und die exe in HJT umbenannt...also ich habe auch mit misc tools das log file generiert und ide 2 haken gesetzt wie in einem anderen thread beschrieben)

StartupList report, 24.11.2007, 11:17:36
StartupList version: 1.52.2
Started from : C:\Users\Tim\Downloads\HJT.EXE
Detected: Unknown Windows (WinNT 6.00.1904)
Detected: Internet Explorer v7.00 (7.00.6000.16546)
* Using default options
==================================================

Running processes:

C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Windows\sttray.exe
C:\Windows\System32\ico.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\System32\Pmxmiced.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\***\Downloads\HJT.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Users\Tim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup]
Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Xfire.lnk = C:\Program Files\Xfire\xfire.exe

Shell folders Common Startup:
[C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup]
Adobe Acrobat - Schnellstart.lnk = ?
Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
BTTray.lnk = ?
Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\Windows\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SynTPEnh = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
SunJavaUpdateSched = "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
SigmatelSysTrayApp = sttray.exe
PMX Daemon = ICO.EXE
ISUSScheduler = "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
ISUSPM Startup = C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
AVMWlanClient = C:\Program Files\avmwlanstick\FRITZWLANMini.exe
NeroFilterCheck = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
GrooveMonitor = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
Acrobat Assistant 8.0 = "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
(Default) =
PinnacleDriverCheck = C:\Windows\system32\\PSDrvCheck.exe
WMUAgent.exe = C:\Program Files\WakeMeUp\WMUAgent.exe
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
LogitechCommunicationsManager = "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon = "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
QuickTime Task = "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper = "C:\Program Files\iTunes\iTunesHelper.exe"
avgnt = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
NvSvc = RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon = RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter = RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
NVHotkey = rundll32.exe C:\Windows\system32\nvHotkey.dll,Start

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Sidebar = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
ICQ = "C:\Program Files\ICQ6\ICQ.exe" silent
WMUTray.exe = C:\Program Files\WakeMeUp\WMUTray.exe
{9B71D88C-C598-4935-C5D1-43AA4DB90836} = C:\Users\Tim\AppData\Roaming\svchost.exe
Comrade.exe = C:\Program Files\GameSpy\Comrade\Comrade.exe
SpybotSD TeaTimer = C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\Windows\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=explorer.exe
SCRNSAVE.EXE=C:\Windows\system32\Bubbles.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
NCO 2.0 IE BHO - (no file) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}
(no name) - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL - {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
(no name) - c:\Program Files\Java\jre1.6.0\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
Browser Address Error Redirector - C:\Program Files\BAE\BAE.dll - {CA6319C0-31B7-401E-A518-A07C3DB8F777}

--------------------------------------------------

Enumerating Task Scheduler jobs:

User_Feed_Synchronization-{A8CB62AF-39F5-4CCF-8454-254E5FE9C6A4}.job

--------------------------------------------------

Enumerating Download Program Files:

[{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\Windows\system32\NLAapi.dll
NameSpace #4: C:\Windows\system32\napinsp.dll
NameSpace #5: C:\Windows\system32\pnrpnsp.dll
NameSpace #6: C:\Windows\system32\pnrpnsp.dll
NameSpace #7: C:\Windows\system32\wshbth.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\Windows\system32\webcheck.dll

--------------------------------------------------
End of report, 8.123 bytes
Report generated in 0,281 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

so,hoffe dann das mir jemand helfen kann, also ob man aus dem log file lesen kann ob die backdoor noch drauf ist.achso:wenn jemand sagt ich soll vista neuinstallieren, dann wers super wenn ich ne anleitung bekommen würde, weil ich mich da alleine nicht ganz dran traue...^^achso:was ist mit meinen pw's etc.,muss ich die ändern,also könnten die schon übermittelt worden sein?ich mache auch online banking, da sollte ich die pw's schleunigst ändern,oder?halt von einem anderen pc aus...

Mfg Tim

Alt 24.11.2007, 11:14   #2
Backdoor_Destroyer
 
Backdoor Bifrose - Standard

Backdoor Bifrose



Bei nem Backdoor musst du aufpassen der sorgt nämlich für verschiedene unappetitlichkeiten ^^

Bifrost nistet sich immer bei "Programme" ein Schau mal dort rein unter dem Ordner "Bifrost" dort sollte ne Datei sein "Server.exe" die löschst du und eine "klog.dat" darin sind die gesammelten tastatureingaben, die löshcst du auch. Dann machst mal nen registrycheck um die Startupeinträge zu löschen und dann sollte dein Problem gelöst sein
__________________


Alt 24.11.2007, 11:24   #3
Heike
 
Backdoor Bifrose - Standard

Backdoor Bifrose



Zitat:
Zitat von Backdoor_Destroyer Beitrag anzeigen
Bei nem Backdoor musst du aufpassen der sorgt nämlich für verschiedene unappetitlichkeiten ^^

Bifrost nistet sich immer bei "Programme" ein Schau mal dort rein unter dem Ordner "Bifrost" dort sollte ne Datei sein "Server.exe" die löschst du und eine "klog.dat" darin sind die gesammelten tastatureingaben, die löshcst du auch. Dann machst mal nen registrycheck um die Startupeinträge zu löschen und dann sollte dein Problem gelöst sein
das geht aber nur so, wenn derjenige, der den Server erstellt hat, ein Volltrottel war, sorry, selten sowas dummes als allgemein gültig gelesen.

Tim, hast Du Dir mal Bifrost angesehen? spybot findet den Server nämlich _normalerweise_ nicht, sondern nur den ungefährlichen Client.

ändere erst mal _alle_ Passwörter von einem anderen PC, sicherheitshalber.
__________________
__________________

Alt 24.11.2007, 11:31   #4
tim_s04
 
Backdoor Bifrose - Standard

Backdoor Bifrose



d.h. auch die vom online banking etc.?also wirklich alle^^und was mach ich dann,weil wenn ich mich dann ja von dem hier wieder einlogge hat er ja das pw ieder,oder?

ich würde halt nur gerne wissen,obs ne andere möglichkeit gibt also formatieren und neu installieren.

und wenn hätte ich da halt die fragen:welche von meinen dateien(also games,word docs etc.) kann ich behalten und welche müssen weg...???

und wo gibts ne anständige,verständliche anleitung zum formatieren und neu isntallieren^^

und was ist nen registrycheck???^^

Alt 24.11.2007, 12:16   #5
Heike
 
Backdoor Bifrose - Standard

Backdoor Bifrose



wenn Du die Passwörter wieder auf dem PC mit Bifrost-Server nutzt war das Ändern einfach sinnfrei, die Arbeit kannst Du Dir also sparen.

Wenn ich an Deinen Wissenstand denke, mußt Du formatieren.

Games sind ausführbare Dateien, die können auch infiziert sein, je mach dem, wo Du sie her hast, könnten sie auch die Ursache sein.

Eine Anleitung zur Installation sollte doch bei Deinem PC dabei gewesen sein, sonst mußt Du halt mal googlen.

__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 24.11.2007, 12:18   #6
tim_s04
 
Backdoor Bifrose - Standard

Backdoor Bifrose



aha und kann man das evtl rausfinden ob die infiziert sind oder nicht?weil das formatieren ist nicht das problem,hab nen kumpel mit dem ich das mache...

Alt 24.11.2007, 12:23   #7
Heike
 
Backdoor Bifrose - Standard

Backdoor Bifrose



ob etwas infiziert ist, entdeckt ein AntiViren-Programm nicht immer, scannen ist also keine sichere Lösung.

Ich würde "unsichere" Dateien auf meinem Test-PC checken, vielleicht hast Du oder Dein Freund ja auch so eine Möglichkeit?
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Antwort

Themen zu Backdoor Bifrose
acroiehelper.dll, adobe, antivir, avg, avira, backdoor, backdoor bifrose, bho, browser, defender, error, exe, explorer, firefox, internet, internet explorer, log file, mozilla, mozilla firefox, programdata, registry, registry key, registry value, rundll, saver, screensaver, software, start menu, stick, super, symantec, system, ups, userinit.exe, vista, windows, windows defender, windows sidebar, ändern



Ähnliche Themen: Backdoor Bifrose


  1. backdoor,win32.bifrose.f
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (16)
  2. Ad-Aware blockt Win32.Backdoor.Bifrose - Besteht gefahr?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2011 (21)
  3. Torjaner Backdoor.Win32.Bifrose.dmls
    Plagegeister aller Art und deren Bekämpfung - 17.02.2011 (1)
  4. Bifrose.Backdoor
    Log-Analyse und Auswertung - 19.01.2011 (11)
  5. Backdoor.Win32.Bifrose.fpb gelöscht?
    Log-Analyse und Auswertung - 31.03.2010 (3)
  6. Backdoor Bifrose gehen nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (9)
  7. backdoor.win32.bifrose.bnyf und Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 30.08.2009 (7)
  8. Mein PC total befallen..Backdoor.Win32.Bifrose.zuh usw.
    Plagegeister aller Art und deren Bekämpfung - 15.01.2009 (0)
  9. Backdoor.Bifrose.acs
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (3)
  10. Backdoor.Win32.Bifrose.aej aufspürbar ?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (22)
  11. Backdoor.Win32.Bifrose.aej!! Benötige dringend Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 31.03.2008 (13)
  12. System stürzt permanent ab! Wahrscheinlich Backdoor.Bifrose Befall
    Log-Analyse und Auswertung - 24.02.2008 (0)
  13. Backdoor.Win32.Bifrose.aej ich finde ihn nicht!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2007 (23)
  14. Win32.Backdoor.Bifrose
    Log-Analyse und Auswertung - 26.11.2007 (3)
  15. backdoor.win32.bifrose.aej befall?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2007 (13)
  16. Backdoor.Bifrose ?
    Log-Analyse und Auswertung - 21.12.2006 (2)
  17. Bifrose.EE/Backdoor.Brifose
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (2)

Zum Thema Backdoor Bifrose - Moinsen zusammen Ich habe vorhin mal spybot über meinen rechner laufen lassen, weil ich einfach mal nachschauen wollte,was so bei mir auf dem rechner schlummert... aber dann bekam ich nen - Backdoor Bifrose...
Archiv
Du betrachtest: Backdoor Bifrose auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.