Bifrost eingefangen :(

Wildcat-dd · 15.04.2009, 21:32

Hallo Ihr Lieben!

Ich habe heute durch zufall entdeckt, dass beim Systemstart ein Programm gestartet wird, dass mir nicht bekannt war. Also hab ich gleich mal gegoogled und n Shock bekomm...
C:\Users\Isi\AppData\Roaming\Bifrost\server.exe
Ist es der Bifrost Trojaner?
Warscheinlich, oder?
Und wenn ja, wie bekomm ich den wieder weg?

Nehat86 · 15.04.2009, 21:41

huhu,

Poste doch mal bitte nen HijackThis logfile.

mfg Nehat86

Wildcat-dd · 15.04.2009, 21:45

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:49, on 15.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Toshiba\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Toshiba\HDMICtrlMan\HDMICtrlMan.exe
C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
C:\Program Files\Toshiba\SmoothView\SmoothView.exe
C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\pdf24\PDFBackend.exe
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Program Files\pdf24\PDFBackend.exe"
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - E:\SECRET~1\\SECRET~1.EXE (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartFaceVWatchSrv - Toshiba - C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TempoSVC.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9138 bytes

Wildcat-dd · 15.04.2009, 21:46

ich hoffe, ich hab das jetzt richtig gemacht

Nehat86 · 15.04.2009, 21:51

Fix bitte dieses hier ;

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

Überprüfe dein System mit Malwarebytes 'Antimalware und Poste bitte auch diesen logfile.

mfg Nehat86

Wildcat-dd · 15.04.2009, 22:46

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1987
Windows 6.0.6001 Service Pack 1

15.04.2009 23:44:09
mbam-log-2009-04-15 (23-43-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 61880
Laufzeit: 2 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Program Files\NetPumper (Adware.NetPumper) -> No action taken.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wildcat-dd · 15.04.2009, 22:48

gefixt und malewarebyte drüber laufen gelassen, und nu?
was mach ich jetzt damit?

BIOTEC · 16.04.2009, 08:40

Hi!

Ich bin ja auch hier nur Mitglied, aber mit den Bifrost Backdoors solltest du echt aufpassen.

Das Programm dient ja als Hintertür und wenn der Client gestartet ist, kann der, der das gemach hat alles auf deinem rechner machen! Es gibt MAKER dafür, die ich auch schon mal getestet hab und mit dem Dingen kannste den rechner komplett versteuern. Löschen, verändern, alles!

Ich hab mir mal ne BACKDOOR SHARK draufgezogen....selbe kacke. Musste System neu machen....

Auch wenn du den jetzt wegbekommst, kannste dir nie sicher sein, was da noch so auf deinem rechner drauf ist, was nicht hingehört!

Bei BACKDOORS würde ich immer neu aufsetzen.....

WARTE ABER BITTE AB, WAS DIR DIE MODS DAZU SCHREIBEN....

Gruss BIOTEC

Wildcat-dd · 27.04.2009, 00:16

Was mach ich denn nun?

Kaos · 27.04.2009, 00:22

Lade dir mal SUPERAntiSpyware und scanne damit dein System. Lese dir die Anleitung gut durch, allerdings kannst du den Scan im abgesicherten Modus auslassen. Logfile dann hier posten.

Wildcat-dd · 27.04.2009, 02:49

Sooo, hier isser:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/27/2009 at 03:35 AM

Application Version : 4.26.1000

Core Rules Database Version : 3864
Trace Rules Database Version: 1815

Scan type : Complete Scan
Total Scan Time : 01:20:05

Memory items scanned : 792
Memory threats detected : 0
Registry items scanned : 7325
Registry threats detected : 0
File items scanned : 148640
File threats detected : 37

Adware.Tracking Cookie
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.adition[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@zbox.zanox[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@bluestreak[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@overture[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@komtrack[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@zanox[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@tracking.quisma[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ads.heias[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@doubleclick[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@atwola[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.mediasoftwareapps[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@statse.webtrendslive[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@advertising[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@hansenet.122.2o7[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@mediaplex[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ads.pointroll[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.zanox[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@sevenoneintermedia.112.2o7[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@eas.apm.emediate[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adtech[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@2o7[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@serving-sys[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@traffictrack[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adfarm1.adition[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@atdmt[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@oberon-media[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adserver.71i[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.etracker[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@statcounter[2].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@tradedoubler[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.71i[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@adopt.euroclick[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@media.funpic[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@webmasterplan[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@ad.yieldmanager[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@www.zanox-affiliate[1].txt
C:\Users\Isi\AppData\Roaming\Microsoft\Windows\Cookies\isi@bs.serving-sys[1].txt

Beunruhigt mich irgendwie n bissl :/

Franz1968 · 27.04.2009, 07:03

Zitat:

Zitat von Wildcat-dd

C:\Users\Isi\AppData\Roaming\Bifrost\server.exe
Ist es der Bifrost Trojaner?

Wenn du immer noch überlegst, ob du neu aufsetzt oder nicht, dann hilft es dir vielleicht, diese Datei bei Virustotal scannen zu lassen.

Kaos · 27.04.2009, 12:11

Bei einem Backdoor-Befall ist neuinstallieren immer die beste Möglichkeit. Ob es die TO dann auch machen wollen, ist eine andere Sache.

Technische Kompromittierung

Richtig Neuaufsetzen und absichern.

mfg, Kaos

Bifrost eingefangen :(

Plagegeister aller Art und deren Bekämpfung: Bifrost eingefangen :(