Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bifrost.Gen gefunden TCP port wird ständig blockiert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.08.2009, 12:35   #1
Black-Flame
 
Bifrost.Gen gefunden TCP port wird ständig blockiert - Standard

Bifrost.Gen gefunden TCP port wird ständig blockiert



Hallo alle miteinander ich habe seit einiger Zeit den Verdacht das ich mir einen Trojaner namens bifrost eingefangen habe!

Hier mein System:
Windows XP
SP 3 (alle updates)
3ghz prozessor
3gb ram

Ich habe schon im abgesicherten Modus Malwarebytes Anti-Malware durchlaufen lassen mit Folgenden Ergebnis:

Zitat:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2525
Windows 5.1.2600 Service Pack 3

29.07.2009 19:39:24
mbam-log-2009-07-29 (19-39-24).txt

Scan-Methode: Vollständiger Scan (I:\|)
Durchsuchte Objekte: 411801
Laufzeit: 4 hour(s), 45 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\Dokumente und Einstellungen\Black Flame\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
Zusätzlich habe ich auch Norton Internet Security 2009 durchlaufen lassen da waren aber keine Funde dabei!!

Doch Norton zeigt mir immer diese Meldung seit neuen an und das alle paar Sekunden:



Zudem habe ich hier noch einen TCPview Log::

Zitat:
svchost.exe:1148 UDP bie:1032 *:*
firefox.exe:3148 TCP bie:1038 localhost:1039 ESTABLISHED
firefox.exe:3148 TCP bie:1039 localhost:1038 ESTABLISHED
ccSvcHst.exe:3596 TCP bie:1040 bie:0 LISTENING
firefox.exe:3148 TCP bie:1042 fritz.fonwlan.box:49000 ESTABLISHED
jusched.exe:1000 TCP bie:1046 static-ip-62-41.eurorings.net:http CLOSE_WAIT
firefox.exe:3148 TCP bie:1048 localhost:1049 ESTABLISHED
firefox.exe:3148 TCP bie:1049 localhost:1048 ESTABLISHED
[System Process]:0 TCP bie:1105 208.94.2.115:http TIME_WAIT
TnglCtrl.exe:2952 TCP bie:11143 bie:0 LISTENING
[System Process]:0 TCP bie:1115 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1117 208.94.2.98:http TIME_WAIT
[System Process]:0 TCP bie:1119 66.211.169.2:https TIME_WAIT
[System Process]:0 TCP bie:1120 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1121 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1123 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1124 ocsp.nyc3.verisign.com:http TIME_WAIT
[System Process]:0 TCP bie:1125 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1126 ocsp.nyc3.verisign.com:http TIME_WAIT
[System Process]:0 TCP bie:1127 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1128 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1129 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1130 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1131 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1141 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1145 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1146 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1159 208.94.2.115:http TIME_WAIT
[System Process]:0 TCP bie:1160 ratings-wrs.symantec.com:http TIME_WAIT
[System Process]:0 TCP bie:1161 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1162 208.94.2.110:http TIME_WAIT
firefox.exe:3148 TCP bie:1169 bw-in-f95.google.com:http ESTABLISHED
[System Process]:0 TCP bie:1170 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1180 208.94.2.110:http TIME_WAIT
[System Process]:0 TCP bie:1182 ratings-wrs.symantec.com:http TIME_WAIT
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 UDP bie:1900 *:*
svchost.exe:200 TCP bie:2869 bie:0 LISTENING
StarWindServiceAE.exe:2724 TCP bie:3260 bie:0 LISTENING
StarWindServiceAE.exe:2724 TCP bie:3261 bie:0 LISTENING
lsass.exe:1636 UDP bie:4500 *:*
jqs.exe:1216 TCP bie:5152 bie:0 LISTENING
jqs.exe:1216 TCP bie:5152 bie:0 LISTENING
svchost.exe:1968 TCP bie:epmap bie:0 LISTENING
lsass.exe:1636 UDP bie:isakmp *:*
System:4 TCP bie:microsoft-ds bie:0 LISTENING
System:4 UDP bie:microsoft-ds *:*
System:4 UDP bie:netbios-dgm *:*
System:4 UDP bie:netbios-dgm *:*
System:4 UDP bie:netbios-ns *:*
System:4 UDP bie:netbios-ns *:*
System:4 TCP bie:netbios-ssn bie:0 LISTENING
System:4 TCP bie:netbios-ssn bie:0 LISTENING
und hier der Hijack log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:39, on 01.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\WINXP\System32\smss.exe
I:\WINXP\system32\csrss.exe
I:\WINXP\system32\winlogon.exe
I:\WINXP\system32\services.exe
I:\WINXP\system32\lsass.exe
I:\WINXP\system32\Ati2evxx.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\System32\svchost.exe
I:\WINXP\system32\Ati2evxx.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\spoolsv.exe
I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
I:\WINXP\Explorer.EXE
I:\Programme\Java\jre6\bin\jusched.exe
I:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
I:\Programme\SuperCopier2\SuperCopier2.exe
I:\WINXP\system32\ctfmon.exe
I:\Programme\Launchy\Launchy.exe
I:\WINXP\system32\svchost.exe
I:\Programme\Google\Update\GoogleUpdate.exe
I:\Programme\Java\jre6\bin\jqs.exe
I:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
I:\Programme\Olivetti\ANY_WAY\olMntrService.exe
I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
I:\WINXP\system32\svchost.exe
I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
I:\Programme\Tunngle\TnglCtrl.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
I:\WINXP\System32\svchost.exe
I:\Dokumente und Einstellungen\Black Flame\Desktop\TcpView\Tcpview.exe
I:\WINXP\system32\wbem\wmiprvse.exe
I:\Programme\Windows NT\Zubehör\WORDPAD.EXE
I:\Programme\Trend Micro\HijackThis\HijackThis.exe
I:\WINXP\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://file://file://file://file://I:/Dokumente und Einstellungen/Black Flame/Eigene Dateien/ws.js
F2 - REG:system.ini: UserInit=I:\WINXP\system32\userinit.exe
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - I:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Videoraptor_WebRipPlugin Class - {3C0372C2-04C3-4100-BAB1-1D42C552BC48} - I:\Programme\AudialsOne\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - I:\Programme\AudialsOne\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - I:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "I:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [AlcoholAutomount] "I:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SuperCopier2.exe] I:\Programme\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINXP\system32\ctfmon.exe
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Launchy.lnk = I:\Programme\Launchy\Launchy.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242217188109
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - I:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - I:\Programme\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINXP\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9fee788e4eed8) (gupdate1c9fee788e4eed8) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - I:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Norton Internet Security - Symantec Corporation - I:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: olMntrService - Olivetti - I:\Programme\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SymantecAntiBotAgent - Symantec - I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - I:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: TunngleService - Tunngle.net GmbH - I:\Programme\Tunngle\TnglCtrl.exe

--
End of file - 7100 bytes
Was kann ich dagegen machen?

Alt 01.08.2009, 13:04   #2
ordell1234
 
Bifrost.Gen gefunden TCP port wird ständig blockiert - Standard

Bifrost.Gen gefunden TCP port wird ständig blockiert



Ohne mir die logs angeschaut zu haben: Bei Backdoorbefall setze neu auf -> siehe faq technische Kompromittierung.

zur Meldung an sich: Das ist die Kindersicherung deiner Fritzbox.

2 Möglichkeiten:
1. du gibst den Port frei,
2. du deaktivierst die Kindersicherung unter http:\\fritz.box
__________________


Antwort

Themen zu Bifrost.Gen gefunden TCP port wird ständig blockiert
abgesicherten modus, adobe, backdoor.bifrose, bho, bifrost, black, blockiert, desktop, einstellungen, explorer, google update, gupdate, hijack, hijackthis, hotkey, internet, internet explorer, internet security, intrusion prevention, keine funde, logfile, malware.trace, malwarebytes, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, plug-in, port, programme, registrierungsschlüssel, security, sekunden, software, svchost.exe, system, tcp, trojaner, updates




Ähnliche Themen: Bifrost.Gen gefunden TCP port wird ständig blockiert


  1. Trojaner nach Fake-Email, TR/Crypt.Xpack.87275 wird ständig von Avira gefunden
    Log-Analyse und Auswertung - 13.09.2014 (13)
  2. Windows Vista: TR/Patched.Ren.Gen wird ständig gefunden
    Log-Analyse und Auswertung - 13.02.2014 (19)
  3. Windows 7: PC wird zum Verand von Massen-E-Mails (SPAM) missbraucht, Port 25 gesperrt
    Log-Analyse und Auswertung - 07.12.2013 (5)
  4. Ihr Internet Service Provider wird blockiert- bei Zahlung von 100 € wird dieser entsperrt
    Log-Analyse und Auswertung - 21.04.2013 (21)
  5. Malwarebytes hat ausgehenden port 8 blockiert - avast hat im win temp Ordner Win32:Downloader-MIU gefunden
    Log-Analyse und Auswertung - 23.12.2012 (14)
  6. verschiedene ocx datein fehlen.es wird kein Com Port geöffnet unter win 7
    Log-Analyse und Auswertung - 23.09.2012 (1)
  7. TR/Sirefef.BP.1 wird ständig von AntiVir gefunden.
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (1)
  8. Pc wird blockiert: Aus Sicherheitsgründen wurde ihr Windows System blockiert.....
    Log-Analyse und Auswertung - 29.12.2011 (19)
  9. Pc wird blockiert: Aus Sicherheitsgründen wurde ihr Windows System blockiert.....
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (7)
  10. Port 80 blockiert, 443 funktioniert
    Log-Analyse und Auswertung - 18.09.2011 (1)
  11. Port 80 blockiert?
    Log-Analyse und Auswertung - 24.06.2010 (1)
  12. Sämtliche Antivirensoftware wird blockiert + Sites mit hijackthis werden blockiert +
    Log-Analyse und Auswertung - 17.01.2010 (3)
  13. Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
    Log-Analyse und Auswertung - 27.12.2009 (6)
  14. System sehr langsam, Apache klappt nicht mehr. Port 80 blockiert
    Log-Analyse und Auswertung - 02.08.2008 (0)
  15. PANDA deinstalliert, keine Namensauflösung mehr... Port blockiert?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.10.2007 (7)
  16. Suche Hilfe bei Port freigeben D-Link DI-604 und Bifrost 1.2
    Netzwerk und Hardware - 07.06.2007 (1)
  17. Bitte um Hilfe irgendwas blockiert den Port 113
    Log-Analyse und Auswertung - 25.11.2004 (6)

Zum Thema Bifrost.Gen gefunden TCP port wird ständig blockiert - Hallo alle miteinander ich habe seit einiger Zeit den Verdacht das ich mir einen Trojaner namens bifrost eingefangen habe! Hier mein System: Windows XP SP 3 (alle updates) 3ghz prozessor - Bifrost.Gen gefunden TCP port wird ständig blockiert...
Archiv
Du betrachtest: Bifrost.Gen gefunden TCP port wird ständig blockiert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.