[HaBo]

b4ck · 01.08.06, 17:47

hi ich habe mir nen bifrost trojaner eingefangen draufgekommen bin ich als ich mir mal meine verbindung angesehn hab mit netstat -n

da stand dann ne iP: 84.xxx.xxx.xxx port 2000 Syn Gesendet hab dann mal port 2000 im inet gesucht und gefunden das das der standard bifrost port is frage is jetzt wie krieg ich den weg? adaware S&D hijackthis und antivir sind nicht fündig geworden und ich durchsuch schon die regsitry hab aber bisher nix gefunden wenn jemand die einträge kennt oder mir weiterhelfen kann wäre das nett :)

Desktopfirewall hab ich eigentlich immer aus weiil ich hinter nem router sitzte schützt mich das gegen so einen trojaner? kommt der überhaupt durch den router durch :)?

adrian90 · 01.08.06, 18:04

Vermutlich kann sowieso kein Programm auf den Trojaner zugreifen, da der Router dies sperrt.

Anzeige

- Anzeige -

b4ck · 01.08.06, 18:07

das beruhigt mich schonmal

wei man s weg kriegt wer noch fein dann bin ich wieder glücklich wie ein glücksbärchen

adrian90 · 01.08.06, 18:20

Lass doch mal nen Virenscanner durchlaufen.

b4ck · 01.08.06, 18:21

<<adaware S&D hijackthis und antivir sind nicht fündig geworden>> *g* ^^
andere vorschläge

adrian90 · 01.08.06, 18:27

Lösche doch einfach alle Dateien von Bifrost im abgesicherten Modus.

b4ck · 01.08.06, 18:29

hätte ich eine ahnung welche datein infiziert sind?

bitte lies was ich schreibe bevor du postest

adrian90 · 01.08.06, 18:36

Ich dachte, du hast ein bisschen mehr Grundvoraussetzung. Aber ich erkläre es dir gerne.

Lad dir das Programm TCPView auf http://www.sysinternals.com runter. Dort kann man schauen, welches Programm auf den Port hört usw. Danach kannst du das Programm ganz leicht eliminieren.

b4ck · 01.08.06, 18:45

hui da sag ich mal DANKE^^
der hund hat sich in firefox eingenisstet xD njo jetzt iser weg danke nochmal

01.08.06, 19:21

@b4ck:
Ich glaube nicht, dass er weg ist. Der Bifrost-Trojaner ist ein ziemlich hinterlistiger Trojaner. Er hat versch. Startmethoden, Dateinamen und Schlüssel-Namen sind frei wählbar, die Größe der Datei kann zwischen 20kb und 80kb schwanken (je nach Plugins) und er injiziert sich in bestimmte bekannte Prozesse.
Und dass er in Firefox steckt ist auch klar, da er den Browser verwendet um ins Internet zu kommen (von daher bringt auch eine Firewall nix).
Am besten wir überprüfen mal die Standart-Registry-Einträge...
Geh mal auf Start --> Ausführen --> gib "regedit" ein --> und nun gehst du erst in folgendes Verzeichnis HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run und postest mal was da so alles drinsteht. Das gleiche machst du dann noch mit folgendem Registry-Ordner: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run.
Dann sehen wir uns mal an, ob er da dabei steht und wenn ja wissen wir auch wo die .exe von ihm liegt.

@adrian90:
Seit einiger Zeit bringen Router und Firewalls garnichts mehr bei Trojaner. Die neueren Trojaner haben alle die Funktion "Reverse Connection". Damit injizieren sie sich in einen laufenden Prozess (z.B. Browser) und verbinden sich dann zu dem Angreifer. Somit wird die Firewall und Router umgangen, da der komprometierte Prozess ja meistens schon freigegeben ist.

b4ck · 01.08.06, 19:31

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run.:

xpclean C:\WINDOWS\system32\xpclean.exe
TkbellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboo
Remote Control C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
Intel Wireless C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
ePowermanagment C:\Acer\ePM\ePM.exe boot
EPM-DM c:\acer\epm\epm-dm.exe
EQUApp C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run den pfad gibts bei mir nicht

tcp viewer zeigt den aber auch nicht mehr an also port 2000

01.08.06, 19:57

OK, der Trojaner liegt in C:\Windows\system32\ und heißt xpclean.exe!!!
Im system32-Ordner befinden sich nur System-Dateien und xpclean.exe ist mit Sicherheit keine System-Datei.
Die Dateien von dem Programm "XPClean" befindet sich auch nicht in diesem Ordner. Facto, muss es es der Trojaner sein. Nebenbei installiert sich Bifrost immer direkt ins Windows- oder ins system32-Verzeichnis...
Wenn du neustarten würdest, wäre der Trojaner auch wieder aktiv. Du hast nur seine aktuelle Verbindung unterbrochen. Daher siehst du auch seinen TCP-Stream nicht mehr.

Also, als erstes geh wieder in die Registry (Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run) und lösch dort den Schlüssel xpclean C:\WINDOWS\system32\xpclean.exe. Und danach lösch die Datei xpclean.exe unter C:\Windows\system32\. Wenn du die Datei nicht löschen kannst, dann geh in den abgesicherten Modus von Windows (F8 beim booten gedrückt halten) und mach es dort.

Dann ist der Trojaner komplett von deinem System verschwunden.

b4ck · 01.08.06, 20:00

^^ oh xpclean is mir auch komisch vorgekommen

njo danke für die hilfe der is jetzt weg

naja da ich wieder was gelernt danke

adrian90 · 01.08.06, 21:32

@m1ndless
Ich meinte damit, dass kein Hacker Verbindung von aussen mit dem Trojaner aufnehmen kann.

01.08.06, 21:49

@adrian90:
Das muss er doch auch garnicht! Da das Programm die Verbindung zu dem Cracker (meistens machen Hacker sowas nicht

) aufbaut.
Der Router und die Firewall bieten nur Schutz gegen Verbindungen von außen. Wenn ein bestimmter Prozess (z.B. dein Browser) schon freigegeben ist bei der Firewall (und das ist ja meistens der Fall), dann kann man einen anderen Prozess in diesen injizieren und somit ist die Firewall nutzlos. Und das NAT bringt da auch nichts, weil die Verbindung ja nicht von außen kommt, sondern den ganz normalen Weg geht wie jedes andere Paket auch. Erst über die vorgegebene Route zum Router und dann durch den offenen Port nach außen zum DNS des Angreifers und von dort aus wird er weiterverbunden zur IP des Angreifers. Wenn dieser sein Client-Programm laufen hat, bekommt er eine Benachrichtigung und kann loslegen...

Anzeige

- Anzeige -

01.08.06, 17:47	#1 (permalink)
b4ck Registriert seit: 13.02.06 Likes: 1	bifrost entfernen Anzeige hi ich habe mir nen bifrost trojaner eingefangen draufgekommen bin ich als ich mir mal meine verbindung angesehn hab mit netstat -n da stand dann ne iP: 84.xxx.xxx.xxx port 2000 Syn Gesendet hab dann mal port 2000 im inet gesucht und gefunden das das der standard bifrost port is frage is jetzt wie krieg ich den weg? adaware S&D hijackthis und antivir sind nicht fündig geworden und ich durchsuch schon die regsitry hab aber bisher nix gefunden wenn jemand die einträge kennt oder mir weiterhelfen kann wäre das nett :) Desktopfirewall hab ich eigentlich immer aus weiil ich hinter nem router sitzte schützt mich das gegen so einen trojaner? kommt der überhaupt durch den router durch :)?

01.08.06, 18:04	#2 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	RE: bifrost entfernen Vermutlich kann sowieso kein Programm auf den Trojaner zugreifen, da der Router dies sperrt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bifrost Trojaner eingefangen	Rayman	Virenschutz · Tools & Aggressive Software	6	26.05.09 20:56
Bifrost infiziert - help pls	Jolle775	(In)security allgemein	18	31.05.07 21:16
bifrost trojaner	zeck	Virenschutz · Tools & Aggressive Software	1	08.08.06 19:17

01.08.06, 18:07	#3 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	das beruhigt mich schonmal wei man s weg kriegt wer noch fein dann bin ich wieder glücklich wie ein glücksbärchen

01.08.06, 18:20	#4 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	Lass doch mal nen Virenscanner durchlaufen.

01.08.06, 18:21	#5 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	<<adaware S&D hijackthis und antivir sind nicht fündig geworden>> g ^^ andere vorschläge

01.08.06, 18:27	#6 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	Lösche doch einfach alle Dateien von Bifrost im abgesicherten Modus.

01.08.06, 18:29	#7 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	hätte ich eine ahnung welche datein infiziert sind? bitte lies was ich schreibe bevor du postest

01.08.06, 18:36	#8 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	Ich dachte, du hast ein bisschen mehr Grundvoraussetzung. Aber ich erkläre es dir gerne. Lad dir das Programm TCPView auf http://www.sysinternals.com runter. Dort kann man schauen, welches Programm auf den Port hört usw. Danach kannst du das Programm ganz leicht eliminieren.

01.08.06, 18:45	#9 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	hui da sag ich mal DANKE^^ der hund hat sich in firefox eingenisstet xD njo jetzt iser weg danke nochmal

01.08.06, 19:21	#10 (permalink)
m1ndless Guest Likes:	@b4ck: Ich glaube nicht, dass er weg ist. Der Bifrost-Trojaner ist ein ziemlich hinterlistiger Trojaner. Er hat versch. Startmethoden, Dateinamen und Schlüssel-Namen sind frei wählbar, die Größe der Datei kann zwischen 20kb und 80kb schwanken (je nach Plugins) und er injiziert sich in bestimmte bekannte Prozesse. Und dass er in Firefox steckt ist auch klar, da er den Browser verwendet um ins Internet zu kommen (von daher bringt auch eine Firewall nix). Am besten wir überprüfen mal die Standart-Registry-Einträge... Geh mal auf Start --> Ausführen --> gib "regedit" ein --> und nun gehst du erst in folgendes Verzeichnis HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run und postest mal was da so alles drinsteht. Das gleiche machst du dann noch mit folgendem Registry-Ordner: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Dann sehen wir uns mal an, ob er da dabei steht und wenn ja wissen wir auch wo die .exe von ihm liegt. @adrian90: Seit einiger Zeit bringen Router und Firewalls garnichts mehr bei Trojaner. Die neueren Trojaner haben alle die Funktion "Reverse Connection". Damit injizieren sie sich in einen laufenden Prozess (z.B. Browser) und verbinden sich dann zu dem Angreifer. Somit wird die Firewall und Router umgangen, da der komprometierte Prozess ja meistens schon freigegeben ist.

01.08.06, 19:31	#11 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run.: xpclean C:\WINDOWS\system32\xpclean.exe TkbellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboo Remote Control C:\Programme\CyberLink\PowerDVD\PDVDServ.exe Intel Wireless C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless ePowermanagment C:\Acer\ePM\ePM.exe boot EPM-DM c:\acer\epm\epm-dm.exe EQUApp C:\Programme\Intel\Wireless\Bin\EOUWiz.exe avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run den pfad gibts bei mir nicht tcp viewer zeigt den aber auch nicht mehr an also port 2000

01.08.06, 19:57	#12 (permalink)
m1ndless Guest Likes:	OK, der Trojaner liegt in C:\Windows\system32\ und heißt xpclean.exe!!! Im system32-Ordner befinden sich nur System-Dateien und xpclean.exe ist mit Sicherheit keine System-Datei. Die Dateien von dem Programm "XPClean" befindet sich auch nicht in diesem Ordner. Facto, muss es es der Trojaner sein. Nebenbei installiert sich Bifrost immer direkt ins Windows- oder ins system32-Verzeichnis... Wenn du neustarten würdest, wäre der Trojaner auch wieder aktiv. Du hast nur seine aktuelle Verbindung unterbrochen. Daher siehst du auch seinen TCP-Stream nicht mehr. Also, als erstes geh wieder in die Registry (Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run) und lösch dort den Schlüssel xpclean C:\WINDOWS\system32\xpclean.exe. Und danach lösch die Datei xpclean.exe unter C:\Windows\system32\. Wenn du die Datei nicht löschen kannst, dann geh in den abgesicherten Modus von Windows (F8 beim booten gedrückt halten) und mach es dort. Dann ist der Trojaner komplett von deinem System verschwunden.

01.08.06, 20:00	#13 (permalink)
b4ck Themenstarter Registriert seit: 13.02.06 Likes: 1	^^ oh xpclean is mir auch komisch vorgekommen njo danke für die hilfe der is jetzt weg naja da ich wieder was gelernt danke

01.08.06, 21:32	#14 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	@m1ndless Ich meinte damit, dass kein Hacker Verbindung von aussen mit dem Trojaner aufnehmen kann.

01.08.06, 21:49	#15 (permalink)
m1ndless Guest Likes:	@adrian90: Das muss er doch auch garnicht! Da das Programm die Verbindung zu dem Cracker (meistens machen Hacker sowas nicht ) aufbaut. Der Router und die Firewall bieten nur Schutz gegen Verbindungen von außen. Wenn ein bestimmter Prozess (z.B. dein Browser) schon freigegeben ist bei der Firewall (und das ist ja meistens der Fall), dann kann man einen anderen Prozess in diesen injizieren und somit ist die Firewall nutzlos. Und das NAT bringt da auch nichts, weil die Verbindung ja nicht von außen kommt, sondern den ganz normalen Weg geht wie jedes andere Paket auch. Erst über die vorgegebene Route zum Router und dann durch den offenen Port nach außen zum DNS des Angreifers und von dort aus wird er weiterverbunden zur IP des Angreifers. Wenn dieser sein Client-Programm laufen hat, bekommt er eine Benachrichtigung und kann loslegen...

[HaBo]

bifrost entfernen