bitfiles.no-ip.info, Wer/was ist das? Einstellungen

[nk51]

Hallo,

benutze (Win XP Pro+SP2, KAV 7.0.0.125 etc.) den Fritz!Box Fon 5050 (mit Kabel).
Seine Software verfügt über ein Programm namens Fritz!DSL Protect (früher WebProtect?), das die ausgehenden Internet-Verbindungsversuche kontrolliert und entsprechend der Einstellung jedes mal fragt, ob ich sie erlaube oder nicht.

Seit kurzem erscheint gleich nach dem Start folgende Frage:

Programm (Details):
Pfad: C:\WINDOWS\svchost.exe
Produkt: Projekt 1
Beschreibung/Typ: Anwendung
Version 2.02

Zieladresse: bitfiles.no-ip.info

Programm versucht eine Verbindung in das Internet herzustellen ---> Erlauben? Ja/Nein

Daß svchost.exe ein "dicker Hund" im System ist, weiß ich, aber wer oder was ist dieses ominöse bitfiles.no-ip.info ?

Was kann svchost.exe von bitfiles.no-ip.info wollen? (dem Namen nach "info", was denn sonst?)
Google kennt das nicht; also erlauben oder nicht?

Danke im Voraus + angenehmes Wochenende

[Heike]

bei bitfiles.no-ip.info wird sich der Server die IP von Deinem hoffentlich netten Remote-Admin holen.

zum schnellen fixen editiere einfach Deine hosts-datei und füge ein:

127.0.0.1 bitfiles.no-ip.info

jetzt läuft zwar der Server noch, aber ein remoter Zugriff auf Deinen PC ist erst mal verhindert.

[steveangel]

schau mal bitte auf deinem rechner nach ob du irgendein dateiname "bifrost" findest...

greetz
steve

Der Beitrag wurde von steveangel bearbeitet: 18.08.2007, 12:00

[Gast_Scrapie_*]

@steveangel:
Warum ausgerechnet Bifrost und warum sollte ein Bifrost-Server den Dateinamen "Bifrost" verwenden?

@nk51:
Abgesichert Booten und dort mit kostenlosen (portable) AV's (Übersicht im Board zu finden) inkl. neuer Sig's scannen.
HijackThis und IceSword sind auch zu empfehlen.
Bei Fund Mail an abuse@no-ip.com ...


Viel Glück,
Scrapie

[nk51]

Vielen Dank für Eure Antworten.

@ Heike

habe mit dem Such-Assistenten "hosts" gefunden, mit dem Editor aufgemacht und "127.0.0.1 bitfiles.no-ip.info" eingefügt - nur hat es nicht geholfen.
Nach einem Neustart wollte "svchost.exe" wieder zu "bitfiles.no-ip.info".
War es richtig, dass ich das (da unsicher/nichtswissend) jedes mal verboten habe?

@ steveangel

Nirgendwo ein "bifrost" zu finden; allerdings stand im Assistenten "Versteckte Elemente werden nicht durchsucht."
Ordneroptionen--->Ansicht--->"Geschützte Systemdateien ausblenden" deaktivieren und wiederholt suchen?

@ Scrapie

Warum "kostenlosen (portable) AV", ist KAV (frisch upgedatet) nicht gut genug? HijackThis habe ich, werde es versuchen.

Wichtiger als das oben Geschriebene:

Eben habe ich "hosts" wieder aufgemacht und festgestellt, dass
1. 127.0.0.1 bitfiles.no-ip.info verschwunden ist.
2. in hosts
"#BLOCK Genuine Advantage
127.0.0.1 mpa.one.microsoft.com"
steht.

Im Journal (=log?) von Fritz!DSL Protect steht, daß ich den Kontakt auch zu diesem "mpa.one.microsoft.com" verboten habe, da die Verbindungswunsch auch aus heiterem Himmel kam (vor der bitfiles.no-ip.info-Angelegenheit).
Da dieser von C:\WINDOWS\system32\wgatray.exe kontaktiert werden wollte, habe ich herausgegoogled, daß "wgatray.exe" Windows Genuine Advantage = Microsofts-Lizenzprüfung entspricht.
Also wollte MS nur wissen, ob mein XP original ist.

Insofern kann ich ruhigen Gewissens und in der Hoffnung, dass die "bitfiles.no-ip.info"-Frage nicht mehr erscheint wgatray.exe--->mpa.one.microsoft.com erlauben?

[Voyager]

Am besten du postest mal ein Hijackthislog

[nk51]

Hallo,

(ohne den Eindruck erwecken zu wollen, daß ich winselnd antanze und dann die Klappe aufreiße,) hat sich in der Zwischenzeit alles erledigt:

- Backup der C:\-Partition erstellt

- "#BLOCK Genuine Advantage
127.0.0.1 mpa.one.microsoft.com" in hosts gelöscht

- nach Löschen des Verbots im Fritz!DSL Protect die Verbindung zwischen C:\WINDOWS\system32\wgatray.exe und "mpa.one.microsoft.com" erlaubt

- aus dem MS Download-Center versuchshalber IE 7 (Validation nötig) heruntergeladen und installiert (nocheinmal Verifizierung); jetzt stehen unter hosts
66.98.148.65 auto.search.msn.com
66.98.148.65 auto.search.msn.es

-----> Keine Fragen mehr über bitfiles.no-ip.info und mpa.one.microsoft.com.

Nochmals vielen Dank für Eure Hilfe/Ratschläge + angenehmes Wochenende

Der Beitrag wurde von nk51 bearbeitet: 18.08.2007, 17:54

[Gast_Scrapie_*]

Hi

Na wenn KAV drauf ist und er einen Schädling nicht erkennt, dann stehen die Chancen auch nicht gut, dass er ihn unter F8 erkennt.
Und da sich zwei AV's selten gut auf einer Kiste vertragen, und man auch nicht unbedingt den Einen deinstallieren und einen Zweiten installieren will, Probezeiträume, Einschränkungen ohne Lizent, etc., blabla - liegt Freeware und Portable nahe - oder?

Scrapie

[Catweazle]

Na Ja, ein Hijackthislog hätte er Ja schon posten können....

Aber er hats ja hinbekommen, wie es aussieht...

Catweazle

[nk51]

1. Guten Morgen!

2. Hi Scrapie,
es stand schon im Beitrag #1 "benutze (Win XP Pro+SP2, KAV 7.0.0.125 etc.)", deswegen habe ich gestaunt, wieso Du "kostenlosen (portable) AV" vorgeschlagen hast - ansonsten Danke für "Abgesichert Booten und scannen, HijackThis und IceSword (weiß erst seit gestern was das letztere ist) ". Wäre in meiner Konfusion ehrlich nicht draufgekommen.

3. GrüßGott Catweazle,
falls immernoch vonnöten, kann ich schon ein Hijackthislog posten, selbstverständlich nachdem ich alle "verbotenen Früchte" gelöscht habe .

4. Daß es an der Microsofts-Lizenzprüfung -die ich unbewußt verboten hatte- gelegen hat, habe ich erst festgestellt, als ich Herrn "wgatray.exe" kennengelernt habe . Nur warum nach einem halben Jahr?
Mein Knick in der Logik: Starte, will nirgendwohin, nichts downloaden und da wollen irgendwelche Aliens in die Pampa: Verbieten!

Schönen Tag noch...

Confusion will be my epitaph! (King Crimson Anfang der 70er)

Der Beitrag wurde von nk51 bearbeitet: 19.08.2007, 08:05

[steveangel]

@steveangel:
Warum ausgerechnet Bifrost und warum sollte ein Bifrost-Server den Dateinamen "Bifrost" verwenden?

...kannn ich dir ganz genau sagen.....

weil die Bifrost Sever gegen viele AV Progs undetected sind (da hilft auch kein KAV),sondern wirklich zu Zeit Fortinet,Bitdefender,AVG und Webwasher....war einfach nur so ne Idee von mir und ausserdem erstellt der Bifrost Server in den versteckten Dateien en Datei mit dem Namen Bifrost....also frage ich mich warum solllte er nicht suchen (war ja nicht viel Arbeit,oder???)

Schönen Sonntag noch

Gruß
Steve

[Heike]

..... und ausserdem erstellt der Bifrost Server in den versteckten Dateien en Datei mit dem Namen Bifrost....

aber nur wenn jemand die default Einstellungen so läßt wie sie sind. sie wären jedoch ohne Probleme zu ändern

so sieht es default aus:

[Gast_Scrapie_*]

Danke, Heike

Hast mir Arbeit bei der Beantwortung abgenommen.
Ich würde mich auf alle Fälle bei der "Malware-Suche" nicht auf die Default-Einstellungen verlassen

Und zur angeblichen Erkennungsrate, wenn es stimmen sollte, kann ich nur sagen: Skandal!
Bifrost ist weit verbreitet, gut bekannt und wird immer öffentlich released. Er war zeitweise die meist gefundene "malware" auf Virustotal. Sollte so etwas nicht zügig Einzug in die Signaturen finden, dann weiß ich auch nicht.
Keine Lust es zu überprüfen, aber wenn steveangel es hier so schreibt, dass der Default-Server (wir erinnern uns, Ordnername "Bifrost") "gegen viele AV Progs undetected" ist, dann wird es wohl stimmen ....


Scrapie

[Smoky]

@ scrapie
hab dir mal die arbeit abgenommen ,da ich nicht glauben konnte das bifrost undedect sein soll .und hier das ergebniss :


mich wundert das KAV ihn wirklich net erkennt hab die bifrost 1.2 genommen und nur ein Standard (das schreibt man mit "d") server erstellt zum testen.


so nun hab ich selber mit kav 7 gescannt und siehe da es wird erkannt


kommisch das es bei jotti und virustotal nicht erkannt wird . bei virscan.org wird es dagegen erkannt




Der Beitrag wurde von Smoky bearbeitet: 20.08.2007, 10:32

[Gast_Scrapie_*]

Merci Smoky

Da stimmt wohl was mit der (Ansteuerung der) KAV-Engine bei denen nicht.
Lokal wird er hier auch erkannt, wenn ich mich recht erinnere...


Scrapie

[hypnosekroete]

KIS7 mosert sogar mit kastrierten Einstellungen des Web-AV (Quickscan, Heuristik: Oberflächlich) den Download (.rar) an...

[Domino]

Ich habe es schon oft erlebt, das jotti etc. etwas nicht erkennen was lokal erkannt wird.

Warum auch immer.





Domino

[Rios]

Na ja, der ist KAV schon eine Weile bekannt.

[steveangel]

jungs jungs...schön das ihr die scans macht...klar das der server alleine erkannt wird aber wenn man ihn mit bestimmten tools bindet,dann erkennt ihn wirklich weniger av progs....oh mann....es ist doch bestimmt nicht einer so blöd und verbreitet den standard server





so habe jetzt nur mal en binder drüber laufen gelassen und siehe da........ wird wohl nicht mehr so oft erkannt,was??? (das war jetzt 2 min Arbeit)

Der Beitrag wurde von steveangel bearbeitet: 20.08.2007, 18:05

[Voyager]

Du rühmst dich damit aber auch nur das du die Malware mit UPX umgepackt hast , was das jetzt mit der Bindung anderer Schadsoftware zu tun hat leuchtet mir nicht wirklich ein.