Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BDS/Graybird.N.1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.07.2005, 09:46   #1
Ranger
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



Wenn ich meinen Pc anschalte erhalte ich immer folgende Meldung: H:\DOKUME~1\US3AD6~1.ARM\LOKALE~1\TEMP\MC23.TMP

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1

leider finde ich hierzu nichts im Internet deshalb möchte ich mich gerne hier schlau machen wer kann mir helfen das Prog dauerhaft zu entfernen?
Bei jedem neustart gleich nach dem entfernen ist das Ding immer wieder da.
Bitte helft mir!!!

Kann das ding denn auch auf meine Partition zugreifen?


Bitte helft mir so schnell wie möglich.


Grüße

Ranger

Geändert von Ranger (08.07.2005 um 15:36 Uhr)

Alt 08.07.2005, 10:09   #2
Gigamail
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



Hi Ranger

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Papierkorb leeren

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
__________________

__________________

Alt 08.07.2005, 10:31   #3
Ranger
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



Habe deine Anleitung genau befolgt bis auf diese datei und einege die ähnlich klingen konnte ich alles lösche.
Der Name der Datei ist : Perflib_Perfdata_f10, und Perflib_Perfdata_7aO angeblich werden die dateien geade verewendet. erfragt mich außerdem, ob ich die schreibgeschütze datei z2A.tmp und ähliche wirlich löschen will dassoll ich machen?


Hier mein HJT:
Logfile of HijackThis v1.99.1
Scan saved at 11:24:36, on 08.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\WINDOWS\System32\Fast.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\taskswitch.exe
H:\WINDOWS\System32\fast.exe
H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
H:\Programme\Winamp\winampa.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\MSN Messenger\MsnMsgr.Exe
H:\Programme\Steganos Security Suite 5\steganos5.exe
H:\Programme\Steganos Security Suite 5\safe.exe
H:\Programme\Steganos Security Suite 5\spm.exe
C:\programme\valve\steam\steam.exe
H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe
H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe
H:\Programme\Skype\Phone\Skype.exe
H:\Programme\Steganos AntiSpyware 7\aspy7.exe
H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WinZip\WZQKPICK.EXE
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Miranda IM\miranda32.exe
H:\WINDOWS\system32\notepad.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\U.S.Army\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/(editiert)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] H:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] H:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] H:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [msnappau] "H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] H:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SSS5] "H:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "H:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "H:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6_ITD] "H:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting
O4 - HKCU\..\Run: [Yahoo! Pager] H:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ZeroSpyware Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\Run: [NetGuard Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FolderShare] "C:\Programme\FolderShare\FolderShare.exe" /background
O4 - HKCU\..\Run: [AntiSpyware7] "H:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/(editiert)/wuweb_site.cab?1111346407671
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.(editiert)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - H:\WINDOWS\SYSTEM32\slserv.exe
__________________

Alt 08.07.2005, 11:21   #4
Gigamail
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



im Logfile ist nich viel schlechtes zu erkennen, um sicher zu gehen würde ich das System mit eScan checken. Also lade dir eScan (Link siehe unten)

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

lösche die Datei von Hand:

H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

scanne dann mit eScan und teile das Ergebnis mit
eScan-Anleitung und Download
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 08.07.2005, 15:36   #5
Ranger
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



Danke für deine Hilfe, aber als ich beim letztem Mal mit e-scan was im abgesicherten Modus gemacht habe, habe ich fast 5 stunden gebraucht um den Rechner zum Starten zu bekommen, weil da irgendetwas im abescicherten modus passiert ist.
Ich machs mal ganz kurz.
Beim starten erscheint auf jeden Fall nicht mehr die Meldung das der Virus noch da ist, also gehe ich mal davon aus, das er weg ist.
wenn ich die von dir beschribenen Dateien lösche möchte ich gerne mal wissen warum das nicht im normalen Modus geht, und was das eigentlich für Dateien sind.

Ansonsten ersteinmal vielen Dank für alles.

Grüße

Ranger


Alt 08.07.2005, 16:02   #6
Gigamail
 
BDS/Graybird.N.1 - Standard

BDS/Graybird.N.1



wenn man infizierte Dateien oder anderen schrott von der Platte haben will, sollte man das im abgesicherten Modus geschehen bei deaktivierter Systemwiederherstellung. Wie der Name schon sagt, sind beim normalen Modus die Dateien noch auf der Platte.
Zu deiner Datei lese bitte hier
Damit die Meldung jetzt nicht mehr erscheint ist gut, aber darauf würde ich mich nicht verlassen ein eScan wäre sicherer
__________________
--> BDS/Graybird.N.1

Antwort

Themen zu BDS/Graybird.N.1
backdoorprogrammes, dauerhaft, entferne, entfernen, erhalte, folge, folgende, gefährliche, gefährlichen, helfen, helft, heulen, immer wieder, inter, interne, internet, lokale, meldung, neustart, nichts, partition, schlau, schnell, signatur, temp, zugreife, zugreifen



Ähnliche Themen: BDS/Graybird.N.1


  1. backdoor.graybird von Norton gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (13)
  2. Viruse= HTML+Java+BDS/Graybird.BAJ
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (15)
  3. Hilfe bei Backdoor Graybird
    Log-Analyse und Auswertung - 18.09.2009 (10)
  4. NIS 08: Backdoor.Graybird
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (6)
  5. win32.backdoor.graybird
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (7)
  6. Backdoor Graybird gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.02.2008 (6)
  7. Backdoor graybird.ej
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (1)
  8. graybird-a
    Plagegeister aller Art und deren Bekämpfung - 16.10.2006 (1)
  9. BDS/GrayBird.eh.2
    Plagegeister aller Art und deren Bekämpfung - 04.12.2005 (1)
  10. backdoor.Graybird.P
    Plagegeister aller Art und deren Bekämpfung - 17.09.2005 (2)
  11. graybird No1 und/ oder hijacking?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (1)
  12. Backdoor Graybird
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (2)
  13. HILFE!!!! - BDS/Graybird.N
    Log-Analyse und Auswertung - 23.07.2005 (2)
  14. Ich geh am Stock mit Graybird No.1 Hilfe!!!
    Log-Analyse und Auswertung - 22.07.2005 (3)
  15. HILFE backdoorprogramm BDS/Graybird.N.1
    Plagegeister aller Art und deren Bekämpfung - 20.07.2005 (7)
  16. Graybird.N.1-Wer kann helfen???
    Plagegeister aller Art und deren Bekämpfung - 10.07.2005 (5)
  17. Graybird
    Log-Analyse und Auswertung - 10.07.2005 (2)

Zum Thema BDS/Graybird.N.1 - Wenn ich meinen Pc anschalte erhalte ich immer folgende Meldung: H:\DOKUME~1\US3AD6~1.ARM\LOKALE~1\TEMP\MC23.TMP Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1 leider finde ich hierzu nichts im Internet deshalb möchte ich mich gerne - BDS/Graybird.N.1...
Archiv
Du betrachtest: BDS/Graybird.N.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.