Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: NIS 08: Backdoor.Graybird

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.04.2008, 16:57   #1
mediolo
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Hallo,
ich bin neu hier im Forum, deswegen entschuldigt mögliche Unklarheiten.

Also, mein Problem ist folgendes: Nachdem ich heute Norton Internet Security 2008 installiert hatte, ließ ich einen kompletten Systemcheck durchführen. Dabei entdeckte Norton einen "Backdoor.Graybird".

Es waren 16 Registrierungseinträge, 1 Datei, 3 Dienste und ein Browser-Cache betroffen.
"HKEY_LOCAL:MACHINE\Software\Microsoft\Windows\Current Version\Run->ravmond"
"HKEY_LOCAL:MACHINE\Software\Microsoft\Windows\Current Version\RunServices->ravmond"
"HKEY_LOCAL:MACHINE\Software\Microsoft\Windows\Current Version\Run->system"
"HKEY_LOCAL:MACHINE\Software\Microsoft\Windows\Current Version\RunServices->system"
und noch ein paar in HKEY_USERS\ mit sehr langen Zahlen hintendran. Welche Datei befallen war, wurde nicht von Norton gemeldet.

WARNUNGSDETAILS:
Komponente: Virenprüfprogramm
Version der Definitionen: 2008.04.22.055
ERASER-Version: 107.4.1.2
Name des Risikos: Backdoor.Graybird
Risikokategorie: Virus
Risikotyp: Dateibasiert
Risikostufe: Hoch
Risikozustand: vollständig entfernt

Meine Frage ist nun, ob "Backdoor.Graybird" wirklich komplett entfernt ist oder ob es nötig ist, weiter Schritte einzuleiten, um ihn komplett zu entfernen.

Betriebssystem: Windows XP Professional SP2

Alt 23.04.2008, 17:02   #2
mediolo
 
NIS 08: Backdoor.Graybird - Standard

HiJackThis: NIS 08: Backdoor.Graybird



und hier noch das HiJackThis-File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:32, on 23.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7394 bytes
__________________


Alt 23.04.2008, 17:46   #3
-SkY-
Gast
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Dein Log sieht clean aus, aber es ist trotzdem ein Backdoor, und das beste wäre ein Neuaufsetzen, da man jetzt nicht weiß ob irgendwelche Dateien manipuliert wurden. Das wäre auch sicherlich schneller als ein Versuch der Bereinigung.

Nur mal so aus Interesse: welche Datei wurde angemeckert?
__________________

Alt 23.04.2008, 19:50   #4
mediolo
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Danke für deine schnelle Antwort, ich würde nur gerne wissen, welche dateien möglicherweise manipuliert wurden oder bei welchen dateien eine große gefahr der manipulation besteht.

Und auf deine Frage kann ich dir leider keine Antwort geben. Norton sagt bloß, dass eine Datei betroffen ist/war. So weit ich mich informieren konnte, ist das kein Virus, sondern ein Trojaner. Auf der Internetseite von Norton wurde erklärt, wie man ihn entfernen kann, über die registry und so. Allerdings sind die dort beschriebenen registry-einträge bei mir gar nicht vorhanden. Heißt das, dass der trojaner entfernt wurde???

h**p://securityresponse.symantec.com/security_response/writeup.jsp?docid=2003-040217-2506-99&tabid=3

Alt 26.05.2008, 09:37   #5
NortonAssist
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Hallo mediolo

Ich bin Björn und arbeite für den externen Symantec Foren-Support.
Nein, du musst nichts weiter unternehmen, vorausgesetzt du hast diesen Virus von Norton entfernen lassen oder in Quarantäne gesetzt. Mehr Infos zu diesem Virus findest du auf Symantec Website: Backdoor.Graybird - Symantec.com



Gruß Björn


Alt 26.05.2008, 10:21   #6
-SilverDragon-
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Zitat:
Zitat von NortonAssist Beitrag anzeigen
Hallo mediolo

Ich bin Björn und arbeite für den externen Symantec Foren-Support.
Nein, du musst nichts weiter unternehmen, vorausgesetzt du hast diesen Virus von Norton entfernen lassen oder in Quarantäne gesetzt. Mehr Infos zu diesem Virus findest du auf Symantec Website: Backdoor.Graybird - Symantec.com



Gruß Björn
@Björn:
Also: Eine richtige Infektion bekommt man nicht alleine mit einem Virenprogramm weg! Gleich garnicht einen Backdoor mit Northon!

@Mediolo:
Du kannst mal blacklight suchen lassen, aber neu aufsetzen wäre danach schon ratsam.

Alt 18.06.2008, 16:19   #7
fozzy
 
NIS 08: Backdoor.Graybird - Standard

NIS 08: Backdoor.Graybird



Norton Anti Virus hat den gleichen Trojaner bei mir entdeckt. Habe ihn jetzt beseitigt (hoffe ich zumindest, das er weg ist).
Hier noch das Logfile von HijackThis, vielleicht kann mir jemand sagen, ob alles in Ordnung ist:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Antwort

Themen zu NIS 08: Backdoor.Graybird
backdoor.graybird, datei, dienste, entdeck, folge, forum, frage, installiert, internet, internet security, microsoft, neu, norton, norton internet security, problem, professional, security, software, sp2, systemcheck, version, virus, windows, windows xp, wirklich, zahlen



Ähnliche Themen: NIS 08: Backdoor.Graybird


  1. backdoor.graybird von Norton gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (13)
  2. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  3. Hilfe bei Backdoor Graybird
    Log-Analyse und Auswertung - 18.09.2009 (10)
  4. Spyware Doctor: Backdoor.GrayBird.K
    Antiviren-, Firewall- und andere Schutzprogramme - 18.06.2008 (44)
  5. Norton360 meldet Backdoor.Graybird!Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2008 (1)
  6. win32.backdoor.graybird
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (7)
  7. Backdoor Graybird gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.02.2008 (6)
  8. Virusscan und dann backdoor.graybird
    Log-Analyse und Auswertung - 03.02.2008 (2)
  9. Backdoor.GrayBird.K (BackDoor-ARR [McAfee]
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (1)
  10. Backdoor graybird.ej
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (1)
  11. graybird-a
    Plagegeister aller Art und deren Bekämpfung - 16.10.2006 (1)
  12. Backdoor.Graybird und Norton AntiVirus ???
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (4)
  13. BDS/GrayBird.eh.2
    Plagegeister aller Art und deren Bekämpfung - 04.12.2005 (1)
  14. backdoor.Graybird.P
    Plagegeister aller Art und deren Bekämpfung - 17.09.2005 (2)
  15. Backdoor Graybird
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (2)
  16. Graybird
    Log-Analyse und Auswertung - 10.07.2005 (2)
  17. BDS/Graybird.N.1
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (5)

Zum Thema NIS 08: Backdoor.Graybird - Hallo, ich bin neu hier im Forum, deswegen entschuldigt mögliche Unklarheiten. Also, mein Problem ist folgendes: Nachdem ich heute Norton Internet Security 2008 installiert hatte, ließ ich einen kompletten Systemcheck - NIS 08: Backdoor.Graybird...
Archiv
Du betrachtest: NIS 08: Backdoor.Graybird auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.