| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BDS/Graybird.N.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.07.2005, 09:46
| #1 |
 |  BDS/Graybird.N.1 Wenn ich meinen Pc anschalte erhalte ich immer folgende Meldung: H:\DOKUME~1\US3AD6~1.ARM\LOKALE~1\TEMP\MC23.TMP Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1 leider finde ich hierzu nichts im Internet deshalb möchte ich mich gerne hier schlau machen wer kann mir helfen das Prog dauerhaft zu entfernen? Bei jedem neustart gleich nach dem entfernen ist das Ding immer wieder da. Bitte helft mir!!!  Kann das ding denn auch auf meine Partition zugreifen? Bitte helft mir so schnell wie möglich. Grüße Ranger Geändert von Ranger (08.07.2005 um 15:36 Uhr) |
|
08.07.2005, 10:09
| #2 |
   | BDS/Graybird.N.1 Hi Ranger
__________________Windowstaste+R --> %temp% --> <enter> Inhalt löschen Papierkorb leeren erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden. Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
__________________ |
|
08.07.2005, 10:31
| #3 |
| | BDS/Graybird.N.1 Habe deine Anleitung genau befolgt bis auf diese datei und einege die ähnlich klingen konnte ich alles lösche.
__________________Der Name der Datei ist : Perflib_Perfdata_f10, und Perflib_Perfdata_7aO angeblich werden die dateien geade verewendet. erfragt mich außerdem, ob ich die schreibgeschütze datei z2A.tmp und ähliche wirlich löschen will dassoll ich machen? Hier mein HJT: Logfile of HijackThis v1.99.1 Scan saved at 11:24:36, on 08.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\csrss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\Programme\AVPersonal\AVWUPSRV.EXE H:\WINDOWS\system32\slserv.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\System32\wdfmgr.exe H:\WINDOWS\System32\Fast.exe H:\WINDOWS\System32\alg.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\Explorer.EXE H:\WINDOWS\System32\taskswitch.exe H:\WINDOWS\System32\fast.exe H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe H:\Programme\Java\jre1.5.0_02\bin\jusched.exe H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe H:\Programme\QuickTime\qttask.exe C:\Programme\D-Tools\daemon.exe H:\Programme\Winamp\winampa.exe H:\Programme\AVPersonal\AVGNT.EXE H:\Programme\ATI Technologies\ATI.ACE\cli.exe H:\WINDOWS\system32\ctfmon.exe H:\Programme\MSN Messenger\MsnMsgr.Exe H:\Programme\Steganos Security Suite 5\steganos5.exe H:\Programme\Steganos Security Suite 5\safe.exe H:\Programme\Steganos Security Suite 5\spm.exe C:\programme\valve\steam\steam.exe H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe H:\Programme\Skype\Phone\Skype.exe H:\Programme\Steganos AntiSpyware 7\aspy7.exe H:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\WinZip\WZQKPICK.EXE H:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Miranda IM\miranda32.exe H:\WINDOWS\system32\notepad.exe H:\Programme\Spybot - Search & Destroy\TeaTimer.exe H:\Programme\Mozilla Firefox\firefox.exe H:\Programme\AVPersonal\AVGUARD.EXE H:\Programme\AVPersonal\AVWIN.EXE C:\PROGRA~1\WINZIP\winzip32.exe H:\Dokumente und Einstellungen\U.S.Army\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/(editiert) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O4 - HKLM\..\Run: [BackgroundSwitcher] H:\WINDOWS\System32\bgswitch.exe O4 - HKLM\..\Run: [CoolSwitch] H:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] H:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [msnappau] "H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SiSUSBRG] H:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SSS5] "H:\Programme\Steganos Security Suite 5\steganos5.exe" /booting O4 - HKCU\..\Run: [SSS5SAFE] "H:\Programme\Steganos Security Suite 5\safe.exe" /booting O4 - HKCU\..\Run: [SSS5SPM] "H:\Programme\Steganos Security Suite 5\spm.exe" /booting O4 - HKCU\..\Run: [SIAPRO6_ITD] "H:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting O4 - HKCU\..\Run: [Yahoo! Pager] H:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ZeroSpyware Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe" -STARTUP O4 - HKCU\..\Run: [NetGuard Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe" -STARTUP O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [FolderShare] "C:\Programme\FolderShare\FolderShare.exe" /background O4 - HKCU\..\Run: [AntiSpyware7] "H:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/(editiert)/wuweb_site.cab?1111346407671 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.(editiert) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe (file missing) O23 - Service: SmartLinkService (SLService) - - H:\WINDOWS\SYSTEM32\slserv.exe |
|
08.07.2005, 11:21
| #4 |
| | BDS/Graybird.N.1 im Logfile ist nich viel schlechtes zu erkennen, um sicher zu gehen würde ich das System mit eScan checken. Also lade dir eScan (Link siehe unten) --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung folgende Einträge: O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll lösche die Datei von Hand: H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll scanne dann mit eScan und teile das Ergebnis mit eScan-Anleitung und Download |
|
08.07.2005, 15:36
| #5 |
| | BDS/Graybird.N.1 Danke für deine Hilfe, aber als ich beim letztem Mal mit e-scan was im abgesicherten Modus gemacht habe, habe ich fast 5 stunden gebraucht um den Rechner zum Starten zu bekommen, weil da irgendetwas im abescicherten modus passiert ist. Ich machs mal ganz kurz. Beim starten erscheint auf jeden Fall nicht mehr die Meldung das der Virus noch da ist, also gehe ich mal davon aus, das er weg ist. wenn ich die von dir beschribenen Dateien lösche möchte ich gerne mal wissen warum das nicht im normalen Modus geht, und was das eigentlich für Dateien sind. Ansonsten ersteinmal vielen Dank für alles. Grüße Ranger |
|
08.07.2005, 16:02
| #6 |
| | BDS/Graybird.N.1 wenn man infizierte Dateien oder anderen schrott von der Platte haben will, sollte man das im abgesicherten Modus geschehen bei deaktivierter Systemwiederherstellung. Wie der Name schon sagt, sind beim normalen Modus die Dateien noch auf der Platte. Zu deiner Datei lese bitte hier Damit die Meldung jetzt nicht mehr erscheint ist gut, aber darauf würde ich mich nicht verlassen ein eScan wäre sicherer 
__________________ --> BDS/Graybird.N.1 |
|
| Themen zu BDS/Graybird.N.1 |
| backdoorprogrammes, dauerhaft, entferne, entfernen, erhalte, folge, folgende, gefährliche, gefährlichen, helfen, helft, heulen, immer wieder, inter, interne, internet, lokale, meldung, neustart, nichts, partition, schlau, schnell, signatur, temp, zugreife, zugreifen |
Linear-Darstellung
