hi alle,
bin neu hier und hätte gleich eine große bitte an euch.
seit heute erscheint immer beim start meines computers eine meldung von AV:
bösartiges backdoorprogramm gefunden:BDS/Graybird.N.1
ich habe schon einige ältere einträge zu diesem problem angeschaut und war doch leicht überfordert. Überall wurde einem das programm HijackThis empfolen, wobei man ein log erstellen musste. leider versteh ich nicht einmal die hälfte, von dem was da steht und würde doch sehr um euere hilfe bitten!!
vielleicht könnte man mir genau erklären was ich den tun muss um diesen virus endlich los zu werden. und könnt mir vielleicht jemand sagen was dieses backdoorprogramm überhaupt macht? lohnt sich das aufspüren dieses viruses überhaupt oder sollte ich gleich den rechner formatieren??

wie ihr schon merkt bin ich dem wahnsinn nahe und brauche dringend euere HILFE!!!!

danke schon im voraus

Ein HJT-Logfile wird so erstellt:
http://www.trojaner-board.de/showthread.php?t=17493
Zur Beseitigung des Virusses lese hier:
http://www.trojaner-board.de/showthread.php?t=19995

danke für die links trozdem verstehe ich nicht ganz was ich als erste tun soll.
soll ich erst ein HJT log erstellen oder gleich versuchen den virus zu löschen?
außerdem kann ich kein eScan runterladen weil die seite wo ich es finden sollte nicht angezeigt wird.
bitte noch mals um hilfe und geduld mit mir!

Dann mache erst mal die Beseitigung entsprechd Link von Rene-Gad.
Hinterher den HJT-Log.

also ich habe mal ein HJT log erstellt ohne jedoch irgendetwas darin glöscht oder gefixt zu haben. ich wäre über weiterre anleitungen von euch sehr erfreut.
danke nochmals.

mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:51:42, on 20.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {442159A4-C52D-4C3E-A3DC-9C0255DBA191} - C:\Dokumente und Einstellungen\***\Eigene Dateien\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {442159A4-C52D-4C3E-A3DC-9C0255DBA191} - C:\Dokumente und Einstellungen\***\Eigene Dateien\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6062F31-6957-4DD1-BE56-8422965C629E}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***~1\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich kann so eigentlich nichts erkennen.
Hast Du die Anleitung von Rene-Gad befolgt?
Wenn noch nicht, führe sie aus.

Dann mache einen escan genau nach Anleitung:
http://www.clearprog.de/programme/cl.../index_new.php

sorry hab alles versucht aber der blöde virus ist immer noch drauf.....
ich geb mich geschlagen und formatiere den ganzen rechner neue

kannst du mir vielleicht tipps geben wie ich mich in zukunft davor schüzen kann ??
ich benutze immer Antivir Classic und Zone Alarm und trotzed läuft was schief....;(

aber danke trotzdem für deine hilfe!

Mal noch nicht, arbeite mal durch, was Gigamail hier schrieb:
http://www.trojaner-board.de/showthread.php?t=19995

Für Neuaufsetzen:
http://www.trojaner-board.de/showthread.php?t=12154