Backdoor "Graybird.N.1" - ich weiß nicht weiter!

Ich habe ein kleines Problem mit dem Backdoor "Graybird.N.1"

Antivir-Guard meldet jedes mal nach dem System-start (win2000)
und nach dem ersten starten von 0190-Warner, dass sich im TEMP-Ordner
die Signatur von "Graybird.N.1" befindet ( C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP). Nach dem löschen habe ich bis zum nächsten systemstart Ruhe..., dann fängt das ganze wieder von vorne an.
Dummerweiße kann ich nach einen gesamten System-Scan keine Infeftion feststellen und auch sonst scheint im System nichts merkwürdig zu sein...!?!?
Kann das ganze "nur" ein Fehlalarm sein? Die Heuristik habe ich testweiße abgeschaltet - die Warnung kommt trotzdem.
Ich habe mich im Netz über "Graybird.N" ein bißchen schlau gemacht, allderdings wusste ich mit den Informationen nicht viel anzufangen.
Zusätzlich habe ich "hijackthis" und "SpyBot" eingesetzt und nicht wirklich was schwer verdächtiges gefunden... obwohl's da schon einige Warnungen gab..., hmmm

Hier mal die Prozesse die bei mir laufen....
komisch, "svchost.exe" wird 2mal ausgeführt - ist das schon normal?

smss.exe
csrss.exe
winlogon.exe
services.exe
svchost.exe
SPOOLSV.EXE
w0svc.exe
AVGUARD.EXE
svchost.exe
nvsvc32.exe
stisvc.exe
winmgmt.exe
lsass.exe
taskmgr.exe
explorer.exe
AVGNT.EXE
notepad.exe
Warn0190.exe
wordpad.exe
procexp.exe

Ich bitte um eine höfliche Antwort

 

Hallo,
erstelle mal bitte ein Hijackthis Logfile und lass es auf www.hijackthis.de (dort gibts auch das Programm) auswerten, klicke dann auf Auswertung speichern(ganz unten) und poste dann den Link dazu hier her. Du kannst auch schonmal die:
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP
hier auswerten lassen und poste dann das Ergebnis. Verdacht: Fehlalarm von Antivir.

Höflich genug?


Grüße Jasager


EDIT
Ja, das mit der svchost ist normal

 

Hey, Danke!

Ja war höflich genug:

hier der link

http://www.hijackthis.de/logfiles/653367fd7cd3456a5360fd49b1c70794.html

 

SP3? Wann hast du denn das letzte mal die Windows-Update Seite besucht?

Die drei "bösen" Einträge solltest du fixen, und dann schnellstens mal dein System auf den aktuellen Stand bringen.

 

Warum updatest du dein System nicht?


edit: der Doctor war schneller...

 

Hallo,
beende mal folgenden Prozess:
C:\WINNT\System32\CMMON32.EXE
und prüfe die Datei ebenfalls hier (was hat das prüfen der anderen Datei ergeben?)
Bevor ich es vergesse, dein System ist nicht auf dem aktuellen Stand, für Windows2000 gibt es schon ziemlich lange das SP4, dieses solltest du dir besorgen. Ein nicht aktuelles System kann auch nicht durch einen Virenscanner oder eine Firewall sicher gemacht werden.


Edit:
Oh gott bin ich langsam

Grüße Jasager

 

Hmm, habe nur 56k modem, da lade ich nix großes runter, mal schauen ob sich ein Freund mit ADSL findet...
... aber gehen beim aufspielen eines Servicepack's nicht alle meine
System-hacks verloren (registry-hacks?) oder so?
Praktisch wäre schon das ganze als CD-Image runterzuladen

Jottis Malwarescan 2.99-TRANSITION_TO_3.00

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Datei: MC22.TMP.VIR

AntiVir: SPR/Madtol.C gefunden
Kaspersky Anti-Virus: not-a-virus:Tool.Win32.Madtol.c gefunden
alle anderen haben nichts gefunden

 

Hallo,
also, Fehlalarm von Antivir. Die andere Datei, die du prüfen solltest ist wohl eine Systemdatei. Also noch die drei Einträge bei Hijackthis fixen(einfach Haken davor und auf "fix checked" klicken) und schauen wie du dein System auf den neusten Stand bringst, sonst kannst du deine "Systemeinstellungen" vergessen weil du wegen eines echten Backdoors dein System neu aufsetzen kannst.


Grüße Jasager

 

Hmmm, mit der der anderen Datei meintest du "C:\WINNT\System32\CMMON32.EXE"?
Hab ich nun auch geprüft, - sauber.

Bleibt nur die Frage, wie schalt ich den Fehlalarm ab?
Hmm solch ein Problem hatte ich bisher noch nie...


Hoffentlich geht mein System nach dem update immer noch so schnell....Es werden doch nicht alle "unötigen" Dienste wieder aktiviert, die ich in mühevoller kleinstarbeit ausgeschaltet habe?

 

Ok nochmal, das Problem mit der temporären Datei habe ich seit dem 16.07.2005,
Da hatte ich die Firewall kurz (ca.15min) abgeschaltet und plötzlich ist "svchost.exe" oder "lsass.exe" abgestürtzt :/

Soo, hier die aufgezeichneten Warnungen:

AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21A.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC210.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

AntiVir erkannte in der Datei C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\MC210.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC2E.TMP
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1


Hmm, bin wohl nicht der einzige mit diesem Problem. Weiter unten im hier im Forum, habe ich die gleichen Symptome endteckt.
Und über google fand ich auch was, was mit meinem Problem übereinstimmen dürfte... nur keine Lösung!

 

Hast du Antivir mal upgedatet und einen neuen Scan gemacht?

 

Ja, die antivir.vdf ist von gestern Nachmittag und der restliche Teile dürfte nun so an die 2-3Wochen alt sein.

 

Hi!

Ich hab das gleiche Problem, seit heute Zeigt Antivir mir die Meldungen an, die es auch NAta angezeigt hat.

 

Hier ist meine Log
Logfile of HijackThis v1.99.0 (gewesen) -Ace-

 

Sbybot und aktueller NAtivir Scan waren negativ.
Xsoft hat
Evrad; TWaintec; Northcode/IBIS und Vendor/agent.fl gefunden. Jedoch kein Graybird!?

 

Die automatische Auswertung hat folgendes ergeben:

Aktuelle Version von HJT benutzen! http://www.hijackthis.de/downloads/hijackthis_199.zip
____________________________________

O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)

Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.

Unnötiger (unwirksamer) Eintrag, der entfernt werden kann.
____________________________________

O17 - HKLM\System\CCS\Services\Tcpip\..\{33AB755A-AFE1-4897-8772-792F203964BD}: NameServer = 128.176.0.12 128.176.0.13

Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge)

Kennen Sie die IP oder die Domäne '128.176.0.12 128.176.0.13' nicht, fixen.
____________________________________

Die IP stammt von der Uni Münster.

 

Danke: (Ich versteh bloß nicht alles)
Hier ist ne Logfile mit dem neuen HJT

(gewesen) -Ace-

HAb mein Laptop noch mit dem PC verbunden via Netzerk. Der hat ebenfalls die Probleme.

 

Irgendwas beunruhigendes zu sehn. Ich erkenne ja noch weniger bei den ganzen Zahlen und Buchstaben als aufm Ultraschallbild
Was ist eigentlich Fixen??

 

1. Bitte keine HJT-Logs posten, nur verlinken
2. automatische Auswertung nutzen: http://www.hijackthis.de/index.php#anl
3. Fixen => Fehler beheben (Button bei HJT)

 

Warum darf die hier nicht gepostet werden?