Backdoor "Graybird.N.1" - ich weiß nicht weiter!

Dieses Thema im Forum "Sicherheit" wurde erstellt von Nata, 17. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
    Ich habe ein kleines Problem mit dem Backdoor "Graybird.N.1"

    Antivir-Guard meldet jedes mal nach dem System-start (win2000)
    und nach dem ersten starten von 0190-Warner, dass sich im TEMP-Ordner
    die Signatur von "Graybird.N.1" befindet ( C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP). Nach dem löschen habe ich bis zum nächsten systemstart Ruhe..., dann fängt das ganze wieder von vorne an.
    Dummerweiße kann ich nach einen gesamten System-Scan keine Infeftion feststellen und auch sonst scheint im System nichts merkwürdig zu sein...!?!?
    Kann das ganze "nur" ein Fehlalarm sein? Die Heuristik habe ich testweiße abgeschaltet - die Warnung kommt trotzdem.
    Ich habe mich im Netz über "Graybird.N" ein bißchen schlau gemacht, allderdings wusste ich mit den Informationen nicht viel anzufangen.
    Zusätzlich habe ich "hijackthis" und "SpyBot" eingesetzt und nicht wirklich was schwer verdächtiges gefunden... obwohl's da schon einige Warnungen gab..., hmmm

    Hier mal die Prozesse die bei mir laufen....
    komisch, "svchost.exe" wird 2mal ausgeführt - ist das schon normal?

    smss.exe
    csrss.exe
    winlogon.exe
    services.exe
    svchost.exe
    SPOOLSV.EXE
    w0svc.exe
    AVGUARD.EXE
    svchost.exe
    nvsvc32.exe
    stisvc.exe
    winmgmt.exe
    lsass.exe
    taskmgr.exe
    explorer.exe
    AVGNT.EXE
    notepad.exe
    Warn0190.exe
    wordpad.exe
    procexp.exe

    Ich bitte um eine höfliche Antwort
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstelle mal bitte ein Hijackthis Logfile und lass es auf www.hijackthis.de (dort gibts auch das Programm) auswerten, klicke dann auf Auswertung speichern(ganz unten) und poste dann den Link dazu hier her. Du kannst auch schonmal die:
    C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP
    hier auswerten lassen und poste dann das Ergebnis. Verdacht: Fehlalarm von Antivir.

    Höflich genug? :)


    Grüße Jasager


    EDIT
    Ja, das mit der svchost ist normal
     
  3. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    SP3? Wann hast du denn das letzte mal die Windows-Update Seite besucht?

    Die drei "bösen" Einträge solltest du fixen, und dann schnellstens mal dein System auf den aktuellen Stand bringen.
     
  5. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
    Warum updatest du dein System nicht?


    edit: der Doctor war schneller...
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    beende mal folgenden Prozess:
    C:\WINNT\System32\CMMON32.EXE
    und prüfe die Datei ebenfalls hier (was hat das prüfen der anderen Datei ergeben?)
    Bevor ich es vergesse, dein System ist nicht auf dem aktuellen Stand, für Windows2000 gibt es schon ziemlich lange das SP4, dieses solltest du dir besorgen. Ein nicht aktuelles System kann auch nicht durch einen Virenscanner oder eine Firewall sicher gemacht werden.


    Edit:
    Oh gott bin ich langsam :D

    Grüße Jasager
     
  7. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
    Hmm, habe nur 56k modem, da lade ich nix großes runter, mal schauen ob sich ein Freund mit ADSL findet...
    ... aber gehen beim aufspielen eines Servicepack's nicht alle meine
    System-hacks verloren (registry-hacks?) oder so?
    Praktisch wäre schon das ganze als CD-Image runterzuladen ;)

    Jottis Malwarescan 2.99-TRANSITION_TO_3.00

    Status:
    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

    Datei: MC22.TMP.VIR

    AntiVir: SPR/Madtol.C gefunden
    Kaspersky Anti-Virus: not-a-virus:Tool.Win32.Madtol.c gefunden
    alle anderen haben nichts gefunden
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also, Fehlalarm von Antivir. Die andere Datei, die du prüfen solltest ist wohl eine Systemdatei. Also noch die drei Einträge bei Hijackthis fixen(einfach Haken davor und auf "fix checked" klicken) und schauen wie du dein System auf den neusten Stand bringst, sonst kannst du deine "Systemeinstellungen" vergessen weil du wegen eines echten Backdoors dein System neu aufsetzen kannst.


    Grüße Jasager
     
  9. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
    Hmmm, mit der der anderen Datei meintest du "C:\WINNT\System32\CMMON32.EXE"?
    Hab ich nun auch geprüft, - sauber.

    Bleibt nur die Frage, wie schalt ich den Fehlalarm ab?
    Hmm solch ein Problem hatte ich bisher noch nie...


    Hoffentlich geht mein System nach dem update immer noch so schnell....Es werden doch nicht alle "unötigen" Dienste wieder aktiviert, die ich in mühevoller kleinstarbeit ausgeschaltet habe?
     
  10. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
    Ok nochmal, das Problem mit der temporären Datei habe ich seit dem 16.07.2005,
    Da hatte ich die Firewall kurz (ca.15min) abgeschaltet und plötzlich ist "svchost.exe" oder "lsass.exe" abgestürtzt :/

    Soo, hier die aufgezeichneten Warnungen:

    AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21A.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

    AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC210.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

    AntiVir erkannte in der Datei C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\MC210.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

    AntiVir erkannte in der Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC21.TMP verdächtigen Code mit der Bezeichnung 'BDS/Graybird.N.1'!

    C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\MC2E.TMP
    Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1


    Hmm, bin wohl nicht der einzige mit diesem Problem. Weiter unten im hier im Forum, habe ich die gleichen Symptome endteckt.
    Und über google fand ich auch was, was mit meinem Problem übereinstimmen dürfte... nur keine Lösung!
     
  11. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
    Hast du Antivir mal upgedatet und einen neuen Scan gemacht?
     
  12. Nata

    Nata Guest

    Registriert seit:
    11. April 2005
    Beiträge:
    106
    Ja, die antivir.vdf ist von gestern Nachmittag und der restliche Teile dürfte nun so an die 2-3Wochen alt sein.
     
  13. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Hi!

    Ich hab das gleiche Problem, seit heute Zeigt Antivir mir die Meldungen an, die es auch NAta angezeigt hat.
     
  14. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Hier ist meine Log
    Logfile of HijackThis v1.99.0 (gewesen) :D -Ace-
     
  15. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Sbybot und aktueller NAtivir Scan waren negativ.
    Xsoft hat
    Evrad; TWaintec; Northcode/IBIS und Vendor/agent.fl gefunden. Jedoch kein Graybird!?
     
  16. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
    Die automatische Auswertung hat folgendes ergeben:

    Aktuelle Version von HJT benutzen! http://www.hijackthis.de/downloads/hijackthis_199.zip
    ____________________________________

    O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)

    Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.

    Unnötiger (unwirksamer) Eintrag, der entfernt werden kann.
    ____________________________________

    O17 - HKLM\System\CCS\Services\Tcpip\..\{33AB755A-AFE1-4897-8772-792F203964BD}: NameServer = 128.176.0.12 128.176.0.13

    Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge)

    Kennen Sie die IP oder die Domäne '128.176.0.12 128.176.0.13' nicht, fixen.
    ____________________________________

    Die IP stammt von der Uni Münster.
     
  17. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Danke: (Ich versteh bloß nicht alles)
    Hier ist ne Logfile mit dem neuen HJT

    (gewesen) :D -Ace-

    HAb mein Laptop noch mit dem PC verbunden via Netzerk. Der hat ebenfalls die Probleme.
     
  18. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Irgendwas beunruhigendes zu sehn. Ich erkenne ja noch weniger bei den ganzen Zahlen und Buchstaben als aufm Ultraschallbild ;)
    Was ist eigentlich Fixen??
     
  19. Winnie The Pooh

    Winnie The Pooh Viertel Gigabyte

    Registriert seit:
    12. September 2004
    Beiträge:
    3.247
  20. mash4077

    mash4077 Byte

    Registriert seit:
    19. Juli 2005
    Beiträge:
    8
    Warum darf die hier nicht gepostet werden?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen