hallo,

ich hab seit ein paar tagen ein problem, jedes mal nach dem systemstart zeigt antivir folgende meldung an:
C:\DOKUME~1\XP\LOKALE~1\TEMP\MC22.TMP Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Graybird.N.1
nachdem ich die meldung erhielt, hab ich die datei auch gelöscht, doch bei jedem systemstart ist sie wieder da. was kann ich tun.
ich hoffe jemand kann mir helfen.

Hallo,

das bedeutet, dass irgendwo im System noch der Auslöser liegt.
Hast du mal einen vollen Systemscan gemacht?

GRuß Mike

ja hab schon im gesicherten modus antivir, spybot und a² durchlaufen lassen, aber nix gefunden.

Hallo,

okay, ist dein Benutzername an dem PC "XP" ??

GRuß Mike

jepp

Welche Anwendungen starten alle? Unter Start => Ausführen => msconfig siehst du das (Reiter Systemstart)

GRuß Mike

hi

ich würd unter msconfig bei allen prozessen das häkchen wegmachen die nur etwas wie azteo.exe usw haben. meistens sind es auch prozesse ohne pfadangabe...müssten alles unerwünschte programme

mfg

Hallo,

oder poste mal die Liste was dort alles steht, dann kann ich noch besser helfen.

GRuß Mike

hallo....
habe das selbe problem mit graybird und überhaupt keine ahnung, wo der auslöser im systemstart sitzt...
deshalb führe ich mal alle elemente aus dem system auf, mit denen ich gar nichts anfangen kann - hoffe, mir kann jemand helfen?

rundll32 cmicnfg rundll32 cmicnfg.cpl, cmictrlwnd

agrsmmsg agrsmmsg.exe

nvcpl rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup

nwiz nwiz.exe/install

dit dit.exe

sointgr c:\offfice51sointgr.exe

qttask c:\programme\quicktime\qttask.exe" -atboottime


oder bin ich auf dem völlig falschen weg, den auslöser zu finden?
danke im voraus
grüße michaela

habe mir jetzt mal highjackthis runtergeladen und folgendes logfile abgespeichert:
wer kann mir helfen? wo sitzt bds/graybird? was kann ich machen?

Logfile of HijackThis v1.99.1
Scan saved at 14:17:48, on 19.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\Office51\SOINTGR.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Synchredible\Synchredible.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Opera\opera.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\Office51\SOINTGR.EXE
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: StarOffice 5.1.lnk = C:\Office51\soffice.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Synchredible.lnk = C:\Programme\Synchredible\Synchredible.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102259683185
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

Ich vermute dass dies hier schon der Übeltäter ist:

dit dit.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Denn das sagt mir nichts

GRuß Mike

hallo mike,

vielen dank für deine antwort.
aber, jetzt muß ich nochmal nachfragen, als evtl. übeltäter hast du mir das angegeben:

dit dit.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

gehören die beiden zusammen? oder muß ich beides einzeln entfernen?
bei x10nets.exe gibt mir der computer an, dass ein x10 modul ist.
außerdem findet der rechner noch folgende datei: x10nets.exe-199f9ade.pf.
keine ahnung, was das alles genau bedeutet.

bei dit.exe sagt er: Customized Icon and Label
das gehört doch zum system, oder?

sorry, ich hab' da überhaupt keine ahnung - was soll ich tun.

vielen dank schon mal und viele grüße
michaela

Woher hast du diese Infos?

Hier Nummer 1) http://www.liutilities.com/products/wintaskspro/processlibrary/x10nets/
Hier Nummer 2) http://www.liutilities.com/products/wintaskspro/processlibrary/dit/

Hab mich da vertan, sorry.
Versuchs mal mit dem Bitdefender.de online Virenscanner

GRuß Mike

hallo mike...

die infos habe ich ganz einfach über "rechte maustaste > eigenschaften" erhalten.

jetzt habe ich mal den bitdefender (freeware-version) drüber laufen lassen...und er hat nix gefunden!
kein programm findet irgend etwas...nur AntiVir bringt die meldung bei jedem hochfahren...kann es sein, dass sich AntiVir irrt?

viele grüße
michaela

hallo mike...

ich hab' jetzt nochmal verschiedene programme von sophos laufen lassen...und auf einmal hatte ich nach einem neustart keine meldung mehr...bisher scheint das problem behoben zu sein - keine ahnung, was das ausgelöst hat.
jedenfalls danke ich dir für deine mühe.

viele grüße
michaela

Kannst du mir genaue Programme nennen?

GRuß Mike