Backdoor Graybird, Nortons Reaktion Einstellungen

[christophs]

Hallo,
ich schalte den Compi an und erhalte die Meldung von NIS 2006, dass der Backdoor Graybird gefunden und die Datei gelöscht wurde.
Muss ich jetzt die registry manuell säubern oder macht Norton das?
Beim Neustart kam dieselbe Meldung von Norton.
Habe jetzt die temps gelöscht und starte gleich neu.
Findet Norton vielleicht eine Kopie ind der Quarantäne (der Pfad war allerdings ein teppfad)?
C:DOKUME-1/ADMINI-1/LOKALE-1/Temp/mc21.tmp
Muss ich die Quarantäne löschen?

Wer kennt sich aus?

Der Beitrag wurde von christophs bearbeitet: 03.01.2006, 15:12

[Heike]

guck dir mal die Beschreibung an.

http://securityresponse.symantec.com/avcen...r.graybird.html

Passwörter ändern nach dem Entfernen nicht vergessen

[christophs]

Danke, Heike!
Habe Sorge, dass ich was falschmachen könnte, wenn ich an der registry rumdoktore...
Ich dachte, Nortons AV macht auch die Registryeinträge rückgängig (macht das KAV? Wenn ja, kannich Norton deinstallieren und KAV drauftun und dieser schmeißt dann Graybird runter?). Und die removalanweisung ist nur für die, deren AV GRAYBIRD nicht erkannt hat.
a) Wenn ich die Systemwuiederherstellung ausschalte und Norton Go-Back, und anschließend neu starte - ist dann vielleicht alles weg, was an den Backdoor erinnerte?
b) Wenn ich die Systemwiederherstellung auf gestern Mittag stelle (Gestern Abend kam wohl Graybird auf den Compi), ist dann der Graybird weg? Bzw., wenn ich mit Norton GoBack aquf gestern Mittag gehe?

[Manu]

Hi Christoph,

- kannst Du bitte irgendwelche Log-Daten posten, die Norton erstellt hat.
- Passt diese Beschreibung und vor allem wurde wirklich eine der Dateien gefunden? http://securityresponse.symantec.com/avcen...r.graybird.html
- Hat Norton das Zeugs wegbekommen? Starte doch mal neu und lassen den gesamten Rechner scannen. Leere davor bitte den Cache.
- Wenn Du erzählst, dass er gestern auf den Rechner kam: Wie? Wo? Warum hat Norton nichts gesagt?
- Nach der ganzen Prozedur solltest Du *alle* Passwörter ändern.

Jetzt erstmal viel Spaß beim Abarbeiten der Liste. Ich bin mir sicher, dass wir das in den Griff bekommen.

[Voyager]

och leute !
das ist nur ein fehlalarm .

@maxos

folgendes , bei mir gab es heute auch die meldung beim PC-Start

QUOTE
Quelle: C:\WINDOWS\TEMP\mc21.tmp
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Graybird
Durchgeführte Aktion: Automatisch gelöscht

und das windows-design über tuneup-windows-styler funktioniert nichtmehr.
dies scheint seit langem mal wieder ein kleiner fehlalarm von NAV zu sein.
du löst das problem ganz einfach indem du in deine NAV-einstellungen gehst und unter AUTOPROTECT -> Auszuschliessende Elemente -> Hinzufügen den kompletten pfad C:\WINDOWS\TEMP\mc21.tmp mit der hand einträgst , genau dafür sind die settings vorgesehen.
danach funktioniert das windows-Style wieder. (beim nächsten PC-start)

die tmp-datei aber nur unter AUTOPROTECT ausschliessen , diese ist nach dem fertigen PC-Start nichtmehr existent und eventuelle viren sollen von der Manuellen Suche ja noch erfasst werden.

Quelle : http://www.rokop-security.de/index.php?sho...ndpost&p=125845

[christian4u2]

Vor allem nicht anfangen mit irgendwelchen deinstallationen!!! Das müßte auch so bereinigt werden können.

[christophs]

Danke sehr an euch!
Ich wäre auf bonds Vorschlag zurückgekommen, probierte es jedoch nach "Ashampo Winoptimizer" und "Norton System Works" (One button checkup) - das behob die Sache nicht - mit dem Leeren des Cache (unter den Internetoptionen - leert das die Tempsachen?). Das half!
Nach Neustart kam die Warnmeldung von Norton nicht erneut.

Nur noch eine Frage: Bei Viren- oder Trojanerfund, können AV-Programme auch die Regisryeinträge rückgängig machen?

Und nochmals: Danke für eure Tipps!