Hallo. Habe hier vor einiger Zeit beim posten eines Logs gesagt bekommen ich hätte einen BackdoorServer drauf und habe nun neulich den Computer neuaufgesetzt. Kann mal jemand drüberschauen ob soweit alles wieder gut ist?
Ganz unte steht einmal (file missing) da hab ich glaub ich SUPERAntiSpyware nach dem installieren in ein anderes Verzeichnis verschoben-macht das eigentlich was, dass das nicht mehr mitgestartet wird? Hat doch überhaupt keine Guard-Funktion oder doch?

Achja und kann man sowas wie Backdoors und Manipulationen eigentlich immer in der Highjackthis logfile erkennen

Code: Alles auswählenAufklappen

ATTFilter

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:26:26, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NEU\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\NEU\SASWINLO.dll (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4305 bytes
         

Hallo,

zu deiner letzteren Frage. Nein, viele Malware sieht man nicht mehr in HJT-Logs. Die verstecken sich unglaublich gut.
Ich würde dir anraten mal die Liste durchzugehen und um zu schauen, ob Du wirklich sauber bist. Aber generell gilt: Bei Backdoors lieber neu aufsetzen, da nach einem Backdoorangriff dein System Schwachstellen hat und nicht mehr vertraulich ist. (Auch bei einer kompletten Bereinigung).

Hier die Liste: http://www.trojaner-board.de/69886-a...-beachten.html
Bitte ab Punkt 2 durchgehen und alle Logs hier rein

also cc cleaner, super antispyware, malewarebytez, anitivir und spybot finden nichts.

hier die software liste von hjt

Code: Alles auswählenAufklappen

ATTFilter

 Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Agere Systems AC'97 Modem
Aspire 1350
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Eraser
Eraser
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Indeo® Software
Java DB 10.4.1.3
Java(TM) 6 Update 13
Java(TM) SE Development Kit 6 Update 13
JavaFX(TM) 1.1 SDK
KM400/KN400 Display Driver and Utilities
Launch Manager
Malwarebytes' Anti-Malware
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.8)
NTI CD & DVD-Maker 6.5 Gold
Opera 9.64
PowerDVD
Privoxy 3.0.6
Realtek AC'97 Audio
S3 S3Display
S3 S3Gamma2
S3 S3Info2
S3 S3Overlay
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB963027)
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition
Synaptics Pointing Device Driver
Tor 0.2.0.34
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Vidalia 0.1.10
Windows Internet Explorer 7
Windows XP Service Pack 3
WinRAR
         

wenn das alles ok ist...kann ich dann davon ausgehen sauber zu sein?

Deinstalliere Spybot S&D das Teil hilft dir eh nicht viel weiter, da es veraltet ist, lass Avira und Malwarebytes in einer gesunden Kombination. Deinstalliere auch Superantispyware.
Deinstalliere zudem: Adobe Acrobat 5.0 (veraltet)

Fixe folgendes:

Zitat:

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\NEU\SASWINLO.dll (file missing)

Und noch dieses hier:

Zitat:

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Stelle Avira auf folgende Einstellung (Upgraden auf Version 9 bitte nicht vergessen, gibt es bei avira.com): http://www.trojaner-board.de/54192-a...tellungen.html

ok...habe die Sachen gefixt. Adobe 5.0 gegen 9.1 ausgetauscht. Avira 9 runtergeladen. Mit agressiven Einstellungen kein Fund nur 2 Warnungen die nicht weiter erläutert waren.

Okay, dann bist du sauber

PS: Warnungen sind nicht schlimm.

ach ja mir fällt noch ein...beim Neuaufsetzen kam nach Einlegen der SystemCD als er dann fertig mit allem war -100% Statusanzeige - eine Fehlermeldung (finde den Zettel gerade nicht) irgendwas mit invalid drive z: oder so...musste dann abbrechen und beim neustart hat er dann normal mit der Windowsinstallation weitergemacht..
Habe jetzt außerdem eine Partition E: mit 8MB auf der so Dateien wie attrib, bootlog, checkb, checkhdd, regedit, setmouse, smartdrv, xcopy.
Wieso hat er das denn gemacht?

Starte mal den PC neu bitte. Dann sag mir ob diese Daten immer noch zu sehen sind.

meisnt du die Dateien von E:/ ? Die sind noch da.
Das Laufwerk heisst Acer_Service e:/

Hast du einen Neustart gemacht? Wenn nein, dann bitte Reboot.

Hab ich gerade eben gemacht und seit dem Neuaufsetzen insgesamt schon 20-30 mal

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Code: Alles auswählenAufklappen

ATTFilter

 Search Navipromo version 3.7.6 began on 18.04.2009 at 16:30:17,21

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Mobile AMD Athlon(tm) XP 2400+ )
BIOS : PhoenixBIOS 4.0 Release 6.0     
USER : XXX ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - FAT32 - Total:18 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:9 Go)
E:\ (Local Disk) - FAT - Total:0 Go (Free:0 Go)
F:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Admini\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\xxx\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\xxx\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\xxx\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\NORMAL\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\xxx\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\xxx\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 18.04.2009 at 16:31:31,09 ***
         

Das ist die Widerherstellungspartition, genaueres steht im Handbuch zu Deinem rechner. Schau mal dort rein.

Besten Dank erstmal
...weil vorher hatte ich nur c: und d: ..eigentlich wollte ich das auch verändern beim Neuaufsetzen aber hab das wohl irgendwie übersprungen