Hallo,

hoffe ihr könnt mir helfen und zwar hab ich einen Backdoor Trojaner entdeckt habe dei progis nacheinader durchlaufen lassen so wie beschrieben dann hab ich format c gemacht und das System neu aufgesetzt.
Nach der Installation ohne I-net Verbindung erstmal die Sicherheitsprogramme wie Firewall Antivir usw. Installiert dann erst mit dem Netz verbunden und Updates gemacht.
Jetzt der hammer war soweit fertig lasse Malware durchlaufen und hab den Backdoor wieder auf dem System das ganze spielchen hab ich jetzt 3x gemacht inkl. System neu aufspielen aber irgendwie kommt der Backdoor immer wieder was kann ich jetzt noch tun???

Hoffe ihr könnt mir helfen geht langsam aufn geist das system neu zu installieren alles neu aufspielen.

Mfg Volli

Hallo,

bist Du wirklich nach Anleitung vorgegangen? Eine Formatierung überlebt kein Schädling.
Haste wieder Setups ausgeführt, die auch vom infizierten System verarbeitet wurde? War min. das SP2 schon drauf vor den ersten Gang ins Internet?

Vllt postest Du auch mal wo der Backdoor überhaupt gefunden wurde.

hi ,

ja bin ich deshalb verteh ich das nicht wieso der aufeinmal wieder drauf ist ja und sp2 war drauf sowie firewall und antivirus nun ist der schon wieder drauf hab langsam echt keinen rat mehr

hab grad mban durchlaufen lassen und er hat den schon wieder gerfunden :

Files Infected:
C:\WINDOWS\system32\conime.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Jetzt will er einen Neustart von mir und wenn ich den ausführe dauert es keine 5 min dann hab ich den wieder im system .

Hab auch mal den log von HijackThis angefügt hoffe ihr könnt mir helfen
aso war jetzt das 5x mit dem neu aufsetzten des systems

Logfile of HijackThis v1.99.1
Scan saved at 12:52:12, on 16.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira Premium Security Suite\sched.exe
C:\Programme\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira Premium Security Suite\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira Premium Security Suite\avmailc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\totalcmd\TOTALCMD.EXE
E:\Downloads\Systemtools\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - AVIRA GmbH - C:\Programme\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avesvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Zitat:

C:\WINDOWS\system32\conime.exe

Und das Teil meldet Dir Malwarebytes? Bitte das gesamte Log posten, halbe Sachen bringen reingarnichts!
Werte die Datei auch mal bitte bei https://www.virustotal.com aus und poste den Ergebnislink. Wenn die Datei schonmal ausgewertet wurde, bitte nochmal auswerten lassen.

Hi,

hier mal der log von mbam von eben grad :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Database version: 3995

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.04.2010 16:04:21
mbam-log-2010-04-16 (16-04-21).txt

Scan type: Full scan (C:\|D:\|E:\|)
Objects scanned: 219968
Time elapsed: 1 hour(s), 21 minute(s), 37 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\route.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\conime.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\route.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\svchost.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Was ist hiermit:

Zitat:

Haste wieder Setups ausgeführt, die auch vom infizierten System verarbeitet wurde?

die einzigstten setups dier ausgeführt hab war auf cd also die motherboard cd den und den rest hab ich auf einer externen hdd wie avira mbam usw

Das kann so nicht sein. Von irgendwoher muss die Infektion kommen. Ist das eine Windows-Original-CD gewesen, von der Du installiert hast?