Trojaner-Board - Hatte Backdoor ---bin ich wieder sauber?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hatte Backdoor ---bin ich wieder sauber? (https://www.trojaner-board.de/72148-backdoor-sauber.html)

Hatte Backdoor ---bin ich wieder sauber?

Hallo. Habe hier vor einiger Zeit beim posten eines Logs gesagt bekommen ich hätte einen BackdoorServer drauf und habe nun neulich den Computer neuaufgesetzt. Kann mal jemand drüberschauen ob soweit alles wieder gut ist?
Ganz unte steht einmal (file missing) da hab ich glaub ich SuperAntispyware nach dem installieren in ein anderes Verzeichnis verschoben-macht das eigentlich was, dass das nicht mehr mitgestartet wird? Hat doch überhaupt keine Guard-Funktion oder doch?

Achja und kann man sowas wie Backdoors und Manipulationen eigentlich immer in der Highjackthis logfile erkennen

Code:

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:26:26, on 18.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\NEU\HiJackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\NEU\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\NEU\SASWINLO.dll (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
 

--

End of file - 4305 bytes

Hallo,

zu deiner letzteren Frage. Nein, viele Malware sieht man nicht mehr in HJT-Logs. Die verstecken sich unglaublich gut.
Ich würde dir anraten mal die Liste durchzugehen und um zu schauen, ob Du wirklich sauber bist. Aber generell gilt: Bei Backdoors lieber neu aufsetzen, da nach einem Backdoorangriff dein System Schwachstellen hat und nicht mehr vertraulich ist. (Auch bei einer kompletten Bereinigung).

Hier die Liste: http://www.trojaner-board.de/69886-a...-beachten.html
Bitte ab Punkt 2 durchgehen und alle Logs hier rein :)

also cc cleaner, super antispyware, malewarebytez, anitivir und spybot finden nichts.

hier die software liste von hjt

Code:

 Adobe Acrobat 5.0

Adobe Flash Player 10 Plugin

Agere Systems AC'97 Modem

Aspire 1350

Avira AntiVir Personal - Free Antivirus

CCleaner (remove only)

Eraser

Eraser

HijackThis 2.0.2

Hotfix für Windows XP (KB952287)

Indeo® Software

Java DB 10.4.1.3

Java(TM) 6 Update 13

Java(TM) SE Development Kit 6 Update 13

JavaFX(TM) 1.1 SDK

KM400/KN400 Display Driver and Utilities

Launch Manager

Malwarebytes' Anti-Malware

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Mozilla Firefox (3.0.8)

NTI CD & DVD-Maker 6.5 Gold

Opera 9.64

PowerDVD

Privoxy 3.0.6

Realtek AC'97 Audio

S3 S3Display

S3 S3Gamma2

S3 S3Info2

S3 S3Overlay

Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960715)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB961373)

Sicherheitsupdate für Windows XP (KB963027)

Spybot - Search & Destroy

SUPERAntiSpyware Free Edition

Synaptics Pointing Device Driver

Tor 0.2.0.34

Update für Windows XP (KB898461)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

Vidalia 0.1.10

Windows Internet Explorer 7

Windows XP Service Pack 3

WinRAR

wenn das alles ok ist...kann ich dann davon ausgehen sauber zu sein?

Deinstalliere Spybot S&D das Teil hilft dir eh nicht viel weiter, da es veraltet ist, lass Avira und Malwarebytes in einer gesunden Kombination. Deinstalliere auch Superantispyware.
Deinstalliere zudem: Adobe Acrobat 5.0 (veraltet)

Fixe folgendes:

Zitat:

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\NEU\SASWINLO.dll (file missing)

Und noch dieses hier:

Zitat:

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Stelle Avira auf folgende Einstellung (Upgraden auf Version 9 bitte nicht vergessen, gibt es bei avira.com): http://www.trojaner-board.de/54192-a...tellungen.html

ok...habe die Sachen gefixt. Adobe 5.0 gegen 9.1 ausgetauscht. Avira 9 runtergeladen. Mit agressiven Einstellungen kein Fund nur 2 Warnungen die nicht weiter erläutert waren.

Okay, dann bist du sauber :)

PS: Warnungen sind nicht schlimm.

ach ja mir fällt noch ein...beim Neuaufsetzen kam nach Einlegen der SystemCD als er dann fertig mit allem war -100% Statusanzeige - eine Fehlermeldung (finde den Zettel gerade nicht) irgendwas mit invalid drive z: oder so...musste dann abbrechen und beim neustart hat er dann normal mit der Windowsinstallation weitergemacht..
Habe jetzt außerdem eine Partition E: mit 8MB auf der so Dateien wie attrib, bootlog, checkb, checkhdd, regedit, setmouse, smartdrv, xcopy.
Wieso hat er das denn gemacht?

Starte mal den PC neu bitte. Dann sag mir ob diese Daten immer noch zu sehen sind.

meisnt du die Dateien von E:/ ? Die sind noch da.
Das Laufwerk heisst Acer_Service e:/

Hast du einen Neustart gemacht? Wenn nein, dann bitte Reboot.

Hab ich gerade eben gemacht und seit dem Neuaufsetzen insgesamt schon 20-30 mal

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Code:

 Search Navipromo version 3.7.6 began on 18.04.2009 at 16:30:17,21
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Mobile AMD Athlon(tm) XP 2400+ )

BIOS : PhoenixBIOS 4.0 Release 6.0     

USER : XXX ( Administrator )

BOOT : Normal boot
 

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
 
 

C:\ (Local Disk) - FAT32 - Total:18 Go (Free:10 Go)

D:\ (Local Disk) - NTFS - Total:9 Go (Free:9 Go)

E:\ (Local Disk) - FAT - Total:0 Go (Free:0 Go)

F:\ (CD or DVD)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Admini\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\xxx\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\xxx\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\xxx\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\NORMAL\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\xxx\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\xxx\lokale~1\anwend~1" : 
 
 

* In "C:\DOKUME~1\xxx\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search others known folders and files :
 
 
 

*** Search completed on 18.04.2009 at 16:31:31,09 ***

Das ist die Widerherstellungspartition, genaueres steht im Handbuch zu Deinem rechner. Schau mal dort rein.

Besten Dank erstmal
...weil vorher hatte ich nur c: und d: ..eigentlich wollte ich das auch verändern beim neuaufsetzen aber hab das wohl irgendwie übersprungen