Erst mal ein freundliches Hallo an alle Profis hier, ihr leistet eine super Arbeit :aplaus:
Nun mein Problem, ich habe gestern ein scan mit a-squared free durchgeführt und musste mit erschrecken feststellen, das ich den Backdoor.Ciadoor.13 im Ordner System Volume Information > restore .... hatte. Hab keine Ahnung wie das da hin gekommen ist. Meine Maßnahme war die deaktivierung der Systemwiederherstellung, womit der ganze Inhalt des Ordners gelöscht wurde. habe danach nochmal a-squared free und mein Antivir (Trend Micro) scannen lassen und die haben nichts gefunden. Jetzt bin ich aber ein wenig verunsichert, weil ich nichts gutes über diesen Backdoor gelesen habe. Mein BS ist Win XP Prof.
Hier mein HiJackThisLog:
Logfile of HijackThis v1.99.1
Scan saved at 18:09:39, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
D:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Vielen Dank schon mal im Voraus.
Gruß Richie

Hallo und Herzlich Willkommen im Trojaner-Board

Ich kann zwar keine Entdeckung in deinem Hijackthislogfile
machen, jedoch weißt du bestimmt selber, dass ein System
nach einer Backdoorinfizierung nicht mehr vertrauenswürdig
ist. (besonders in der Systemwiderherstellung)
Wenn du die genaue Bezeichnung des Schädlings rausrücken
kannst, können wir vielleicht fest stellen, ob es Sinn macht das
Risiko einzugehen und nicht neu auf zu setzen, sprich weitere
Analysen zu fahren.

mfg Cleriker

Hallo Cleriker,

vielen Dank für die schnelle Antwort und die nette Begrüßung.

Nun, a-squared free hatte mir leider nur angezeigt wie der Backdoor heißt und wo dieser sich befindet (restore mit Nummer dahinter). Dummerweise habe ich mir diese Nummer nicht aufgeschrieben. Hatte danach auch sofort die Internetverbindung gekappt, Systemwiederherstellung deaktiviert und im abgesicherten Modus nochmal die Scanner drüberlaufen lassen. Habe heute nur mal aus Neugier auch einen Rootkit-Killer (GMER 1.0) scannen lassen. Dieser hatte auch nichts gefunden. Aber ich hätte da noch ein Log von eSan, wenn das aufschlussreicher ist? Nur ist das ein ewig langer Text und ich weiß nicht so recht, wie ich den hier posten kann. Und was genau wird davon benötigt?

Gruß Richie

Ich entnehme deinen Aussagen, dass du nicht
neu aufsetzen möchtest, sondern dein System
vollständig bereinigen willst. Gewährleisten kann
ich dir das aber nicht, da die Bezeichnung nicht
bekannt ist.

Mach folgendes:

1) Poste das Ergebnis des Escans mit Hilfe der find.bat.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop\find.bat)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
- Entferne bitte nicht selber von escan alarmierte Funde.
-> Es sind erfahrungsgemäß viele Fehlalarme dabei

2) * Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

3) * Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

mfg Cleriker

Hallo Cleriker,

vielen Dank für deine ausführliche Anleitung, aber ich werde das System neu aufsetzen!
Hatte heute wieder Schadsoftware auf dem Rechner, habe jetzt die Nase voll.
Nur hätte ich da noch eine Frage. Ich habe ein Backup meiner Einstellungen (Windows, Firefox) gemacht. Dateien und ein Teil der Programme sind auf einer anderen Festplatte, aber dort wurde nichts gefunden. Ist es Sinnvoll, oder sicher diese Einstellungen auf das "neue" BS wieder einzuspielen? Laut Virenscanner ist das Backup der Einstellungen sauber (was ja noch lange nichts heißt). Weiß vllt auch jemand, wie viel Platz Win XP Prof. SP2 inklusive aller Patches benötigt? Habe vor eine Partition zu erstellen wo nur das BS drauf ist. (Ja, ich weiß das der Zugriff auf die Programme dann länger dauert)

Mfg Richie

Hat sich erledigt, hab mein System neu aufgesetzt.
Vielen Dank an Euch allen.

Gruß Riche