Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.05.2005, 23:46   #1
ghl10000
 
Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe ! - Standard

Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !



Hallo,
ich kämpfe seit einiger Zeit (ca. Anfang April) auf einem meiner Rechner mit massiven Problemen, die ich auf

einen Backdoor-Trojaner oder etwas ähnliches zurückführe.
Ich habe schon einiges versucht, das Ding loszuwerden, bisher aber vergeblich; ich glaube, ich hab's mit etwas

besonders Hartnäckigem zu tun.
Deswegen wende ich mich jetzt hilfesuchend ans Forum: Kann mir jemand Tipps für die Beseitigung geben bzw. -

besser - mir bei der Identifizierung helfen ?

Ich versuche mal, alle Fakten aufzulisten, um euch so viele Hinweise wie möglich zu geben.

Auf meinem System läuft WindowsXP SP2, ich installiere immer alle Updates, somit sollte von hier aus keine

Nachlässigkeit bestehen (Ich habe das System erst Anfang des Jahres auf eine neue Platte mit einer selbst

zusammengestellten Slipstream-CD neu aufgesetzt.)

Von Anfang an habe ich das System mit Virenscanner (NOD32) und Firewall (Kerio) abgesichert. Beide habe ich

via CD und in der jeweils aktuellsten Version eingespielt, um nur ja nicht auch nur eine Sekunde ungeschützt

ins Internet zu gehen. Beide Versionen waren übrigens lizensierte Vollversionen (also keine Cracks).

Kurz nach einem automatischen Update von Kerio (ich weiß leider nicht mehr von welcher auf welche Version),

begannen meine Probleme. (Ich weiß aber nicht, ob diese Probleme direkt damit in Beziehung stehen !)

Die Probleme äußerten sich folgendermaßen:

Der Start des Rechners dauerte ungewöhnlich lange. Nach der Eingabe des Logon-Passwortes ist die Sanduhr recht

lange (ca. 3-5 min) sichtbar, wenn man mit der Maus auf die Taskleiste geht. Wenn der Mauscursor nicht auf der

Taskleiste steht, sieht man die Sanduhr nicht, doch man kann in dieser Zeit dennoch keine Programme starten.
Verdächtig fand ich auch, dass sich die Icons für NOD32 und Kerio sehr spät (eigentlich erst kurz bevor die

Sanduhr verschwand), nämlich ganz zum Schluss, in der Taskleiste anlegten.
(Was in dieser Zeit geschah, wäre interessant zu wissen...)

Sobald der Rechner dann sozusagen einsatzbereit ist (keine Sanduhr mehr sichtbar), kann man zwar Programme

starten, doch immer wieder "friert" Windows in der Folge trotzdem ein, d.h. man klickt auf Icons und es tut

sich sekundenlang nichts oder auf Programme, das Startmenu klappt aus und bleibt sekundenlang wie eingefroren

am Screen, bis dann jenes Programm startet, auf das man vor Sekunden geklickt hat.

Richtig arg wird's aber, wenn man sich ins Internet einwählt !

Erstes ist mal folgendes seltsam: Nach der erfolgten Einwahl sieht man das Connect-Symbol (2 Bildschirmchen)

*nicht* in der Taskleiste. Man muss in den Netzwerkmanager gehen und dort anlicken, dass es sichtbar sein soll

(übrigens nach jedem Windows-Start erneut).
Zweitens sieht man dann die Connect-Rate in der Info-Box, doch diese bleibt meist ebenfalls wie eingefroren

stehen und man kann erst nach ca. 30s weiterarbeiten.

In der Firewall sieht man dann, was sonst noch so vorgeht:

Zunächst versucht der Rechner mittels IP-41 Protokoll abgehende Verbindungen immer zu folgenden IP-Adressen

aufzubauen: 192.88.99.1, 131.107.33.60. Beide Adressen sollten zu Microsoft's IPV6-(Test?)Netz gehören. Die

Firewall blockt das zwar (jedenfalls steht es so im Log, aber was weiß man), doch wieso werden diese Connects

überhaupt versucht ?
Anschließend werden von externen Adressen dauernd Zugriffe auf meinen Rechner versucht und zwar vorwiegend auf

die Ports 137,1433,1026,1080,445 und 139.
Scheinbar werden diese ebenfalls von der Firewall geblockt.

Folgendes ist zusätzlich merkwürdig: Viele der Zugriffe von außen kommen von IP-Adressen, deren erste beiden

Octets identisch sind mit der dynamischen IP, die mir jeweils beim Dialup vom ISP zugewiesen wurde !
(Ich habe es mit 2 verschiedenen ISPs probiert, die jeweils in unterschiedlichen B-Ranges angesiedelt sind,

die Angriffe kommen immer gehäuft von identischen C-Class Adressen!)
Vermutung: Das Backdoor könnte die Eigenschaft haben, nach erfolgreichem Dialup ebenfalls verseuchte Rechner

beim gleichen ISP zu suchen, um die Angriffe (ähnliche IP-Adressen !) etwas zu verschleiern, bzw. ein Netz

beim gleichen ISP aufzubauen. Das ist eine etwas beunruhigende Vorstellung...

Dazwischen ist das System immer wieder kurzzeitig blockiert, so lange man im Netz ist.

Da NOD32 nichts fand und ich die Verseuchung vorerst mit dem Kerio-Update in Zusammenhang brachte, besorgte

ich mir auf sichere Weise (Download von einem sauberen PC) die Kaufversionen von neuen Scannern (AVK,

ZoneAlarm). AVK fand aber auch nichts, ZoneAlarm reportete die gleichen mysteriösen Angriffe und die

Blockierungen des PCs spielten sich gleich ab wie vorher. (Natürlich löschte ich die "alten" Scanner vorher

restlos vom System.)

***

Worum könnte es sich hier handeln ?
Hat jemand von euch diese Symptome schon mal gehabt oder sind sie einem konketen Virus / Trojaner / Backdoor

zuzuordnen ? (Ich habe im Internet nichts dergleichen finden können.)
Welche Schritte soll ich unternehmen, um (a) dem Plagegeist auf die Spur zu kommen und (b) den Rechner zu

säubern ?
In welche Foren kann ich diesen Request noch posten ?
Selbst wenn der Rechner kompromittiert sein sollte, d.h. eine Säuberung extrem aufwändig bis schwer möglich,

möchte ich vor einer Neuinstallation zumindest herausfinden, was den Rechner befallen hat. (Ich möchte in

diesem Fall nämlich vermeiden, dass das gleiche kurz nach einer zeitraubenden Neuinstallation wieder

stattfindet.)

Ich wende mich hilfesuchend an euch !

Unten ein Log von Hijackthis (im Windows-Normalmodus erstellt. Ist es normal, dass das nur ein paar Sekunden

dauert ?)

Vielen Dank !
lg
Gerhard

*********************************
Logfile of HijackThis v1.99.1
Scan saved at 18:01:54, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\WLKeeper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\cetest\softmaker\Gemeinsame Dateien\Smash\Smash.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVerTV\QuickTV.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Antivirus\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\RunOnce: [remove ipc] cmd.exe /c del C:\WINDOWS\system32\d211ipc.dll
O4 - HKLM\..\RunOnce: [remove owlan2] cmd.exe /c del C:\WINDOWS\system32\owlan2.dll
O4 - HKLM\..\RunOnce: [Nokia D211] cmd.exe /c del C:\DOKUME~1\GERHAR~1\LOKALE~1\Temp\Del98.tmp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: QuickTV.lnk = C:\Programme\AVerTV\QuickTV.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092867331568
O16 - DPF: {85AC0EFC-2CA1-4C1C-82AE-5C31184A13EF} (VAMCtrl Class) - http://192.168.0.117/plugin/h263ctrl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.233/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\WINDOWS\system32\WLKeeper.exe
***************************************

Folgendes Ergebnis erhielt ich mit netsh (gekürzt):


netsh interface ipv6 show neighbors

Schnittstelle 7: Teredo Tunneling Pseudo-Interface
fe80::5445:5245:444f 62.99.161.92:1508 Permanent
3ffe:831f:4004:1950:0:fa1b:c19c:5ea3 Unvollständig
fe80:8000:f227:bffb:e6af Unvollständig

Schnittstelle 6: Bluetooth Network
[Daten hier weggelassen]

Schnittstelle 5: LAN-Verbindung
[Daten hier weggelassen]

Schnittstelle 4: Drahtlose Netzwerkverbindung
[Daten hier weggelassen]

Schnittstelle 3: 6to4 Tunneling Pseudo-Interface
2002:836b:213c::836b:213c 131.107.33.60 Permanent
2002:c058:6301::c058:6301 192.88.99.1 Permanent
2002:3e63:a1f7::3e63:a1f7 62.99.161.247 Permanent
2002:3e2e:429::3e2e:429 62.46.4.41 Permanent
2002:3e63:a15c::3e63:a15c 127.0.0.1 Permanent

Schnittstelle 2: Automatic Tunneling Pseudo-Interface
fe80::5efe:62.99.161.92 127.0.0.1 Permanent

Schnittstelle 1: Loopback Pseudo-Interface
fe80::1 Permanent
::1 Permanent

Alt 15.05.2005, 00:47   #2
cronos
 
Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe ! - Standard

Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !



Da du ja schon sagst, dass du ein Backdoor-Problem hast, kann man dir leider nur zu folgendem raten:

http://www.trojaner-board.de/showthread.php?t=12154

Warum?

Darum!

Das gilt auch für das manuelle entfernen.


Was man mit Backdoors so anstellen kann:

http://www.dradio.de/dlf/sendungen/wib/253543/
__________________

__________________

Antwort

Themen zu Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !
adobe, adobe reader, anfang, antivirus, beseitigung, bho, bitte um hilfe, blockiert, cyberlink, eingefroren, excel, g data, handel, helfen, hijack, hijackthis, hilfesuchend, immer wieder, internet, internet explorer, ip-adresse, keine programme, launch, logfile, maus, monitor, sanduhr, scan, software, system, taskleiste, temp, teredo, ungeschützt, updates, virus, windows messenger, windows xp




Ähnliche Themen: Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !


  1. Bitte dringend um Hilfe - Backdoor.Win32.Androm.henq Trojaner Macbook
    Plagegeister aller Art und deren Bekämpfung - 11.06.2015 (7)
  2. Win32:Backdoor-ACX[Trj] Trojaner greift PC an, bitte um Hilfe ._.
    Plagegeister aller Art und deren Bekämpfung - 13.02.2015 (7)
  3. Win7, Trojaner-Dropper hackt Kaspersky und verschwindet, Verdacht auf Backdoor
    Plagegeister aller Art und deren Bekämpfung - 05.07.2014 (3)
  4. Verdacht auf unbekannten Virus!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (1)
  5. Verdacht auf unbekannten Schädling - Browserabstürze/Browser verlangsamt
    Plagegeister aller Art und deren Bekämpfung - 20.07.2011 (3)
  6. Virus Verdacht, bitte um Hilfe!!!
    Log-Analyse und Auswertung - 06.08.2009 (0)
  7. Backdoor Trojaner und lsvis.exe ???Brauch DRINGEND Hilfe ...bitte :(
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (78)
  8. Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 07.09.2008 (22)
  9. Verdacht auf Backdoor-Trojaner - Ist das Gerät noch zu retten?
    Mülltonne - 10.07.2008 (3)
  10. Verdacht auf Trojaner, Backdoor, etc.
    Log-Analyse und Auswertung - 22.05.2008 (14)
  11. Trojaner Verdacht - Bitte um Hilfe bei Logauswertung
    Log-Analyse und Auswertung - 22.11.2007 (5)
  12. Backdoor.Win32.Bitforse.aej Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2007 (5)
  13. Backdoor Angriff ? Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (4)
  14. Anfänger hat Verdacht auf Trojaner! Bitte um Hilfe
    Log-Analyse und Auswertung - 21.04.2007 (8)
  15. Verdacht auf Trojaner bitte um Hilfe
    Log-Analyse und Auswertung - 10.10.2006 (3)
  16. Backdoor Agent B - Bitte um Hilfe!
    Log-Analyse und Auswertung - 13.08.2004 (12)
  17. Bitte dringend um Hilfe: IE funktioniert nicht mehr!! Trojaner Verdacht!
    Alles rund um Windows - 24.12.2003 (6)

Zum Thema Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe ! - Hallo, ich kämpfe seit einiger Zeit (ca. Anfang April) auf einem meiner Rechner mit massiven Problemen, die ich auf einen Backdoor-Trojaner oder etwas ähnliches zurückführe. Ich habe schon einiges versucht, - Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !...
Archiv
Du betrachtest: Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe ! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.