Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !
 

Hallo,
ich kämpfe seit einiger Zeit (ca. Anfang April) auf einem meiner Rechner mit massiven Problemen, die ich auf

einen Backdoor-Trojaner oder etwas ähnliches zurückführe.
Ich habe schon einiges versucht, das Ding loszuwerden, bisher aber vergeblich; ich glaube, ich hab's mit etwas

besonders Hartnäckigem zu tun.
Deswegen wende ich mich jetzt hilfesuchend ans Forum: Kann mir jemand Tipps für die Beseitigung geben bzw. -

besser - mir bei der Identifizierung helfen ?

Ich versuche mal, alle Fakten aufzulisten, um euch so viele Hinweise wie möglich zu geben.

Auf meinem System läuft WindowsXP SP2, ich installiere immer alle Updates, somit sollte von hier aus keine

Nachlässigkeit bestehen (Ich habe das System erst Anfang des Jahres auf eine neue Platte mit einer selbst

zusammengestellten Slipstream-CD neu aufgesetzt.)

Von Anfang an habe ich das System mit Virenscanner (NOD32) und Firewall (Kerio) abgesichert. Beide habe ich

via CD und in der jeweils aktuellsten Version eingespielt, um nur ja nicht auch nur eine Sekunde ungeschützt

ins Internet zu gehen. Beide Versionen waren übrigens lizensierte Vollversionen (also keine Cracks).

Kurz nach einem automatischen Update von Kerio (ich weiß leider nicht mehr von welcher auf welche Version),

begannen meine Probleme. (Ich weiß aber nicht, ob diese Probleme direkt damit in Beziehung stehen !)

Die Probleme äußerten sich folgendermaßen:

Der Start des Rechners dauerte ungewöhnlich lange. Nach der Eingabe des Logon-Passwortes ist die Sanduhr recht

lange (ca. 3-5 min) sichtbar, wenn man mit der Maus auf die Taskleiste geht. Wenn der Mauscursor nicht auf der

Taskleiste steht, sieht man die Sanduhr nicht, doch man kann in dieser Zeit dennoch keine Programme starten.
Verdächtig fand ich auch, dass sich die Icons für NOD32 und Kerio sehr spät (eigentlich erst kurz bevor die

Sanduhr verschwand), nämlich ganz zum Schluss, in der Taskleiste anlegten.
(Was in dieser Zeit geschah, wäre interessant zu wissen...)

Sobald der Rechner dann sozusagen einsatzbereit ist (keine Sanduhr mehr sichtbar), kann man zwar Programme

starten, doch immer wieder "friert" Windows in der Folge trotzdem ein, d.h. man klickt auf Icons und es tut

sich sekundenlang nichts oder auf Programme, das Startmenu klappt aus und bleibt sekundenlang wie eingefroren

am Screen, bis dann jenes Programm startet, auf das man vor Sekunden geklickt hat.

Richtig arg wird's aber, wenn man sich ins Internet einwählt !

Erstes ist mal folgendes seltsam: Nach der erfolgten Einwahl sieht man das Connect-Symbol (2 Bildschirmchen)

*nicht* in der Taskleiste. Man muss in den Netzwerkmanager gehen und dort anlicken, dass es sichtbar sein soll

(übrigens nach jedem Windows-Start erneut).
Zweitens sieht man dann die Connect-Rate in der Info-Box, doch diese bleibt meist ebenfalls wie eingefroren

stehen und man kann erst nach ca. 30s weiterarbeiten.

In der Firewall sieht man dann, was sonst noch so vorgeht:

Zunächst versucht der Rechner mittels IP-41 Protokoll abgehende Verbindungen immer zu folgenden IP-Adressen

aufzubauen: 192.88.99.1, 131.107.33.60. Beide Adressen sollten zu Microsoft's IPV6-(Test?)Netz gehören. Die

Firewall blockt das zwar (jedenfalls steht es so im Log, aber was weiß man), doch wieso werden diese Connects

überhaupt versucht ?
Anschließend werden von externen Adressen dauernd Zugriffe auf meinen Rechner versucht und zwar vorwiegend auf

die Ports 137,1433,1026,1080,445 und 139.
Scheinbar werden diese ebenfalls von der Firewall geblockt.

Folgendes ist zusätzlich merkwürdig: Viele der Zugriffe von außen kommen von IP-Adressen, deren erste beiden

Octets identisch sind mit der dynamischen IP, die mir jeweils beim Dialup vom ISP zugewiesen wurde !
(Ich habe es mit 2 verschiedenen ISPs probiert, die jeweils in unterschiedlichen B-Ranges angesiedelt sind,

die Angriffe kommen immer gehäuft von identischen C-Class Adressen!)
Vermutung: Das Backdoor könnte die Eigenschaft haben, nach erfolgreichem Dialup ebenfalls verseuchte Rechner

beim gleichen ISP zu suchen, um die Angriffe (ähnliche IP-Adressen !) etwas zu verschleiern, bzw. ein Netz

beim gleichen ISP aufzubauen. Das ist eine etwas beunruhigende Vorstellung...

Dazwischen ist das System immer wieder kurzzeitig blockiert, so lange man im Netz ist.

Da NOD32 nichts fand und ich die Verseuchung vorerst mit dem Kerio-Update in Zusammenhang brachte, besorgte

ich mir auf sichere Weise (Download von einem sauberen PC) die Kaufversionen von neuen Scannern (AVK,

ZoneAlarm). AVK fand aber auch nichts, ZoneAlarm reportete die gleichen mysteriösen Angriffe und die

Blockierungen des PCs spielten sich gleich ab wie vorher. (Natürlich löschte ich die "alten" Scanner vorher

restlos vom System.)

***

Worum könnte es sich hier handeln ?
Hat jemand von euch diese Symptome schon mal gehabt oder sind sie einem konketen Virus / Trojaner / Backdoor

zuzuordnen ? (Ich habe im Internet nichts dergleichen finden können.)
Welche Schritte soll ich unternehmen, um (a) dem Plagegeist auf die Spur zu kommen und (b) den Rechner zu

säubern ?
In welche Foren kann ich diesen Request noch posten ?
Selbst wenn der Rechner kompromittiert sein sollte, d.h. eine Säuberung extrem aufwändig bis schwer möglich,

möchte ich vor einer Neuinstallation zumindest herausfinden, was den Rechner befallen hat. (Ich möchte in

diesem Fall nämlich vermeiden, dass das gleiche kurz nach einer zeitraubenden Neuinstallation wieder

stattfindet.)

Ich wende mich hilfesuchend an euch !

Unten ein Log von Hijackthis (im Windows-Normalmodus erstellt. Ist es normal, dass das nur ein paar Sekunden

dauert ?)

Vielen Dank !
lg
Gerhard

*********************************

Logfile of HijackThis v1.99.1
Scan saved at 18:01:54, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\WLKeeper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\cetest\softmaker\Gemeinsame Dateien\Smash\Smash.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVerTV\QuickTV.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Antivirus\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\RunOnce: [remove ipc] cmd.exe /c del C:\WINDOWS\system32\d211ipc.dll
O4 - HKLM\..\RunOnce: [remove owlan2] cmd.exe /c del C:\WINDOWS\system32\owlan2.dll
O4 - HKLM\..\RunOnce: [Nokia D211] cmd.exe /c del C:\DOKUME~1\GERHAR~1\LOKALE~1\Temp\Del98.tmp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: QuickTV.lnk = C:\Programme\AVerTV\QuickTV.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092867331568
O16 - DPF: {85AC0EFC-2CA1-4C1C-82AE-5C31184A13EF} (VAMCtrl Class) - http://192.168.0.117/plugin/h263ctrl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.233/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\WINDOWS\system32\WLKeeper.exe

***************************************

Folgendes Ergebnis erhielt ich mit netsh (gekürzt):


netsh interface ipv6 show neighbors

Schnittstelle 7: Teredo Tunneling Pseudo-Interface
fe80::5445:5245:444f 62.99.161.92:1508 Permanent
3ffe:831f:4004:1950:0:fa1b:c19c:5ea3 Unvollständig
fe80:8000:f227:bffb:e6af Unvollständig

Schnittstelle 6: Bluetooth Network
[Daten hier weggelassen]

Schnittstelle 5: LAN-Verbindung
[Daten hier weggelassen]

Schnittstelle 4: Drahtlose Netzwerkverbindung
[Daten hier weggelassen]

Schnittstelle 3: 6to4 Tunneling Pseudo-Interface
2002:836b:213c::836b:213c 131.107.33.60 Permanent
2002:c058:6301::c058:6301 192.88.99.1 Permanent
2002:3e63:a1f7::3e63:a1f7 62.99.161.247 Permanent
2002:3e2e:429::3e2e:429 62.46.4.41 Permanent
2002:3e63:a15c::3e63:a15c 127.0.0.1 Permanent

Schnittstelle 2: Automatic Tunneling Pseudo-Interface
fe80::5efe:62.99.161.92 127.0.0.1 Permanent

Schnittstelle 1: Loopback Pseudo-Interface
fe80::1 Permanent
::1 Permanent

Da du ja schon sagst, dass du ein Backdoor-Problem hast, kann man dir leider nur zu folgendem raten:

http://www.trojaner-board.de/showthread.php?t=12154

Warum?

Darum!

Das gilt auch für das manuelle entfernen.


Was man mit Backdoors so anstellen kann:

http://www.dradio.de/dlf/sendungen/wib/253543/