PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win2k3 - Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden


Heiko84
2009-09-15, 11:56:58
Hallo zusammen,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.

Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?

Logfile mit HijackThis habe ich natürlich schon erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54 ...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69 ...
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

sei laut
2009-09-15, 12:16:36
Was erzeugt denn die 100% Auslastung. Wenn du sagst, es ist nur eine kleine Firma, kann es nicht sein, dass das Ding ausgelastet ist. Anhand der Prozessnamen dürfte man schon was finden.

EL_Mariachi
2009-09-15, 12:27:02
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

Edit: hab ich doch glatt den Text vergessen. sry

Lt. Log läuft nen Sharepoint / SQL Server auf der Kiste, welche für meine Begriffe zwar durchaus auch als "bösartige" Software durchgehen würde, allerdings in gemeinen Unternehmen doch eher absichtlich verwendet wird...

Mit dem Process Explorer, kann man sich den oder die 100 % Prozesse mal genauer anschauen und findet i.d.R. schnell die Ursache...

Viel Erfolg!

.

Gast
2009-09-15, 12:52:23
Da der Server derzeit gut läuft kann ich den Prozess nicht durchgeben. Zurzeit sind nur die Dienste mit den komischen Namen aufgetaucht. Beim letzten mal war es aber zum Beispiel der Prozess "svchost.exe" der die Auslastung brachte.

Heiko84
2009-09-15, 13:06:20
Dies ist mein erstes Small Business System, habe aber schon viel Kontakt mit dem normalen Windows Server 2003 in meiner Hauptberuflichen Tätigkeit. Das sind jetzt 6 Jahre Erfahrung wobei ich meinen Skill Level sicher nicht als perfekt ansehen würde. Eher bei angemessen gut ;-)

Die Dienste kann ich leider schwer beschreiben, es sind derzeit sechs an der Zahl und alle tragen einen "kryptischen" Namen. Gemeinsamkeit der Dienste ist der Pfad zur .exe Datei "C:\WINDOWS\System32\svchost.exe -k netsvcs". Die Hardware des Servers habe ich mit diversen Tools getestet da gibt es wohl keine Probleme.

DHCP und DNS laufen beide und sind auch konfiguriert und im Einsatz.

Das mit dem Process Explorer werde ich versuchen, vielen Dank für den Tipp

Blase
2009-09-15, 13:59:30
Hast Du mal spaßeshalber versucht, diese Dienste einfach auf "deaktiviert" oder wenigstens "manuell" zu setzen? Meckert irgendwas weil dann diese Dienste nicht laufen?
Ist ja schön und gut, dass das System aktuell läuft, aber in Deinem eigenen Interesse solltest Du der Ursache schnell auf die Schliche kommen, bevor Du möglicherweise wieder Schiffbruch erleidest...

MfG Blase

Gast
2009-09-15, 15:23:47
Die Dienste kann ich leider schwer beschreiben, es sind derzeit sechs an der Zahl und alle tragen einen "kryptischen" Namen. Gemeinsamkeit der Dienste ist der Pfad zur .exe Datei "C:\WINDOWS\System32\svchost.exe -k netsvcs".


Das wird irgendein Netzwerkdienst sein.
Den Pfad aus der Dienstbeschreibung zu kopieren hilft da nicht viel.
Was sagen die Ereignis logs des Servers?
Welche nicht MS Software ist installiert?
Mit welchen UserRechten arbeiten die "Architekten"?
eine Personal Firewall installiert?

Dienste Testweise zu deaktivieren sollte aber schnell gehen und zeigt ob du die überhaupt brauchst.

Heiko84
2009-09-15, 15:33:39
Hast Du mal spaßeshalber versucht, diese Dienste einfach auf "deaktiviert" oder wenigstens "manuell" zu setzen? Meckert irgendwas weil dann diese Dienste nicht laufen?
Ist ja schön und gut, dass das System aktuell läuft, aber in Deinem eigenen Interesse solltest Du der Ursache schnell auf die Schliche kommen, bevor Du möglicherweise wieder Schiffbruch erleidest...

MfG Blase


Genau das möchte ich ja verhindern, deswegen ersuche ich ja um Hilfe. Diese Dienste werden nicht bzw. können nicht gestartet werden, vielleicht geblockt? Beim Hochfahren vom Betriebssystem mekkert er auch immer das einige Dienste nicht gestartet werden können. Deaktivieren geht wohl, aber das macht es ja auch nicht besser.

Firewall ist vorhanden in Form einer Hardwarefirewall mit Router. Eventlogs gibt es keine deutlich negativen. Neben der MS Software sind zusätzlich zwei Architekten Programme installiert die beide von einer Original CD installiert wurden. Die Architekten haben nur Rechte auf das Datenlaufwerk, die Datenbank und ihre Software, sonst nichts weiter.

Blase
2009-09-15, 15:44:07
Du hast also ein möglicherweise kompromittiertes System, möchtest aber die User nicht bei ihrer Arbeit stören und das Ganze am Besten "nebenbei" bereinigen?! Kannst Du, dann mußt Du aber bis nach der Arbeitszeit deines Kunden warten - auch kein Problem. Stellt sich aber die Frage, ob das "Problem", was auch immer es sein mag, auch dann auftritt, wenn außer dem Server selbst überhaupt keine Programme oder generelle Netzwerkzugriffe mehr laufen.
Aktuell bezweifel ich sowieso - reines Bauchgefühl - dass Du Dir da ein Virus oder sowas eingefangen hast. Dass mal der eine oder andere Dienst Last erzeugt, sehe ich ständig - hat eigentlich immer eine ganz banale Ursache und läßt sich bestenfalls auf einen Konfigurationsfehler zurückführen.
Dann geh es heute abend einfach mal durch, schau, ob dort Last erzeugt wird, obwohl alle Clients aus sind und dann gehst Du den Diensten auf den Grund. Morgen postest Du dann Deine Ergebnisse...

MfG Blase

Gandharva
2009-09-15, 16:30:28
Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

Klingt nach Conficker. Check das System mal hier: http://www.heise.de/security/dienste/browsercheck/tests/conficker/conficker.shtml

Falls du dir den wirklich eingefangen hast sind mit sehr hoher Wahrscheinlichkeit ALLE Rechner im Netzwerk infiziert, was auch erklären würde warum der Virus wieder auf dem Server aufgetaucht ist.

-> http://www.microsoft.com/security/worms/conficker.aspx

-> http://www.confickerworkinggroup.org/

Heiko84
2009-09-15, 16:57:53
Derzeit läuft zwar alles aber ich nehme stark an das bald wieder der super Gau folgt und vorreiter sind diese komischen Dienste. Deswegen ersuche ich um Hilfe weil ich selber nicht mehr weiss wie ich das Problem lösen kann. Ich habe den Server jetzt nämlich schon 3 mal neu aufgesetzt und jedesmal kam der Fehler wieder.

Hier ein Screenshot aus dem Process Explorer

http://architekt-frye.de/bild1.jpg


Passte nicht alles auf einen deswegen hier der zweite

http://architekt-frye.de/bild2.jpg


Und hier einmal ein Screenshot eines defekten Dienstes

http://architekt-frye.de/bild3.jpg

Gandharva
2009-09-15, 17:02:48
Derzeit läuft zwar alles aber ich nehme stark an das bald wieder der super Gau folgt und vorreiter sind diese komischen Dienste. Deswegen ersuche ich um Hilfe weil ich selber nicht mehr weiss wie ich das Problem lösen kann. Ich habe den Server jetzt nämlich schon 3 mal neu aufgesetzt und jedesmal kam der Fehler wieder.

Wenns wirklich Conficker ist und danach sieht es mir aus, wird dir das auch nach dem hundertsten mal "neu aufsetzen" wieder passieren, da vermutlich alle PCs im Netzwerk infiziert sind.

Lies mal die Links die ich oben gepostet habe. Damit solltest du das Problem in den Griff bekommen. Sei froh das euer Laden klein ist. ^^

Brudertac
2009-09-15, 17:08:45
Mach dir ne BootCD um die Kiste nach Viren zu durchsuchen. (Heise bietet sowas an)
Wenn Viren drauf sind würde ich den auf jeden Fall komplett neu aufsetzen. Das kriegst du
nie 100% sicher wieder Clean. (Dann natürlich auch die Clients checken!)

Falls du "Trend Micro Officescan" drauf hast - davon kann ich aufgrund persönlicher Erfahrungen nur abraten.

Gandharva
2009-09-15, 17:31:29
Wenn Viren drauf sind würde ich den auf jeden Fall komplett neu aufsetzen. Das kriegst du
nie 100% sicher wieder Clean. (Dann natürlich auch die Clients checken!)
Neu aufsetzen! Klar, das machen auch Admins in Betrieben mit >500 Clients immer so. Ist sozusagen die Profilösung... :freak:

Brudertac
2009-09-15, 18:02:10
Neu aufsetzen! Klar, das machen auch Admins in Betrieben mit >500 Clients immer so. Ist sozusagen die Profilösung... :freak:

Okay, für dich formulier ich das mal anders:

Er sagt selber das seine Skills - vorsichtig ausgedrückt - nicht perfekt sind.
Und anscheinend ist er auch nicht wirklich sicher in dem was er jetzt tun soll.
Würdest du dir in seinem Fall sicher sein das du alle aufgerissenen Löcher beseitigen kannst? Ich glaube nicht. (Wenn doch kann er dich ja auf Honorarbasis beauftragen das Problem zu beseitigen. :freak:)

Achja, und wo war in seinen Texten die Rede davon das er in einem Betrieb mit >500 Clients tätig ist?
Mir ist klar das soetwas der letzte Ausweg ist - gerade weil es einen kleinen Betrieb mit einem SBS wohl härter trifft als ne große Firma die für sowas
nicht nur einen Server stehen hat.

Markchen
2009-09-15, 18:36:46
Mach dir ne BootCD um die Kiste nach Viren zu durchsuchen. (Heise bietet sowas an)
Wenn Viren drauf sind würde ich den auf jeden Fall komplett neu aufsetzen. Das kriegst du
nie 100% sicher wieder Clean. (Dann natürlich auch die Clients checken!)

Falls du "Trend Micro Officescan" drauf hast - davon kann ich aufgrund persönlicher Erfahrungen nur abraten.


FULL ACK
Haben wir selbst bei unzähligen Kunden im Einsatz. Wenn er überhaupt was findet kann er's nicht bereinigen !

Heiko84
2009-09-15, 19:25:06
ICh habe jetzt mal SFC mehrfach ausgeführt sogar die Option aktiviert das er dies bei jedem Startvorgang durchführt. In der Ereignisanzeige steht zwar der ein oder andere Fehler aber nichts was mich wirklich weiter bringt. Es tauchen aber Fehler zu den Diensten auf die ich angesprochen habe.

Beispiel:

Der Dienst "jigdqkmÉ" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.


Ich vermute aber, dass sich eine bösartige Software in Systemdateien gesetzt hat aber wie kann ich das rausfinden.

Lokadamus
2009-09-15, 20:21:33
Ich vermute aber, dass sich eine bösartige Software in Systemdateien gesetzt hat aber wie kann ich das rausfinden.mmm...

Mit einer Live CD das System durchsuchen.
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
Kaspersky und ein paar andere Hersteller bieten irgendwo auf ihrer Webseite ebenfalls eine Live CD an.

Rootkits haben den Vorteil, dass man sie nicht an einem Processnamen erkennen kann.
http://de.wikipedia.org/wiki/Rootkit

Ansonsten kannst du noch den Ram testen, nach einem Bios- Update gucken und den Smart- Status der HDD einmal überprüfen bzw. einen Oberflächentest durchführen.

Gast
2009-09-16, 14:06:38
Die Option einen offlinescan oder auch Live-CD durchzurühren habe ich schon hinter mir, leider ebenfalls ohne Erfolg!

In Sachen Strukturierte Fehlersuche bin ich jetzt auf Hilfe angewiesen und ich hoffe das mir hier ein Schubs in die richtige Richtung gegeben wird.

Leider kann ich nicht sagen ob die Dienste neu sind. Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.

Aufgelistet sind das folgende Dienste:


Dienst 1: Siehe Screenshot oben

Dienst 2: http://architekt-frye.de/dienst1.jpg

Dienst 3: http://architekt-frye.de/dienst2.jpg

Dienst 4: Name: Ias Anzeigename: Ias

Dienst5: Name: Iprip Anzeigename: Iprip

Dienst 6: Name: Irmon Anzeigename: Irmon


Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6


Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:

http://architekt-frye.de/service1.jpg

http://architekt-frye.de/service2.jpg

Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.

nobex
2009-09-16, 14:31:46
Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf ...
Hier sollten eigentlich alle Dienste 'auftauchen' :|

Hacki_P3D
2009-09-16, 14:49:32
Hast du ein Tool, zum auffinden des Conficker Wurms, laufen lassen?
Hier gibts die kostenlose Software:

http://www.datenschutzbeauftragter-online.de/conficker-removal-tool/



In der aktuellen Heise Security gibts ein Jahresabo von NOD32, dazu noch ne bootbare DVD mit updatebarer AntiVirus SW.

http://www.heise-medien.de/presseinfo/bilder/ct/09/special0609.jpg



Ansonsten, mach mal die Kommandozeile auf (Start, Ausführen => cmd ) und gib exakt folgendes ein:

tasklist /svc /fi "imagename eq svchost.exe"

Damit siehste was hinter dem Dienst läuft.

Gandharva
2009-09-16, 14:49:46
Hast du denn nun endlich mal den Test auf Conficker gemacht?

Hast du ein Tool, zum auffinden des Conficker Wurms, laufen lassen?
Meine Hinweise dazu ignoriert er schon seit gestern gekonnt...

Hacki_P3D
2009-09-16, 14:56:20
@Gandharva
naja, wird dann wohl net so wichtig sein :ugly:


Evtl. findet Gmer ja was, würd i mal laufen lassen:
http://www.gmer.net/

Gast
2009-09-16, 16:09:36
Hast du denn nun endlich mal den Test auf Conficker gemacht?


Meine Hinweise dazu ignoriert er schon seit gestern gekonnt...


Natürlich habe ich deinen Beitrag auch gelesen, bin nur noch nicht dazu gekommen. Ergebnis des Conficker teile ich in Kürze mit. Das selbe gilt für die andern Tool Vorschläge.


In der Registry stehen unter services alle weiteren Dienste bis auf die beiden genannten welche nur über Software zu finden sind.

Heiko84
2009-09-17, 09:05:38
Ein neuer Tag, Zeit für neue Versuche ;-)

Vielen Dank für die Tipps! Folgendes kann ich dazu berichten.

Den Ordner C:\temp habe ich geleert, allerdings befand sich dort keine .exe Datei.

Die Dienste habe ich über msconfig aus dem Autostart genommen und bisher läuft das System nach dem Neustart wie vorher auch.

Einen Offline Scan kann ich so leicht nicht durchführen bisher habe ich kein Knopixx gefunden welches den Raid Controller benutzen kann.



Es soll der Win32.Conficker sein? Also lohnt es sich gezielt diesen zu suchen?

sei laut
2009-09-17, 09:27:23
Es soll der Win32.Conficker sein? Also lohnt es sich gezielt diesen zu suchen?
Kannst du auf dem Server viruslist.com, kaspersky.com etc. aufrufen?

Wir hatten auch einen Conficker Befall, doch der äußerte sich nicht in sovielen Diensten.

Heiko84
2009-09-17, 13:37:56
klar, kann ich aufrufen. Und weiter?

Hacki_P3D
2009-09-17, 14:39:01
Es soll der Win32.Conficker sein? Also lohnt es sich gezielt diesen zu suchen?

Es ist lediglich eine Vermutung.
Lass doch einfach mal so ein Tool laufen anstatt hier rumzuposten... :rolleyes:
Wasn das überhaupt für ne Frage "lohnt es sich gezielt diesen zu suchen"...

sei laut
2009-09-17, 15:40:52
klar, kann ich aufrufen. Und weiter?
Conficker C blockt die Seiten. Thats all. Ich weiß, war nicht sehr hilfreich. ;(

Gandharva
2009-09-17, 15:46:18
:confused:

In 5 Sekunden kann man checken ob das System Conficker infiziert ist. Der TS macht 3 Tage rum um das Temp-Verzeichnis zu löschen und 3 Dienste zu deaktivieren...

Ich bin raus hier. Is mir einfach zu blöd. Jemand der (auch wenns nur Nebenberuflich ist) Geld für die Wartung von ein paar PCs + nem Server kassiert und sich so anstellt...

Lokadamus
2009-09-17, 20:31:52
http://architekt-frye.de/service1.jpgmmm...

Da steht als Modul "C:\Windows\Temp\IXP000.TMP\ceshi600.exe".
Ich denke, das ist dein Virus bzw. einer davon. Den kannst du bei
http://www.virustotal.com/de/ oder http://virusscan.jotti.org/de hochladen, um zu sehen, was es ist und wer den erkennt.

Welche Live-CD hast du bisher getestet? Avira und Kaspersky solltest du schon getestet haben.

Skinner
2009-09-17, 22:06:01
Darf man mal Fragen was Du da für einen HP Server am laufen hast? Einen richtigen Server oder so einen Billig HP Server mit Software Raid und kleiner CPU. Letztgenannter ist schrott, kenne ich selber von Berufswegen. 100% Auslastung gibts dort 4free.
Welchen 2k3 Server hast Du installiert? R2 oder noch den alten?

Gast
2009-09-18, 08:31:58
:confused:

In 5 Sekunden kann man checken ob das System Conficker infiziert ist. Der TS macht 3 Tage rum um das Temp-Verzeichnis zu löschen und 3 Dienste zu deaktivieren...

Ich bin raus hier. Is mir einfach zu blöd. Jemand der (auch wenns nur Nebenberuflich ist) Geld für die Wartung von ein paar PCs + nem Server kassiert und sich so anstellt...

Ich habe all deine Vorschläge doch schon längst versucht, doch auch hier wurde nie etwas gefunden. Wenn die genannten Suchmethoden für den Conficker sehr gut sind hat der Rechner auch keinen. Weitere empfohlene Software habe ich auch getestet, alles ohne Erfolg. Ich kann auch viruslist.com oder kaspersky.com ohne Probleme aufrufen. Offline Scan über eine Live-CD von Avira oder Kaspersky und auch Knoppix bzw. Suse-Live geht nicht da all diese Programme den Raid-Controller nicht erkennen.
Im c:\windows\temp Ordner liegen keine Dateien mehr, welche soll ich dann auf www.virustotal.com testen?

Ich bin euch echt Dankbar für die Ratschläge! Bitte habt aber Verständnis das ich nicht immer sofort alle Ergebnisse posten kann weil ich hier nicht jede 30min reinschaue. Alle Tipps werden natürlich immer ausgeführt!

Server ist ein HP Proliant ML150 G6 mit einem HP Smart Array P410/256MB Controller und 2 Xeon 5500. Genug Leistung und ein guter Raid Controller sind also Vorhanden. Ich will nicht ausschliessen das was an der Hardware defekt ist allerdings ist es doch sehr unwarscheinlich!

Lokadamus
2009-09-19, 10:06:52
Im c:\windows\temp Ordner liegen keine Dateien mehr, welche soll ich dann auf www.virustotal.com testen?mmm...

Da must du gucken, ob die Dienste wieder "Module" nachladen wollen und dann schauen, ob du das Teil in die Hände bekommst. Mit Pech sind die Dateien auch hidden oder sowas, aber ich denke, das hast du im Windows Explorer eingestellt, dass du alle Dateien sehen kannst.

Du kannst ebenso dir mal den einen oder anderen PC schnappen und da mal einen Test laufen lassen.