Heiko84
2009-09-15, 11:56:58
Hallo zusammen,
ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“
Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.
Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?
Logfile mit HijackThis habe ich natürlich schon erstellt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54 ...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69 ...
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“
Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.
Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?
Logfile mit HijackThis habe ich natürlich schon erstellt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54 ...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54 ...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69 ...
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe