Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Auf dem Server SBS2003 blockt es mir alle Antivirenseiten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2009, 16:59   #1
Elena Lauder
 
Auf dem Server SBS2003 blockt es mir alle Antivirenseiten - Standard

Auf dem Server SBS2003 blockt es mir alle Antivirenseiten



Hallo zusammen

Ich habe auf dem Server einen Virus, er blockt mir alle Microsoft und Antiviren Seiten.

Mit HijackThis habe ich keinen verdächtigen Eintrag gefunden.
Die Log habe ich hier überprüft und Ausgewertet:
HijackThis Logfileauswertung

Alle andere Antiviren Tools funktionieren gar nicht mehr. Habe schon einige versucht zu starten.
Nur Malewarebytes funktionierte noch und der hat nichts gefunden.

"GMER" funktionierte auch noch, ich habe hier folgenden log:
Code:
ATTFilter
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-24 16:41:24
Windows 5.2.3790 Service Pack 2


---- User code sections - GMER 1.0.14 ----

.text           C:\WINDOWS\system32\svchost.exe[832] ntdll.dll!NtQueryInformationProcess                                         7C94757F 5 Bytes  JMP 00FDADCD 
.text           C:\WINDOWS\System32\svchost.exe[896] ntdll.dll!NtQueryInformationProcess                                         7C94757F 5 Bytes  JMP 0210ADCD 
.text           C:\WINDOWS\System32\svchost.exe[896] NETAPI32.dll!NetpwPathCanonicalize                                          71A59511 5 Bytes  JMP 0210AD64 
.text           C:\Programme\Exchsrvr\bin\store.exe[4180] kernel32.dll!TerminateProcess                                          7C802004 5 Bytes  JMP 005E5FEC C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)
.text           C:\Programme\Exchsrvr\bin\store.exe[4180] kernel32.dll!ExitProcess                                               7C8268F1 5 Bytes  JMP 005E5FBD C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxParamW                                     77E296A9 5 Bytes  JMP 4382F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxExW                                       77E3EE4A 5 Bytes  JMP 439C16AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxIndirectParamW                             77E46296 5 Bytes  JMP 439C179F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxExA                                       77E642AD 5 Bytes  JMP 439C16E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxParamA                                     77E6A0AF 5 Bytes  JMP 439C1764 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxIndirectParamA                             77E6A172 5 Bytes  JMP 439C17DA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxIndirectA                                 77E77D40 5 Bytes  JMP 439C1720 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxIndirectW                                 77E77E30 5 Bytes  JMP 438516B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.14 ----

IAT             C:\Programme\Exchsrvr\bin\exmgmt.exe[2244] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW]     [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\exmgmt.exe[2244] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW]   [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\mad.exe[2356] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW]        [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\mad.exe[2356] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW]      [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\store.exe[4180] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW]      [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\store.exe[4180] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW]    [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\events.exe[4740] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW]     [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\Programme\Exchsrvr\bin\events.exe[4740] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW]   [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\WINDOWS\system32\wbem\wmiprvse.exe[4972] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW]    [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT             C:\WINDOWS\system32\wbem\wmiprvse.exe[4972] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW]  [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                           TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                         tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                      tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\System32\sbscrexe.exe (*** hidden *** )                                                               [AUTO] SBCore                                                                                                                                                                                                 <-- ROOTKIT !!!
Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                [AUTO] wpotz                                                                                                                                                                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Type                                                               16
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Start                                                              2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ErrorControl                                                       3
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ImagePath                                                          %SystemRoot%\System32\sbscrexe.exe
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@DisplayName                                                        SBCore Service
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ObjectName                                                         LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Description                                                        Bietet Basisserverdienste.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security                                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security@Security                                                  0x01 0x00 0x14 0x80 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@DisplayName                                                         Manager Support
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Type                                                                32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Start                                                               2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ErrorControl                                                        0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ImagePath                                                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ObjectName                                                          LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Description                                                         Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters                                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll                                               C:\WINDOWS\system32\lyxroxym.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@Type                                                                   16
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@Start                                                                  2
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@ErrorControl                                                           3
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@ImagePath                                                              %SystemRoot%\System32\sbscrexe.exe
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@DisplayName                                                            SBCore Service
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@ObjectName                                                             LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore@Description                                                            Bietet Basisserverdienste.
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore\Security                                                               
Reg             HKLM\SYSTEM\ControlSet002\Services\SBCore\Security@Security                                                      0x01 0x00 0x14 0x80 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@DisplayName                                                             Manager Support
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@Type                                                                    32
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@Start                                                                   2
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@ErrorControl                                                            0
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@ImagePath                                                               %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@ObjectName                                                              LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz@Description                                                             Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters                                                              
Reg             HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll                                                   C:\WINDOWS\system32\lyxroxym.dll

---- Files - GMER 1.0.14 ----

File            C:\Programme\Trend Micro\Client Server Security Agent\Temp\VSSDF46F.4K3                                          0 bytes

---- EOF - GMER 1.0.14 ----
         
Die Datei C:\WINDOWS\system32\lyxroxym.dll habe ich nicht gefunden.

Was nun, neu aufsetzen ist mühsahm, obwohl ich es dem Kunden empfohlen habe da es sich um einen Backdoor handelt.

Hat vielleicht jemand eine Idee wie ich das lösen kann ohne Neuaufsetzen.
Danke in voraus für jegliche Idee und vorschläge.

Namaste
Elena

Geändert von Elena Lauder (24.02.2009 um 17:20 Uhr)

Antwort

Themen zu Auf dem Server SBS2003 blockt es mir alle Antivirenseiten
aufsetzen, backdoor, computer, controlset002, explorer, handel, hijack, hijackthis, ieframe.dll, iexplore.exe, internet, internet explorer, kunde, log, microsoft, neu, neu aufsetzen, ntdll.dll, object, programme, registry, scan, security, seiten, server, svchost.exe, system, system32, temp, udp, virus



Ähnliche Themen: Auf dem Server SBS2003 blockt es mir alle Antivirenseiten


  1. Malware vor dem </body> auf mehreren Seiten meines Netzwerks entdeckt (alle auf gleichem Server)
    Plagegeister aller Art und deren Bekämpfung - 28.07.2015 (5)
  2. McAfee blockt alle paar minuten "loadit.exe"
    Log-Analyse und Auswertung - 27.02.2015 (11)
  3. Virus blockt alle Reinigungs/Scan Tools
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (9)
  4. Verdacht: Antivirenseiten nicht mehr ansurfbar
    Log-Analyse und Auswertung - 20.09.2013 (15)
  5. Zbot.ED Fund + ausgehende IP Aufrufe + AntivirenSeiten gesperrt
    Log-Analyse und Auswertung - 25.06.2013 (15)
  6. Alle Server gehackt !? JS, htaccess - http://habboigratis.altervista.org
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (3)
  7. IE öffnet automatisch und blockt alle weiteren Arbeiten
    Log-Analyse und Auswertung - 13.10.2012 (17)
  8. W32.katusha.BN blockt alle Scanner inlkusive Malwarebytes Anti-Malware
    Plagegeister aller Art und deren Bekämpfung - 21.09.2011 (5)
  9. Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (4)
  10. Zugriff auf Antivirenseiten etc. verweigert....
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (5)
  11. Blockierte Antivirenseiten
    Log-Analyse und Auswertung - 05.11.2009 (27)
  12. SystemSecrurity blockt fast alle Programe
    Plagegeister aller Art und deren Bekämpfung - 13.06.2009 (1)
  13. Trojaner blockt alle Programme Antivir auch!
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (6)
  14. Virus, der Antivirenseiten blockiert.
    Plagegeister aller Art und deren Bekämpfung - 24.02.2009 (13)
  15. Win32Backdoor.TDSS - Antivirenseiten und -Software wird blockiert
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (8)
  16. Komme auf keine AntiVirenSeiten und werde auf WerbeSeiten umgelenkt!
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (1)
  17. PC wird immer langsamer; NAV blockt aber angeblich alle Angriffe
    Log-Analyse und Auswertung - 30.06.2008 (3)

Zum Thema Auf dem Server SBS2003 blockt es mir alle Antivirenseiten - Hallo zusammen Ich habe auf dem Server einen Virus, er blockt mir alle Microsoft und Antiviren Seiten. Mit HijackThis habe ich keinen verdächtigen Eintrag gefunden. Die Log habe ich hier - Auf dem Server SBS2003 blockt es mir alle Antivirenseiten...
Archiv
Du betrachtest: Auf dem Server SBS2003 blockt es mir alle Antivirenseiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.