Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2009, 11:17   #1
Heiko84
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Hallo zusammen,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!

Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.

Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?

Logfile mit HijackThis habe ich natürlich schon erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = httxxp://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = httxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = httxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = httxxp://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=httxxp://companyweb
O15 - ESC Trusted Zone: httxxp://download.eset.com
O15 - ESC Trusted Zone: httxxp://www.eset.de
O15 - ESC Trusted Zone: httxxp://www.google.de
O15 - ESC Trusted Zone: httxxp://www.hijackthis.de
O15 - ESC Trusted Zone: httxxp://runonce.msn.com
O15 - ESC Trusted Zone: httxxp://*.windowsupdate.com
O15 - ESC Trusted Zone: httxxp://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1238665590687
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

--
End of file - 5496 bytes

Geändert von Heiko84 (15.09.2009 um 12:15 Uhr)

Alt 15.09.2009, 21:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Hallo und

Eher würde mich erstmal interessieren, wie der Server und das Netzwerk an sich abgesichert sind.

Außen:
Firewall? Router? Welche Regeln, welche Dienste sind wie von außen erreichbar?

Innen:
Haben die Benutzer an ihren Workstations alle eingeschränkte Rechte? Oder gibt es gar welche mit Domänen-Adminrechten??
Wie viele Workstations sind da überhaupt in etwa drangeklemmt, kommt es vor, dass sich die Kollegen ihre eigenen Notebooks mitbringen und ans Firmennetzwerk klinken?
__________________

__________________

Alt 16.09.2009, 09:54   #3
Heiko84
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Danke für die Begrüßung!

Nach Außen abgesichert ist das Netzwerk mit einer Hardwarefirewall (konfigurierter Cisco Router) Nach außen erreichbar ist nur der Dienst für das externe Exchange also auch „http“

Die Benutzer der Workstation haben Rechte für ihr Homeverzeichnis sowie ein Datenlaufwerk, der Chef des Ladens hat auf seinem Rechner lokale Admin Rechte. Das Büro hat 6 Mitarbeiter mit 10 Rechnern, davon 4 Notebooks die ins Firmennetz dürfen.
__________________

Alt 16.09.2009, 22:00   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Idee

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Also von außen quasi nur Outlook Webaccess? Per https oder http?
Patchstand vom IIS?
Taucht irgendwas interessantes im Firewall-Log auf?
Kannst Du vllt auch mal ein Screenshot der "komischen" Dienste machen wenn Du in services.msc (oder eben in der Computerverwaltung) drin bist? Die Dienste werden übrigens auch in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services abgebildet, vllt findest Du dort innerhalb in den Ordnern mit den Namen der komischen Dienste auch noch sachdienliche Hinweise.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.09.2009, 09:18   #5
Heiko84
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Hier ein Screenshot aus dem Process Explorer


Passte nicht alles auf einen deswegen hier der zweite


Und hier einmal ein Screenshot eines defekten Dienstes



Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.

Aufgelistet sind das folgende Dienste:

Dienst 1: Siehe Screenshot oben

Dienst 2: [IMG]://architekt-frye.de/dienst1.jpg[/IMG]

Dienst 3:

Dienst 4: Name: Ias Anzeigename: Ias

Dienst 5: Name: Iprip Anzeigename: Iprip

Dienst 6: Name: Irmon Anzeigename: Irmon


Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6


Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:







Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.


Alt 17.09.2009, 10:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Code:
ATTFilter
c:\windows\temp\ixp000.tmp\ceshi600.exe
         
Existiert diese Datei noch? Wenn ja, bitte mal bei Virustotal auswerten und alle Ergebnisse posten.
__________________
--> Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden

Alt 17.09.2009, 16:05   #7
Heiko84
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Standard

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Der \temp Ordner wurde schon längst von mir geleert kann da leider nichts mehr prüfen

Alt 17.09.2009, 17:20   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Icon32

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden



Irgendwo muss da ne Schwachstelle sitzen, ich weiß nur noch nicht wo
  • Firewall löchrig?
  • Dienst(e) (von außen) verwundbar? SQL, IIS?
  • von den übernommenen Daten Schädlinge dabei? Waren das nur Daten oder auch ausführbare Dateien?
  • Angriffe von innen? (aus dem eigenen Subnetz! )
  • Passwörter zu schwach? Wurden die geändert?!!

Oder was ganz anderes?
Es gibt da auch so Schädlinge wie den Sinowal, der den MBR befällt. Den hast Du doch neu geschrieben oder? Du kannst den jetzt zB mit dem MBR-Tool von GMER testen

Ein richtig neu aufgesetztes System kann eigentlich keine Schädlinge mehr haben
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden
100%, 100% cpu, administrator, auslastung, cpu, e-mails, einstellung, eset nod32, explorer, frage, hijack, hijackthis, hkus\s-1-5-18, homepage, internet explorer, kaputt, lizenz, mssql, notification, problem, programme, prozesse, router, server, server 2003, software, start von windows, starten., super, svchost.exe, system, trojaner, trojaner?, virensoftware, virus, virus gefunden, windows



Ähnliche Themen: Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden


  1. Allerletzter Aufruf: Support für Windows Server 2003 endet
    Nachrichten - 14.07.2015 (0)
  2. Support-Ende bei Windows Server 2003 am 14. Juli
    Nachrichten - 24.06.2015 (0)
  3. Windows 2003 Server - Mindestens ein Dienst oder Treiber wurde beim Systemstart nicht gestartet
    Alles rund um Windows - 10.08.2012 (7)
  4. Windows 2003 Server Win32 HEUR Virus
    Log-Analyse und Auswertung - 11.07.2012 (1)
  5. AKM Virus Paysafecard zahle €50 auf Windows Server 2003
    Plagegeister aller Art und deren Bekämpfung - 27.06.2012 (9)
  6. Windows 2003 Server - Langsamer Zugriff
    Log-Analyse und Auswertung - 24.05.2011 (5)
  7. Virenmeldung Windows Server 2003 64 bit
    Log-Analyse und Auswertung - 31.03.2011 (3)
  8. Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job
    Log-Analyse und Auswertung - 08.04.2010 (3)
  9. PC zeigt komische Sachen, Virus,Trojaner oder Graka kaputt?
    Plagegeister aller Art und deren Bekämpfung - 11.11.2008 (5)
  10. PC zeigt komische Sachen, Virus,Trojaner oder Graka kaputt?
    Mülltonne - 09.11.2008 (0)
  11. Backup-Software für Windows Server 2003
    Alles rund um Windows - 23.05.2008 (2)
  12. hilfe internet verbindung funktioniert nich mehr...kein server oder DNS gefunden
    Log-Analyse und Auswertung - 31.10.2007 (6)
  13. Windows Server 2003 hat Virus->mit Netzwerkkabel->neustart beim bootvorgang
    Alles rund um Windows - 09.11.2005 (6)
  14. win 2003 server->exchange 2003->mailwurm im smtp ms5.hinet.de
    Plagegeister aller Art und deren Bekämpfung - 30.10.2005 (2)
  15. windows server 2003 - kein google möglich
    Plagegeister aller Art und deren Bekämpfung - 05.07.2005 (4)
  16. Setup Disketten für Windows Server 2003 Enterprice Edition
    Alles rund um Windows - 08.06.2003 (16)
  17. windows server 2003
    Alles rund um Windows - 13.04.2003 (20)

Zum Thema Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden - Hallo zusammen, ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter! Um das Problem genauer zu - Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden...
Archiv
Du betrachtest: Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.