| Elena Lauder | 24.02.2009 16:59 |
Auf dem Server SBS2003 blockt es mir alle Antivirenseiten
Hallo zusammen
Ich habe auf dem Server einen Virus, er blockt mir alle Microsoft und Antiviren Seiten.
Mit HijackThis habe ich keinen verdächtigen Eintrag gefunden.
Die Log habe ich hier überprüft und Ausgewertet: HijackThis Logfileauswertung
Alle andere Antiviren Tools funktionieren gar nicht mehr. Habe schon einige versucht zu starten.
Nur Malewarebytes funktionierte noch und der hat nichts gefunden.
"GMER" funktionierte auch noch, ich habe hier folgenden log: Code:
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-24 16:41:24
Windows 5.2.3790 Service Pack 2
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\system32\svchost.exe[832] ntdll.dll!NtQueryInformationProcess 7C94757F 5 Bytes JMP 00FDADCD
.text C:\WINDOWS\System32\svchost.exe[896] ntdll.dll!NtQueryInformationProcess 7C94757F 5 Bytes JMP 0210ADCD
.text C:\WINDOWS\System32\svchost.exe[896] NETAPI32.dll!NetpwPathCanonicalize 71A59511 5 Bytes JMP 0210AD64
.text C:\Programme\Exchsrvr\bin\store.exe[4180] kernel32.dll!TerminateProcess 7C802004 5 Bytes JMP 005E5FEC C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)
.text C:\Programme\Exchsrvr\bin\store.exe[4180] kernel32.dll!ExitProcess 7C8268F1 5 Bytes JMP 005E5FBD C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxParamW 77E296A9 5 Bytes JMP 4382F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxExW 77E3EE4A 5 Bytes JMP 439C16AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxIndirectParamW 77E46296 5 Bytes JMP 439C179F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxExA 77E642AD 5 Bytes JMP 439C16E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxParamA 77E6A0AF 5 Bytes JMP 439C1764 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!DialogBoxIndirectParamA 77E6A172 5 Bytes JMP 439C17DA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxIndirectA 77E77D40 5 Bytes JMP 439C1720 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[4732] USER32.dll!MessageBoxIndirectW 77E77E30 5 Bytes JMP 438516B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.14 ----
IAT C:\Programme\Exchsrvr\bin\exmgmt.exe[2244] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\exmgmt.exe[2244] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\mad.exe[2356] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\mad.exe[2356] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\store.exe[4180] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\store.exe[4180] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\events.exe[4740] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\events.exe[4740] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\WINDOWS\system32\wbem\wmiprvse.exe[4972] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\WINDOWS\system32\wbem\wmiprvse.exe[4972] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\System32\sbscrexe.exe (*** hidden *** ) [AUTO] SBCore <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ErrorControl 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ImagePath %SystemRoot%\System32\sbscrexe.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@DisplayName SBCore Service
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Description Bietet Basisserverdienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@DisplayName Manager Support
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Description Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Type 16
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ErrorControl 3
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ImagePath %SystemRoot%\System32\sbscrexe.exe
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@DisplayName SBCore Service
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Description Bietet Basisserverdienste.
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore\Security
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@DisplayName Manager Support
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Description Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll
---- Files - GMER 1.0.14 ----
File C:\Programme\Trend Micro\Client Server Security Agent\Temp\VSSDF46F.4K3 0 bytes
---- EOF - GMER 1.0.14 ----
Die Datei C:\WINDOWS\system32\lyxroxym.dll habe ich nicht gefunden.
Was nun, neu aufsetzen ist mühsahm, obwohl ich es dem Kunden empfohlen habe da es sich um einen Backdoor handelt.
Hat vielleicht jemand eine Idee wie ich das lösen kann ohne Neuaufsetzen.
Danke in voraus für jegliche Idee und vorschläge.
Namaste
Elena | 