Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden
 

Hallo zusammen,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!

Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.

Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?

Logfile mit Hijackthis habe ich natürlich schon erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = httxxp://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = httxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = httxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = httxxp://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=httxxp://companyweb
O15 - ESC Trusted Zone: httxxp://download.eset.com
O15 - ESC Trusted Zone: httxxp://www.eset.de
O15 - ESC Trusted Zone: httxxp://www.google.de
O15 - ESC Trusted Zone: httxxp://www.hijackthis.de
O15 - ESC Trusted Zone: httxxp://runonce.msn.com
O15 - ESC Trusted Zone: httxxp://*.windowsupdate.com
O15 - ESC Trusted Zone: httxxp://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1238665590687
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

--
End of file - 5496 bytes

Hallo und :hallo:

Eher würde mich erstmal interessieren, wie der Server und das Netzwerk an sich abgesichert sind.

Außen:
Firewall? Router? Welche Regeln, welche Dienste sind wie von außen erreichbar?

Innen:
Haben die Benutzer an ihren Workstations alle eingeschränkte Rechte? Oder gibt es gar welche mit Domänen-Adminrechten??
Wie viele Workstations sind da überhaupt in etwa drangeklemmt, kommt es vor, dass sich die Kollegen ihre eigenen Notebooks mitbringen und ans Firmennetzwerk klinken?

Danke für die Begrüßung!

Nach Außen abgesichert ist das Netzwerk mit einer Hardwarefirewall (konfigurierter Cisco Router) Nach außen erreichbar ist nur der Dienst für das externe Exchange also auch „http“

Die Benutzer der Workstation haben Rechte für ihr Homeverzeichnis sowie ein Datenlaufwerk, der Chef des Ladens hat auf seinem Rechner lokale Admin Rechte. Das Büro hat 6 Mitarbeiter mit 10 Rechnern, davon 4 Notebooks die ins Firmennetz dürfen.

Also von außen quasi nur Outlook Webaccess? Per https oder http? :)
Patchstand vom IIS?
Taucht irgendwas interessantes im Firewall-Log auf?
Kannst Du vllt auch mal ein Screenshot der "komischen" Dienste machen wenn Du in services.msc (oder eben in der Computerverwaltung) drin bist? Die Dienste werden übrigens auch in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services abgebildet, vllt findest Du dort innerhalb in den Ordnern mit den Namen der komischen Dienste auch noch sachdienliche Hinweise.

Hier ein Screenshot aus dem Process Explorer
http://architekt-frye.de/bild1.jpg

Passte nicht alles auf einen deswegen hier der zweite
http://architekt-frye.de/bild2.jpg

Und hier einmal ein Screenshot eines defekten Dienstes
http://architekt-frye.de/bild3.jpg


Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.

Aufgelistet sind das folgende Dienste:

Dienst 1: Siehe Screenshot oben

Dienst 2: [IMG]://architekt-frye.de/dienst1.jpg[/IMG]

Dienst 3: http://architekt-frye.de/dienst2.jpg

Dienst 4: Name: Ias Anzeigename: Ias

Dienst 5: Name: Iprip Anzeigename: Iprip

Dienst 6: Name: Irmon Anzeigename: Irmon


Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6


Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:

http://architekt-frye.de/service1.jpg


http://architekt-frye.de/service1.jpg


Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.

Existiert diese Datei noch? Wenn ja, bitte mal bei Virustotal auswerten und alle Ergebnisse posten.

Der \temp Ordner wurde schon längst von mir geleert kann da leider nichts mehr prüfen

Irgendwo muss da ne Schwachstelle sitzen, ich weiß nur noch nicht wo :(

• Firewall löchrig?
• Dienst(e) (von außen) verwundbar? SQL, IIS?
• von den übernommenen Daten Schädlinge dabei? Waren das nur Daten oder auch ausführbare Dateien?
• Angriffe von innen? (aus dem eigenen Subnetz! :eek:)
• Passwörter zu schwach? Wurden die geändert?!!

Oder was ganz anderes? :kaffee:
Es gibt da auch so Schädlinge wie den Sinowal, der den MBR befällt. Den hast Du doch neu geschrieben oder? Du kannst den jetzt zB mit dem MBR-Tool von GMER testen

Ein richtig neu aufgesetztes System kann eigentlich keine Schädlinge mehr haben :)