heiko84
Goto Top

Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden

Hallo zusammen,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!

Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.

Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?

Logfile mit HijackThis habe ich natürlich schon erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

Content-ID: 124965

Url: https://administrator.de/contentid/124965

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

Tobias-Azubi
Tobias-Azubi 15.09.2009 um 13:20:32 Uhr
Goto Top
Hi,

Hab deine Prozesse mal durch geschaut und bis jetzt nichts verdächiges gefunden.
Meistens schaue ich hier nach http://www.processlibrary.com . Aber tue dir selbst einen gefallen und lass die Seite auf Englisch, die deutschen Übersetzungen sind mehr als dürftig.

Als kleine Anmerkung fürs nächste mal: Poste keine internen IP's oder Domainnamen öffentlich im internet face-smile

MfG Tobias
Driver401
Driver401 15.09.2009 um 14:08:37 Uhr
Goto Top
Wenn ich das jetzt richtig verstanden habe, dann liegt Dein Problem darin, dass in der Liste der Dienste einige mit merkwürdigem Namen vorhanden sind, die aber nicht gestartet sind. Ansonsten läuft aber alles zu Deiner Zufriedenheit.
Ist das so richtig?

Hast Du die vorhandenen Dienste mal mit einer Liste der "üblichen" Dienste verglichen? Es gibt viele, die genau diesen Startbefehl nutzen. - Nicht, dass das ganz normale Dienste sind und lediglich die Anzeige (oder Namenseinträge) aus irgendeinem Grund zerschossen sind.


Zum ersten Problem wäre es schön zu wissen, welche Prozesse an der 100% CPU-Last verantwortlich waren um hier noch was dazu sagen zu können.
Jannik84
Jannik84 15.09.2009 um 16:30:57 Uhr
Goto Top
Derzeit läuft zwar alles aber ich nehme stark an das bald wieder der super Gau folgt und vorreiter sind diese komischen Dienste. Deswegen ersuche ich um Hilfe weil ich selber nicht mehr weiss wie ich das Problem lösen kann. Ich habe den Server jetzt nämlich schon 3 mal neu aufgesetzt und jedesmal kam der Fehler wieder.

Hier ein Screenshot aus dem Process Explorer

http://architekt-frye.de/bild1.jpg


Passte nicht alles auf einen deswegen hier der zweite

http://architekt-frye.de/bild2.jpg


Und hier einmal ein Screenshot eines defekten Dienstes

http://architekt-frye.de/bild3.jpg


Da der Server derzeit gut läuft kann ich den Prozess nicht durchgeben. Zurzeit sind nur die Dienste mit den komischen Namen aufgetaucht. Beim letzten mal war es aber zum Beispiel der Prozess "svchost.exe" der die Auslastung brachte.
Driver401
Driver401 15.09.2009, aktualisiert am 18.10.2012 um 18:39:21 Uhr
Goto Top
Zitat von @Jannik84:
Beim letzten mal war es aber zum Beispiel der Prozess
"svchost.exe" der die Auslastung brachte.

Und weiter? Welches Programm stand dahinter?
Du kannst nicht jedesmal einen Server neu aufsetzen wenn Du ein Problem hast. Offensichtlich hast Du ja intensiv nach Viren und Würmern gesucht und nix gefunden. Dann verabschiede Dich mal davon und geh die Sache richtig an.

Analysiere bei Auftreten von Serverlast, wodurch das verursacht wird. Du hast ja den Process Explorer und kannst das damit wunderbar feststellen.
Es kommt schon hin und wieder vor, dass es durch bestimmte Umstände zu einer 100% Prozessorlast von svchost.exe kommt. Früher gab es mal einen Bug beim automatischen Update. In dem Fall würde Wuauclt.exe die svchost.exe laden. Das würde ich auf dem Server sowieso abschalten, da hat IMHO nix automatisch zu passieren.
Abgesehen davon - Du bist doch auf dem aktuellsten Patchstand?

Zu den Diensten. Kannst Du die anfassen? Ich meine deaktivieren? Wenn sie eh nicht laufen?
Für mich sieht das nach Leiche aus. Da versucht irgendwas einen Dienst zu installieren oder anzustoßen und das klappt nicht.
Ich würd die erstmal deaktiveren oder gar löschen, falls machbar - und beobachten.
Logs im Auge haben und beobachten. Apropos Logs... Was sagt denn die Ereignisanzeige? Nur mal so nebenbei gefragt....

Falls nicht jemand einen konkreten Ansatzpunkt hat, wirst Du sonst nicht weiterkommen.

Gruß
Jürgen

Edit: Hier hab ich noch was gefunden, nur als Beispiel - könnts auch sein... könnt so viel sein...
alle 12 Sekunden 100% CPU-Last, SVCHOST, IP Verkehr zu falschem Server
Jannik84
Jannik84 15.09.2009 um 19:29:06 Uhr
Goto Top
In der Ereignisanzeige steht zwar der ein oder andere Fehler aber nichts was mich wirklich weiter bringt. Es tauchen Fehler zu den Diensten auf die ich angesprochen habe.

Beispiel:

Der Dienst "jigdqkmÉ" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Die Dienste habe ich jetzt deaktiviert, das ging auch. Wie würdest du einen Dienst komplett löschen?

Ich vermute aber wirklich, dass sich eine bösartige Software in Systemdateien gesetzt hat und selbst wenn ich die dienste weg habe sind die noch da.
geTuemII
geTuemII 15.09.2009 um 20:11:12 Uhr
Goto Top
Hallo Jannik,

und selbst wenn ich die dienste weg habe sind die noch da.
was möchte mir denn dieser Satz sagen?

Kannst du sagen, ob die Dienst "neu" sind oder ob die Darestellung eines vorhendenen Diestes in der Liste geschossen wurde? Dazu müsstest du eine alte Liste der Dienste ohne die "komischen" haben. Falls du die nicht hast, lese eine aus.

geTuemII
St-Andreas
St-Andreas 15.09.2009 um 21:17:41 Uhr
Goto Top
Hallo Heiko und schönen Gruß nach Münster,

an Deiner Stelle würde ich mal dringend professionelle Hilfe in Anspruch nehmen. Es kann doch keiner daran Interesse daran haben wenn ein produktiv genutzter Server andauern neu aufgesetzt werden muss oder was noch schlimmer ist als Viren-/Spamschleuder unterwegs ist. Übrigens gehe ich nicht davon aus das Du ein Virenproblem hast, allerdings würde ich an Deiner Stelle mal eine Offlineüberprüfung mit den üblichen Verdächtigen machen.

Dann würde ich Dir dringend raten Dich im Bereich "Strukturierte Fehlersuche" fit zu machen.


Gruß,
Andreas
Driver401
Driver401 16.09.2009 um 11:07:56 Uhr
Goto Top
Zitat von @Jannik84:
Wie würdest du einen Dienst komplett löschen?

Schau Dir das mal an, könnte Dir grundsätzlich weiterhelfen.
http://www.serverhowto.de/Applikationen-als-Dienste-einrichten.228.0.ht ...

Es gibt auch andere Tools die sowas können - ich benutze z.B. DameWare zur Remoteverwaltung, das kann das auch.


Ansonsten auch von mir nochmal der Hinweis auf den Vergleich der Diensteliste mit einer "Originalliste" - bzw. der Überprüfung auf notwendige Dienste. Ich seh da beispielsweise in Deiner Liste den Irmon - für Infrarotübertragung. Wenn sowas nicht genutzt wird - deaktivieren.
Zur Ereignisanzeige - jeder Fehler kann einen kleinen Hinweis geben. Überprüfe auch die Log-Einstellungen und erweitere das notfalls, damit mehr geloggt wird.

Und letztendlich solltest Du natürlich noch die Sicherheit im Auge haben. Nicht, dass Du hier remote irgendwelche Sachen "anziehst"...
Sind beispielsweise die Workstations komplett auf Viren, Würmer, etc. gecheckt und laufen dort Scanner mit?
Wie schauts mit der Netzwerksicherheit aus - Firewall, Routersicherheit, etc.

"Strukturierte Fehlersuche" ... ja genau.

Gruß
Jürgen
Jannik84
Jannik84 16.09.2009 um 13:57:20 Uhr
Goto Top
Die Option einen offlinescan durchzurühren habe ich schon hinter mir, leider ebenfalls ohne Erfolg!

In Sachen Strukturierte Fehlersuche bin ich jetzt auf Hilfe angewiesen und ich hoffe das mir hier ein Schubs in die richtige Richtung gegeben wird.

Leider kann ich nicht sagen ob die Dienste neu sind. Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.

Aufgelistet sind das folgende Dienste:


Dienst 1: Siehe Screenshot oben

Dienst 2: http://architekt-frye.de/dienst1.jpg

Dienst 3: http://architekt-frye.de/dienst2.jpg

Dienst 4: Name: Ias Anzeigename: Ias

Dienst5: Name: Iprip Anzeigename: Iprip

Dienst 6: Name: Irmon Anzeigename: Irmon


Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6


Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:

http://architekt-frye.de/service1.jpg

http://architekt-frye.de/service2.jpg

Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.
St-Andreas
St-Andreas 16.09.2009 um 14:03:08 Uhr
Goto Top
Was macht der NetWareClient denn da?
Jannik84
Jannik84 16.09.2009 um 14:05:18 Uhr
Goto Top
Kann ich nicht sagen, habe kein Netware im Einsatz wird aber sicher Standartmäßig bei dem Betriebssystem bei sein?
St-Andreas
St-Andreas 16.09.2009 um 14:08:55 Uhr
Goto Top
Zitat von @Jannik84:

Kann ich nicht sagen, habe kein Netware im Einsatz wird aber sicher
Standartmäßig bei dem Betriebssystem bei sein?

Nein.
Driver401
Driver401 16.09.2009 um 14:33:23 Uhr
Goto Top
Ähem...

IPRIP: http://support.microsoft.com/default.aspx?scid=kb;DE;314056
oder: http://www.windows-fehler.de/windows-netzwerk-tools-rip-t216.html

IAS: http://www.microsoft.com/windows/windows2000/de/server/help/sag_ias_dep ...

IRMON erwähnte ich schon... Infrarot-Übertragungsdienst


Bist Du sicher, dass Du weißt, was Du da tust und installiert hast?
Ich mein ja nur.
geTuemII
geTuemII 16.09.2009 um 14:44:15 Uhr
Goto Top
Hallo Jannik,

unter C:\windows\temp\ixp000.tmp findet sich eine Datei ceshi600.exe, die würde ich mal ansehen (siehe service2.jpg)

geTuemII
Jannik84
Jannik84 17.09.2009 um 09:22:35 Uhr
Goto Top
Den Ordner C:\Windows\temp habe ich jetzt schon komplett gelöscht kann da also nicht mehr nachschauen.

Ich habe neben Eset und SQL nichts zusätzliches installiert, soviel ist sicher. Ich weiss aber mittlerweile wirklich nicht mehr was ich tue ^^
St-Andreas
St-Andreas 17.09.2009 um 10:01:24 Uhr
Goto Top
Wie gesagt, such Dir jemanden der weiss was er tut.

Seine Grenzen zu erkennen ist der erste und wichtigste Schritt um etwas "richtig" zu tun....