Ich besitze einen Server, der innerhalb eines Servernetztes angesiedelt ist. Der Systemadmin hat festgestellt, dass auf meinem Server immer wieder ein Programm versucht nach draußen zu telefonieren, was auf Grund der Firewall nicht geht.
Den virus würde ich gerne los werden. Habe HijackThis laufen lassen und folgendes Log erhalten. wer ist böse und muss gefixed werden?
Vielen Dank für Eure Mühe im Voraus!
Juttad

Logfile of HijackThis v1.97.7
Scan saved at 12:12:29, on 04.11.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\dmadmin.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\servicer.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\mdm.exe
C:\WINNT\system32\logon.scr
D:\inst progs von w\virenscanner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.***.**.**:yyyy
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = d***r.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = ***.***.**.**
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d****r.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = d****r.com

Servus, juttad!
Zuerst zum Logfile und Deinem BS

Zitat:

Logfile of HijackThis v1.97.7
Scan saved at 12:12:29, on 04.11.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Deine HJT Version ist uralt (mittlerweile 1.99.1), Dein BS ebenfalls (W2K SP4 ist dzt. aktuell) Damit hast Du schon einen Grund für Deine Probs.
Du hast einen Blaster Wurm http://securityresponse.symantec.com...er.c.worm.html an board. -->

Zitat:

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

Auch die Einträge

Zitat:

C:\WINNT\System32\servicer.exe
...
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe

verheißen nicht Gutes. Lass´ mal diese Datei bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder dekativiere temporär Dein PFW.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur.
Allein der Blaster lässt mich Dir nur das http://www.trojaner-board.de/showthread.php?t=12154 raten! Poste aber auf jeden Fall noch das Jotti-Ergebnis und ein aktuelle HJT Log
bis dann, stupormundi

hallo, stupormundi,
danke für deine antwort.
ich habe gerade den w32 blaster fixtool von symantec runter geladen und laufen lassen. die suche war nicht erfolgreich, es wude kein wurm gefunden.

beim checken der server.exe-datei ist ein fehler aufgetreten, habe also den task abgeschossen und jetzt ist die Datei aus dem Verzeichnis verschwunden.

Wo bekomme ich die neue Version von HiJackThis? werde gleich den Server mit den neuesten Updates von W2K beglücken.
hier das logfile:
Logfile of HijackThis v1.97.7
Scan saved at 13:07:57, on 04.11.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\dmadmin.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\mdm.exe
C:\WINNT\system32\logon.scr
D:\inst progs von w\virenscanner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xxx.xx.xx:yyyy
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = duecker.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = xxx.xxx.xx.xx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dxxxr.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dxxxr.com

Lese hier, da ist der Link:
http://www.trojaner-board.de/showthread.php?t=17493

Beachte beim Posten auch den Hinweis in meiner Signatur.

danke, felix1,

habe mir die neuese Version runtergeladen.
werde mir gleich ein neues logfile erstellen lassen, nachdem ich sp4 aufgespielt habe.

Hallo,
jetzt habe ich, glaube ich, von allen Programmen die neuesten Versionen aufgespielt und dann noch mal von HijackThis ein Logfile erstellen lassen und beigefügt.
Ist jetzt mein PC wieder sauber oder muss ich noch etwas machen?

Vielen Dank für Eure Mühen

Jutta D
Logfile of HijackThis v1.99.1
Scan saved at 16:57:09, on 04.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\logon.scr
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\inst progs von w\virenscanner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xxx.xx.xx:yyyy
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = duecker.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB8904EB-D567-42EB-9F0D-1159AF5FE7E5}: NameServer = xxx.xxx.xx.xx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d***r.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = d***er.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

Hallo,
beende mal diesen Prozess im Taskmanager:
C:\WINNT\system32\logon.scr
und überprüfe die zugehörige Datei hier

___________________________________
Ist das eigentlich normal das der Eintrag von der automatischen Auswertung einfach weggestrichen wird?
___________________________________
[Edit]
Die Datei scheint der normale Bildschirmschoner zu sein, aber warum läuft der während dem scan mit HijackThis?
[/Edit]

Grüße Wildone

Hi, Wildone,

im Taskmanager war ein Prozess unter dem Namen nicht zu finden, habe die Datei an der angegebenen Adresse Prüfen lassen: Ergebnis Sauber!

Was ist denn mit der Eintragung SERVICER.EXE, die stupormundi so verdächtig vorkam. Eine Datei mit diesem Namen habe ich nicht mehr in SYSTEM32 gefunden, nachdem ich den Prozeß im TASKMANAGER abgeschossen hatte.

Vielen Dank!
Juttad

Hallo,

Zitat:

nachdem ich den Prozeß im TASKMANAGER abgeschossen hatte.

Welchen Prozess?
Soweit ich sehe gibt es bei dir keinen Prozess der Servicer.exe heißt. Nur einen Eintrag im Autostart. Dieser Eintrag ist in der Tat verdächtig, aber wahrscheinlich ist die zugehörige Datei schon gelöscht worden.
Lass dein System mal sicherheitshalber von Escan (Anleitung sorgfältig lesen) untersuchen, und poste das Ergebnis wie in der Anleitung beschrieben(find.bat).


Grüße Wildone

Naja, im ersten Logfile war auch ein entsprechender Running process

Zitat:

C:\WINNT\System32\servicer.exe
...
O4 - HKLM\..\Run: [Winddows Servicer] servicer.exe
O4 - HKLM\..\RunServices: [Winddows Servicer] servicer.exe

und nicht nur der Autostart-Eintrag zu sehen - also zumindest zu diesem Zeitpunkt ist eine derartige Datei auch gelaufen - jetzt nicht mehr!?
@juttad: sry, hab´vergessen Dir auch den link zur Quelle für die neue HJT-Version zu posten.
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! (wie ja auch schon von wildone vorgeschlagen)
bis dann, stupormundi