Hallo

Ich bin neu hier und dachte deshalb ich könnte mal mein problem schildern

Also alles begann nach dem für heute 3 mal aufgesetzten Windows Server 2003. Ich habe vor dem Installieren alle Netzwerkkabel entfernt (somit kein Internet). Nach dem installieren hab ich folgendes Installiert

Sygate Firewall 5.5
Antivir Personal Classic

Nun als dies erfolgreich Installiert war, hab ich das internet wieder angeschlossen. Un sogleich kam die Meldung von AntiVir, dass ich folgenden Virus habe

Worm/Poebot.C.268 in der datei C:\Windows\lsass.exe

Ich hab dann zunächst mal zugriff verweigern gecklickt. Dies hat aber nicht geholfen (noch etwa 10 weitere gleiche meldungen).

bei der 10 hab ich in Quarantäne verschieben geklickt. nun war für etwa 5 minuten ruhe. Danach gings wieder los.

Ich hab den server 3 mal neu installiert weill ich zuvor (hab das internet drinn gelassen) gleich so um die 20 Viren hatte.

Nun hoffe ich, dass ihr mir weiterhelfen könnt.

Vielen Dank
grüsschen
Claudio

Hallo.

Wahrscheinlichste Infizierung: Sasser Wurm.

Mache folgendes:

-Erstelle ein HijackThis log und poste es hier.
-Update AntiVir.
-Lade dir sassgui.
-Ziehe alle LAN/I-Net Stecker.
-Lasse "sassgui" arbeiten.
-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.
-Konfiguriere AntiVir aggressiv.
-Wechsel in den abgesicherten Modus (F8 beim Hochfahren) und mache einen kompletten scan mit AntiVir. Lösche ALLES was gefunden wird.
-Dann arbeitest du die Anleitung aus meiner Signatur zu eScan/MWAVE ab und postest das logFile.
-Erstelle zu guter letzt ein neues HJT log und poste auch dies sowie eine Beschreibung ob und welche Probleme du noch hast.

Gruß und viel Erfolg

Undoreal

Ok Danke

also dann geh ich mal an die Arbeit

Also es ist folgendes passiert....

Ich habe alle schritte ausgeführt. Bei dem schritt mit dem sassgui kam jedoch die meldung, dass ich keine
Administratoren rechte hätte, obwohl ich mich mit dem Administrator angemeldet habe (also ich hab 100% admin rechte).
Erkannt hat das toll keinen einzigen Virus aber während des Scannen von sassgui, hat AntiVir wieder den selben Virus gemeldet in Lsass.exe
ich habe dann löschen ausgewählt, geklappt hats wohl nicht.

Und escan hat 7 Viren erkannt.

so nun hier die Logfiles
-----------------------------------Erstes HijackThis file-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 12:01:51, on 09.04.2007
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

---------------------------------------------------------------------------------------------
---------------------------------------EScan Log file-----------------------------------------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows [Version 5.2.3790]
Mon Apr 09 12:38:27 2007 => Version 9.1.8
Mon Apr 09 12:37:28 2007 => Virus-Datenbank Datum: 4/5/2007
Mon Apr 09 13:02:29 2007 => Virus-Datenbank Datum: 4/5/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 12:41:19 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:41:50 2007 => Datei C:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:48:01 2007 => Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Div.Downloads\vnc-4_1_2-x86_win32.exe//data0001 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:16 2007 => Datei C:\Programme\RealVNC\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Mon Apr 09 12:49:17 2007 => Datei C:\Programme\RealVNC\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 09 13:02:29 2007 => Gefundene Viren: 7
Mon Apr 09 13:02:29 2007 => Anzahl Fehler: 39
Mon Apr 09 13:02:29 2007 => Dauer des Scans bisher: 00:24:00
Mon Apr 09 13:02:29 2007 => Gescannte Dateien: 33624
Mon Apr 09 12:38:27 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 09 12:38:27 2007 => Überprüfung aller Festplatten :Aktiviert
----------------------------------------------------------------------------------------------

----------------------------noch das letzte Hijack this log file----------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 13:06:01, on 09.04.2007
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

-------------------------------------------------------------------------------------------


Bis jetzt wurde noch kein virus gemeldet aber dass kann noch kommen.....

So wie das aussieht kommst Du am Neuaufsetzen nicht drumherum. Dies solltest Du auch machen um auf Nummer Sicher zu gehen.

Ansonsten verschickt Dein "Gast" diverse Dateien oder Spam von Deinem Rechner aus.

Zitat:

So wie das aussieht kommst Du am Neuaufsetzen nicht drumherum.

warum das denn???? Sieht hier jemand einen Backdoorbefall? Dann bitte ich um Info.

Also hedie; du hast noch mehr zu tun. BItte alles wieder in Reinfolge ganz genau abarbeiten. Bei Fragen erst Boardsuche und google benutzen:

-Scanne deinen Rechner auf Rootkits->F-Secure Blacklight > BlackLight Testversion
-Lasse eScan noch einmal laufen.Diesmal lässt du das Häkchen bei "Scan only" weg. Dann sollte auf dem Button "Scan and Clean" erscheinen.
-Dann meldest du dich als admin an.Nicht nur Benutzerkonto mit admin Rechten.
-Nun schließt du AntiVir(beendest den Guard).
-Dann lasse "sassgui" laufen. Diesmal sollte es klappen.(Beachte das sassgui nicht mehr im abgesicherten Modus laufen sollte)
-Danach startest du den Rechner neu und machst einen kompletten scan mit AntiVir und danach einen mit SSW.
-Dann erstellst du ein neues HJT log (nicht aus dem abgesicherten MOdus sondern aus dem Normalen.. )

Gruß und viel Glück

Undoreal

Aber das ist ja das Problem

Neuaufsetzen nützt nichts...

Das hab ich jetzt sicher schon 5 mal gemacht doch der besteht weiterhin

Zitat:

Neuaufsetzen nützt nichts...

dann hast du es nicht richtig gemacht. Anleitung befindet sich in meiner Signatur. Allerdings sollte man bei Wurm Befall keinerlei Daten sichern.. Lag es vielleicht daran?

mfg
Undoreal

also so wie es aussieht ist der virus doch weg (keine meldungen mehr bekommen) aber nun hat es 2 neue "VIREN" auf jedenfall Heuristische meldunge die unbekannt sind

Die in zwei merkwürdigen dateien

beide im System32

yseqy.exe
mgxsewgl.exe

Zitat:

Zitat von hedie

Aber das ist ja das Problem

Neuaufsetzen nützt nichts...

Das hab ich jetzt sicher schon 5 mal gemacht doch der besteht weiterhin

Du musst für deinen Windows Server 2003 auch mindestens das SP1 offline installieren (SP2 wäre besser, ist seit ca. 3 Wochen draußen).

Zitat:

Du musst für deinen Windows Server 2003 auch mindestens das SP1 offline installieren (SP2 wäre besser, ist seit ca. 3 Wochen draußen).

dachte ich mir auch schon. Also mache das bitte und folge meiner Anleitung..

mfg

Undoreal

Zitat:

Zitat von hedie

also so wie es aussieht ist der virus doch weg (keine meldungen mehr bekommen) aber nun hat es 2 neue "VIREN" auf jedenfall Heuristische meldunge die unbekannt sind

Die in zwei merkwürdigen dateien

beide im System32

yseqy.exe
mgxsewgl.exe

Die Kiste ist verseucht, hier gibts nichts mehr zu retten. Setz den Server neu auf und spiel gleich offline das SP2 ein. Ggf. sind diese Infos für dich interessant.

ok werd ich machen....

Danke für eure hilfe

Undoreal schrieb :
"warum das denn???? Sieht hier jemand einen Backdoorbefall? Dann bitte ich um Info."

Ich halte die Kiste für verseucht, Du anscheinend nicht......
Man kann Du soviel wursteln wie man will, richtig sicher das alles wech ist, kann man sich nie sein. Dieses WIN VFC ist ein Dienstprogramm von AT&T Labors, Cambridge und kann kann böswillig verwendet werden. Es ermöglicht "VOLLEN" Zugriff auf den Rechner. Naja, und wenn man den Regeln dieses Forums folgen soll, empfiehlt es in diesem Fall immer das "Neuaufsetzen", oder irre ich mich jetzt schon wieder???

Jetzt sehe ich das auch so. Aber bis dort unten hin war davon noch nischts zu sehen..

Gruß

Undoreal