Hallo zusammen,

ich habe ein kleines Netzwerk. Der Server läuft mit win2003 server.
Er ist File und Email Server. Seit zwei Tagen habe ich ein großes Problem.
Während des Starts tauchen Fehler auf, zum einem "secapp.dll bzw. netservice.exe hat einen Fehler verursacht. Ich habe dannach gegoogelt. Es gab sehr wenig darüber, aber zumindest soll es nichts gutes sein! (Hijackthis habe ich drüber geschickt und diverses entfernt.
Mir ist jedoch plötzlich eine merkwürdigkeit aufgefallen. unter Dokumente und Einstellungen, gibt es plötzlich ein Profil "Peter".
Nur es gibt keinen Benutzer in der Domäne der so heißt.
Zudem ist ein Programm installiert "Pacific Poker"
Es hat auch niemand zugang zu diesem Raum. Ist mein Server "gehackt" worden?

Ich wäre sehr dankbar, wenn ich mir eure Erfahrungen schildern würdet,
ich verstehe es einfach nicht wie kann das sonst sein.
Ich bekomme zwar ohne Ende Spam mit Würmern usw.
aber wenn doch niemand Code ausführt sollte das doch nicht passieren, oder?

Vorab noch schon mal Danke!


MFG

Marcus!

Was für Einträge hast du denn schon mit HijackThis entfernt? Poste bitte doch mal wenn du es noch hast, das Ursprungslogfile, wo noch alle Einträge drin sind, wenn nicht dann poste bitte ein aktuelles Logfile.
Vllt. machst du auch mal einen Check mit eScan für den Server, folge dem Link in meiner Signatur.

Ich hätte da aber auch noch in paar Fragen:

Wie in etwa ist bei dir das Netzwerk aufgebaut? Hängt der Server im Internet?
Wie sind sonst die Schutzmaßnahmen, hast du das Netzwerk durch einen Firewall-Rechner (m0n0wall, Router, was auch immer..) abgesichert?

Wie sieht der Patchlevel des Servers aus? Sind alle wichtigen Updates eingespielt worden?

Hallo!

erst am danke für deine Antwort!

hier ist mein log file,

Logfile of HijackThis v1.99.1
Scan saved at 16:33:17, on 27.07.07
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\dllcache\svchost.dll
C:\Programme\CA\BrightStor ARCserve Backup\DBENG.exe
C:\Programme\CA\SharedComponents\BrightStor\CADS\c asdscsvc.exe
C:\Programme\CA\BrightStor ARCserve Backup\jobeng.exe
C:\Programme\CA\BrightStor ARCserve Backup\msgeng.exe
C:\Programme\CA\BrightStor ARCserve Backup\caserved.exe
C:\Programme\CA\BrightStor ARCserve Backup\casmrtbk.exe
C:\Programme\CA\BrightStor ARCserve Backup\tapeeng.exe
C:\Programme\CA\BrightStor ARCserve Backup\cadiscovd.exe
C:\Programme\CA\SharedComponents\BrightStor\UniAge nt\UnivAgent.exe
C:\Programme\CA\BrightStor ARCserve Backup\Catirpc.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\David\APPS\DSERVER\CODE\DSERVER.EXE
C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
C:\David\APPS\REPLICA\CODE\REPLICA.EXE
C:\David\CODE\SL.EXE
C:\Programme\CA\BrightStor ARCserve Backup\RDS.EXE
C:\Programme\CA\BrightStor ARCserve Backup\caloggerd.exe
C:\David\tld\code\CAPI\tld.exe
C:\David\tld\code\CAPI\tld.exe
C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
C:\Programme\CA\SharedComponents\BrightStor\DBAcom mon\DBASVR.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\CA\iGateway\igateway.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\CA\BrightStor ARCserve Backup\Mediasvr.exe
C:\windows\security\secapp.dll
C:\Programme\CA\BrightStor ARCserve Backup\caauthd.exe
C:\WINDOWS\system32\netservice.exe
C:\WINDOWS\msagent\netmon.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\CA\BrightStor Backup Agent for Open Files\Ofant.exe
C:\Programme\CA\BrightStor ARCserve Backup Agent for Microsoft SQL Server\dbasqlr.exe
C:\WINDOWS\AntiTrojan.dll
C:\Programme\CA\BrightStor ARCserve Backup\LQServer.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\BrightStor ARCserve Backup\asalert.exe
C:\Programme\CA\BrightStor ARCserve Backup\LDBServer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Tobit Software ViProtect\TAVfD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStar**rayApp.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199 \HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Tobit AntiVirus for Desktops] "C:\Programme\Tobit Software ViProtect\TAVfD.exe" -HIDE
O4 - HKLM\..\Run: [GhostStar**rayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStar**rayApp.exe
O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe"

/StartedFromRunKey
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Abou**ime.lnk = C:\Programme\Abou**ime\Abou**ime.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = name.GMBH
O17 - HKLM\Software\..\Telephony: DomainName = name.GMBH
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BCD7098-5C8D-4C7B-9EB3-FAF3A3CAD735}: NameServer =

192.168.100.44,192.168.100.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = name.GMBH
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = name.GMBH
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: Localhost Service (Anti-V) - Cat Soft - c:\windows\system32\dllcache\svchost.dll
O23 - Service: Cosynus BlackBerry Connector (BlackBerry4Dv) - Unknown owner -

C:\WINDOWS\system32\srvany.exe
O23 - Service: CA BrightStor-Datenbankprozess (CASDBEngine) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\DBENG.exe
O23 - Service: CA BrightStor Discovery Service (CASDiscoverySvc) - Computer Associates -

C:\Programme\CA\SharedComponents\BrightStor\CADS\c asdscsvc.exe
O23 - Service: CA BrightStor-Jobprozess (CASJobEngine) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\jobeng.exe
O23 - Service: CA BrightStor-Nachrichtenprozess (CASMsgEngine) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\msgeng.exe
O23 - Service: CA BrightStor-Dienst-Controller (CASSvcControlSvr) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\caserved.exe
O23 - Service: CA BrightStor-Bandprozess (CASTapeEngine) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\tapeeng.exe
O23 - Service: CA BrightStor-Domänenserver (CASUnivDomainSvr) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\cadiscovd.exe
O23 - Service: CA BrightStor Universal Agent (CASUniversalAgent) - Computer Associates -

C:\Programme\CA\SharedComponents\BrightStor\UniAge nt\UnivAgent.exe
O23 - Service: CA-Server für Remote-Prozeduraufruf (CATIRPC) - Computer Associates -

C:\Programme\CA\BrightStor ARCserve Backup\Catirpc.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. -

C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. -

C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit

ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit

ClipInc\Server\ClipInc-Server.exe
O23 - Service: David Discussion Server (DavidDiscussionServer) - Tobit Software -

C:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: David Grabbing Server (DavidGrabbingServer) - Tobit Software -

C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: David Host (DavidHost) - Tobit Software - C:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: David Mail Access Server (DavidMailAccessServer) - Tobit Software -

C:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: David PBXpense (DavidPBXpense) - Tobit Software -

C:\David\Apps\pbxpense\code\pbxpense.exe
O23 - Service: David PostMan (DavidPostMan) - Tobit Software - C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: David Replica (DavidReplica) - Tobit Software - C:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: David Service Layer (DavidServiceLayer) - Tobit Software - C:\David\CODE\SL.EXE
O23 - Service: David Show Interface Services (DavidShowInterfaceServices) - Tobit Software -

C:\David\apps\showis\showis.exe
O23 - Service: David TLD 001 (DavidTLD001) - Tobit Software - C:\David\tld\code\CAPI\tld.exe
O23 - Service: David TLD 002 (DavidTLD002) - Tobit Software - C:\David\tld\code\CAPI\tld.exe
O23 - Service: David WebBox (DavidWebBox) - Tobit Software - C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: CA BrightStor Backup Agent RPC-Server (DbaRpcService) - Computer Associates -

C:\Programme\CA\SharedComponents\BrightStor\DBAcom mon\DBASVR.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost

2003\GhostStartService.exe
O23 - Service: iTechnology iGateway 3.0 (iGateway) - Computer Associates -

C:\Programme\CA\iGateway\igateway.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates -

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programme\McAfee\Common

Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan

Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan

Enterprise\VsTskMgr.exe
O23 - Service: Microsoft Security Monitoring Service (MSSecMonSrv) - Unknown owner -

C:\windows\security\secapp.dll
O23 - Service: Network Monitoring Service (NetMonSrv) - Unknown owner -

C:\WINDOWS\system32\netservice.exe
O23 - Service: TCP/IP Network Monitoring Service (Ne**cpSrv) - Unknown owner -

C:\WINDOWS\msagent\netmon.exe
O23 - Service: CA Backup Agent for Open Files (OpenFileAgent) - Computer Associates -

C:\Programme\CA\BrightStor Backup Agent for Open Files\Ofant.exe
O23 - Service: CA BrightStor BrightStor Backup Agent-Remote-Dienst (RemoteDbagent) - Computer Associates

- C:\Programme\CA\BrightStor ARCserve Backup Agent for Microsoft SQL Server\dbasqlr.exe
O23 - Service: Remote Controller (RpcCtr) - Unknown owner - C:\WINDOWS\AntiTrojan.dll
O23 - Service: Tcp-Ip Protocol (secapp) - Unknown owner - C:\WINDOWS\security\secapp.dll
O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\WINDOWS\system32\netservice.exe
O23 - Service: Tobit AntiVirus for Desktops Service (TAVFDService) - Unknown owner -

C:\PROGRA~1\TOBITA~1\TAVFDSrv.EXE (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\ORL\VNC\WinVNC.exe" -service (file

missing)


Windows Updates sind alle drauf, der Server hängt direkt am Gateway des Routers (dlink) DMZ aktiv.

Sollte ich da was ändern?

mfg

Marcus!

Also im Logfile seh ich da ein paar merkwürdige Kandidaten:

c:\windows\system32\dllcache\svchost.dll
C:\WINDOWS\AntiTrojan.dll
C:\WINDOWS\security\secapp.dll

Werte diese Dateien bitte onlinebei Virustotal aus und poste alle Ergebnisse inkl. Prüfsummen und Dateigrößen. Lass auch mal bitte das Tool Blacklight
über deinen Server laufen, poste auch davon das Logfile.

Zitat:

O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\WINDOWS\system32\netservice.exe

Hast du einen Serv-U FTP-Server-Dienst eingerichtet? Ist das gewollt?

Zitat:

Windows Updates sind alle drauf, der Server hängt direkt am Gateway des Routers (dlink) DMZ aktiv.
Sollte ich da was ändern?

Hm, das ist nicht so gut falls denn dadurch der Server im Internet direkt erreichbar wäre. Denn dann könnten Eindringlinge auch versuchen über in Windows standardmäßig offenen Ports (geöffnet für die Windows-Netzwerkdienste z.B.) sich in den Server zu hacken.

Kann es eigentlich sein, dass auf dem Server zwei verschiedene Virenscanner (also Wächter!) gleichzeitig laufen? Wenn ja solltest du das ändern, denn zwei Wächter gleichzeitig bremsen das System unnötig aus und können sich gegenseitig ins Gehege kommen.

ich danke dir sehr für deine hilfe!
ich werde morgen mehr posten!

mfg

Marcus!