Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Wildehorde · 20.11.2007, 07:01

Hallo zusammen

Ich habe mir einen Root Server ( Windows 2003 WebeEdition mit Plesk ) zugelegt, vor 4 Wochen , der Kackt andauernd ab . Ich weiß nicht mehr weiter. Ich habe dann das Programm HijackThis drüber laufen lassen .

Das sind die Daten , hoffe mal das es so ok ist .

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\copSSH\bin\cygrunsrv.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\copSSH\bin\sshd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\SWSoft\Plesk\kav\kavsvc.exe
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MELSC.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEMTA.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOC.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOPS.EXE
C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MESMTPC.EXE
C:\Program Files\SWSoft\Plesk\Databases\MSDEMSSQL\Binn\sqlservr.exe
C:\Program Files\SWSoft\Plesk\Databases\MySQL\bin\mysqld-nt.exe
C:\Program Files\SWSoft\Plesk\dns\bin\named.exe
C:\Program Files\SWSoft\Plesk\admin\bin\plesksrv.exe
C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
C:\Program Files\SWSoft\Plesk\Additional\Tomcat\bin\tomcat5.exe
C:\Program Files\SWSoft\Plesk\admin\bin\PopPassD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SWSoft\Plesk\admin\bin\PleskControlPanel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\FileZilla Server\FileZilla Server Interface.exe
C:\Program Files\SWSoft\Plesk\admin\bin\traymonitor.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\SWSoft\Plesk\admin\bin\stunnel.exe

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.googel.de/
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3153507152-341512085-1996815031-1029\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SvcCOPSSH')
O4 - HKUS\S-1-5-21-3153507152-341512085-1996815031-1029\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SvcCOPSSH')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Plesk Services Monitor.lnk = C:\Program Files\SWSoft\Plesk\admin\bin\traymonitor.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O15 - ESC Trusted Zone: http://mozilla.mirrors.easynews.com
O15 - ESC Trusted Zone: http://mozilla.mirror.facebook.com
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://mozilla.mirror.ac.za
O15 - ESC Trusted Zone: http://www.mozilla-europe.org
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://ftp-mozilla.netscape.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149752800553
O17 - HKLM\System\CCS\Services\Tcpip\..\{0673A16C-CDF7-421B-BF9D-3B81CE643089}: NameServer = 213.186.33.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A2BDFF3-C114-4C4E-B7B0-7426644239A8}: NameServer = 10.48.100.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{57444DEA-D812-427C-8161-4C82CA47CEE3}: NameServer = 10.48.100.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0673A16C-CDF7-421B-BF9D-3B81CE643089}: NameServer = 213.186.33.99
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Openssh SSHD (copSSHD) - Unknown owner - C:\Program Files\copSSH\bin\cygrunsrv.exe
O23 - Service: DrWebCom - Doctor Web Ltd. - C:\Program Files\SWSoft\Plesk\DrWeb\drwebcom.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Kaspersky Antivirus TM (kavsvc) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\kav\kavsvc.exe
O23 - Service: MailEnable List Connector (MELCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MELSC.EXE
O23 - Service: MailEnable Mail Transfer Agent (MEMTAS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEMTA.EXE
O23 - Service: MailEnable Postoffice Connector (MEPOCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOC.EXE
O23 - Service: MailEnable POP Service (MEPOPS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MEPOPS.EXE
O23 - Service: MailEnable SMTP Connector (MESMTPCS) - MailEnable Pty Ltd - C:\Program Files\SWSoft\Plesk\Mail Servers\Mail Enable\Bin\MESMTPC.EXE
O23 - Service: MySQL Server (MySQL) - Unknown owner - C:\Program Files\SWSoft\Plesk\Databases\MySQL\bin\mysqld-nt.exe
O23 - Service: Plesk Name Server (named) - Unknown owner - C:\Program Files\SWSoft\Plesk\dns\bin\named.exe
O23 - Service: Plesk Control Panel Service (PleskControlPanel) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\PleskControlPanel.exe
O23 - Service: Plesk Management Service (plesksrv) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\plesksrv.exe
O23 - Service: Plesk PopPass Service (PopPassD) - SWsoft, Inc - C:\Program Files\SWSoft\Plesk\admin\bin\PopPassD.exe
O23 - Service: SiteBuilder for Windows Hosting Service (SBPreviewHost) - SWSoft Inc. - C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
O23 - Service: SiteBuilder for Windows Updater Service (SBUpdater) - SWSoft Inc. - C:\Program Files\SWSoft\Plesk\SiteBuilder\HostingService\Bin\HostingService.exe
O23 - Service: Plesk SSL Wrapper Service (stunnel) - Unknown owner - C:\Program Files\SWSoft\Plesk\admin\bin\stunnel.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Program Files\SWSoft\Plesk\Additional\Tomcat\bin\tomcat5.exe

Ich bekomme immer Mails : Running task: C:\Program Files\SWSoft\Plesk\admin\bin\statistics.exe
ich Starte es auch dann immer , dann habe ich eine fehler Meldung w3wp ist off.

Wenn ich den Task-Manageran mache , dann habe ich fast eine 100 % auslastung durch das program
cidaemon.exe , das läuft auch komicher weise 2 mal .

Es wäre toll wenn mir einer Helfen könnte .

gruß Wilde

cosinus · 20.11.2007, 18:05

Sry, aber brauchst du wirklich einen Rootserver? Ich habe den Eindruck du bist damit ein wenig überfordert und das kann ganz schön gefährlich werden. Wenn das Teil nämlich wegen mangelnder Absiherung kompromittiert wird und in ein Botnetz gelangt, könntest du ziemlich schnell massive Probleme bekommen, z.B. Schadensersatzforderungen von geschädigten Firmen.

Wenn du einen Root hast, bist du selbst voll und ganz für diesen auch verantwortlich!

Zitat:

Wenn ich den Task-Manageran mache , dann habe ich fast eine 100 % auslastung durch das program
cidaemon.exe , das läuft auch komicher weise 2 mal .

Knips den Indexdienst unter services.msc mal aus. Beobachte dann ob das Problem immer noch besteht.
Desweiteren wäre ein vollständiges, unverfälschtes Logfile erforderlich. Im bisherigen seh ich aber keine Schädlinge.

Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Log-Analyse und Auswertung: Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet

Ähnliche Themen: Habe mir einen Root zugelegt vor 4 wochen , in der zeit 114 mal rebootet