Ich habe einen DNS Server (Win2k server) in einer NT Domäne. Dieser wurde von Conficker befallen und mittels verschiedener Tools versucht zu bereinigen.
Danach wurde der DNS-Server neu installiert, mit allen Windows Updates und AVG versehen und wieder in die Domäne gehoben. Nach kurzer Zeit hat AVG eine Datei mit Conficker Muster im system32 angezeigt und diese war auch mit svchost verlinkt.
habe jetzt ma hijack this laufen lassen, kann aber nicht wirklich was rauslesen aus dem log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:09, on 26.10.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\sfmsvc.exe
C:\WINNT\System32\sfmprint.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256550420826
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256552308526
O17 - HKLM\System\CCS\Services\Tcpip\..\{C21E9EEC-C8FD-48D9-BC25-F1F832BC2BFE}: NameServer = 192.168.3.227
O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 2767 bytes

danach hab ich noch den GMER durchlaufen lassen, in der hoffnung mehr zu erkennen:

Zitat:

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-26 15:14:28
Windows 5.0.2195 Service Pack 4
Running: gvxcqcxl.exe; Driver: C:\DOKUME~1\ADMINI~1.DOM\LOKALE~1\Temp\aftdipob.sys


---- User code sections - GMER 1.0.15 ----

.text C:\WINNT\System32\svchost.exe[540] ntdll.dll!NtQueryInformationProcess 778888CC 5 Bytes JMP 079D9DD2
.text C:\WINNT\System32\svchost.exe[540] NETAPI32.dll!NetpwPathCanonicalize 7CE2F85D 5 Bytes JMP 079D9D72

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs Dfs.sys (Windows NT Distributed File System Driver/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \FileSystem\Fastfat \Fat Dfs.sys (Windows NT Distributed File System Driver/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINNT\system32\svchost.exe (*** hidden *** ) [AUTO] nxgeitsws <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@DisplayName Center Update
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an Programme weiter.
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws\Parameters@ServiceDll C:\WINNT\system32\eifuwte.dll

---- EOF - GMER 1.0.15 ----

Trotz löschen des Files und des Reg Schlüssels taucht das File immer wieder auf...

Hallo und

Zitat:

Dieser wurde von Conficker befallen und mittels verschiedener Tools versucht zu bereinigen. Danach wurde der DNS-Server neu installiert,

Was heißt "versucht zu bereinigen", mit welchen Tools habt ihr da gewerkelt, was wurde genau gemacht?
Habt Ihr den W2K-Server formatiert und neu installiert?
Wenn ja, hast Du zuerst alle Updates eingespielt, und den dann erst wieder ans Netzwerk gehangen?

Wie ist der Rechner im Netzwerk integriert, hängt der nur im lokalen Netz oder hat der auch eine (direkte!?) Internetverbindung?

Hast Du sichergestellt, dass alle Rechner in Deinem Netzwerk sauber sind? Womöglich ist nämlich in Eurem Netzwerk immer noch eine Station mit Conficker verseucht und befällt verwundbare Rechner.

Du solltest unbedingt die Quelle des Befalls dingfest machen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Datei (sofern diese noch existiert bzw. sichtbar ist) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\eifuwte.dll
         

Hallo cosinus,

Vielen Dank erstmal für die Antwort

Zitat:

Zitat von cosinus

Was heißt "versucht zu bereinigen", mit welchen Tools habt ihr da gewerkelt, was wurde genau gemacht?

d.exe
f-downadup.exe
kk.exe
stinger_conficker.exe
danach im regedit dem system und Administratoren die Vollzugriff-Berechtigungen entzogen
in den Gruppenrichtlinien Autoplay und das Erstellen neuer Tasks deaktiviert

Zitat:

Zitat von cosinus

Habt Ihr den W2K-Server formatiert und neu installiert?

ja

Zitat:

Zitat von cosinus

Wenn ja, hast Du zuerst alle Updates eingespielt, und den dann erst wieder ans Netzwerk gehangen?

ja

Zitat:

Zitat von cosinus

Wie ist der Rechner im Netzwerk integriert, hängt der nur im lokalen Netz oder hat der auch eine (direkte!?) Internetverbindung?

Domäne, aber keine direkte Internetverbindung

Zitat:

Zitat von cosinus

Hast Du sichergestellt, dass alle Rechner in Deinem Netzwerk sauber sind? Womöglich ist nämlich in Eurem Netzwerk immer noch eine Station mit Conficker verseucht und befällt verwundbare Rechner.

gut möglich, das noch infizierte Rechner im Netzwerk hängen, wir haben noch ein paar NT Rechner, auf denen die oben erwähnten Tools nicht laufen. Ist nur leider nicht möglich alle vom Netz zu nehmen, da die PC's benötigt werden.

Virustotal Auswertung kommt nach

Virustotal Auswertung:

Zitat:

a-squared 4.5.0.41 2009.10.29 Net-Worm.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.10.29 Win32/Conficker.worm.167324
AntiVir 7.9.1.50 2009.10.28 Worm/Conficker.L
Antiy-AVL 2.0.3.7 2009.10.27 Worm/Win32.Kido.gen
Authentium 5.1.2.4 2009.10.28 W32/Conficker!Generic
Avast 4.8.1351.0 2009.10.28 Win32:Confi
AVG 8.5.0.423 2009.10.28 I-Worm/Generic.CKH
BitDefender 7.2 2009.10.29 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.10.29 Worm.Conficker.b
ClamAV 0.94.1 2009.10.29 Worm.Kido-99
Comodo 2765 2009.10.29 NetWorm.Win32.Kido.ed
DrWeb 5.0.0.12182 2009.10.28 Win32.HLLW.Shadow.based
eSafe 7.0.17.0 2009.10.28 Suspicious File
eTrust-Vet 35.1.7088 2009.10.28 Win32/Conficker
F-Prot 4.5.1.85 2009.10.28 W32/Conficker!Generic
F-Secure 9.0.15370.0 2009.10.27 Worm:W32/Downadup.gen!A
Fortinet 3.120.0.0 2009.10.28 W32/Kido.ED!worm.im
GData 19 2009.10.29 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.72.0 2009.10.29 Net-Worm.Win32.Kido
Jiangmin 11.0.800 2009.10.26 Worm/Kido.s
K7AntiVirus 7.10.881 2009.10.27 Net-Worm.Win32.Downadup.fq
Kaspersky 7.0.0.125 2009.10.29 Net-Worm.Win32.Kido.ih
McAfee 5785 2009.10.28 W32/Conficker.worm.gen.a
McAfee+Artemis 5785 2009.10.28 W32/Conficker.worm.gen.a
McAfee-GW-Edition 6.8.5 2009.10.29 Worm.Conficker.L
Microsoft 1.5202 2009.10.29 Worm:Win32/Conficker.B
NOD32 4553 2009.10.28 a variant of Win32/Conficker.AA
Norman 6.03.02 2009.10.28 W32/Conficker.CN
nProtect 2009.1.8.0 2009.10.28 Worm/W32.Kido.167324
Panda 10.0.2.2 2009.10.28 W32/Conficker.C.worm
PCTools 4.4.2.0 2009.10.19 Net-Worm.Kido!sd6
Prevx 3.0 2009.10.29 High Risk Worm
Rising 21.53.31.00 2009.10.29 Hack.Exploit.Win32.MS08-067.ix
Sophos 4.46.0 2009.10.29 Mal/Conficker-A
Sunbelt 3.2.1858.2 2009.10.27 Worm.Win32.Downadup.Gen
Symantec 1.4.4.12 2009.10.29 W32.Downadup.B
TheHacker 6.5.0.2.056 2009.10.28 W32/Kido.ih
TrendMicro 8.950.0.1094 2009.10.29 WORM_DOWNAD.AD
VBA32 3.12.10.11 2009.10.27 Worm.Win32.kido.110
ViRobot 2009.10.29.2010 2009.10.29 Worm.Win32.Conficker.73000
VirusBuster 4.6.5.0 2009.10.28 Worm.Kido.HS
weitere Informationen
File size: 167324 bytes
MD5...: 7bb455ea4a77b24478fba4de145115eb
SHA1..: c3d4becb6dbf94e948f7a3a81a73507d99a762b4
SHA256: 7fb855a7a2d4a2e2be9c1b6a1a87ca57aa8fc927df628d48be54156661de70a5
ssdeep: 3072:1t71jK3BcHPJvFQPsCK3U7nEyewA4JSoOYM0hRbuJrbJAkio/7+F7Vxq:nm
kBFQPsCK3UwlwSoOahxuJrd/ioiBVs
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x456b
timedatestamp.....: 0x44856ffb (Tue Jun 06 12:07:23 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3614 0x3800 6.19 05cf61b2edfbbd59f940a059818dc6b3
.rdata 0x5000 0x78c 0x800 4.80 3624471a89e97ca899aa14b4a0978e71
.data 0x6000 0x10d50 0x10600 7.98 06946e00b2bfded4d7441cdac5c07fad
.reloc 0x17000 0xb0c 0xc00 6.13 7518d2c23792eac9f95611d391fce377

( 6 imports )
> KERNEL32.dll: LoadLibraryA, InterlockedDecrement, InterlockedExchangeAdd, GetProcAddress, GetUserDefaultLCID, GetSystemTimeAsFileTime, VirtualAlloc, VirtualProtect, VirtualQuery, GetTickCount, IsBadWritePtr, IsBadCodePtr, IsDBCSLeadByte, GetACP, Sleep, QueryPerformanceCounter, GetComputerNameA, GetProcessHeap, GetCurrentProcess
> USER32.dll: GetCursor, IsWindowUnicode, GetMenuContextHelpId, GetWindowRect, IsCharLowerA, GetWindowRgn, WindowFromDC, GetDlgItem, GetTitleBarInfo, GetWindow, GetWindowInfo, GetWindowThreadProcessId, IsZoomed, IsIconic, GetGUIThreadInfo, GetWindowPlacement, IsChild, IsMenu, SetLastErrorEx, InSendMessage
> ADVAPI32.dll: IsValidSecurityDescriptor, InitializeSecurityDescriptor, IsValidAcl
> MSVCRT.dll: _adjust_fdiv, malloc, _initterm, free, memmove, _memicmp, memchr, _swab, _memccpy, _CIasin, _set_error_mode, _CIpow, _CItanh, frexp, _pctype, _isctype, _hypot, ceil, __mb_cur_max, modf, _errno, _ltoa, rand, _CIfmod
> GDI32.dll: GetPixel, GdiGetBatchLimit, GetROP2, GetBitmapDimensionEx
> SHELL32.dll: DuplicateIcon, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
packers (Antiy-AVL): CrypToCrackPeProtector0.93
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7bb455ea4a77b24478fba4de145115eb' target='_blank'>http://www.threatexpert.com/report.aspx?md5=7bb455ea4a77b24478fba4de145115eb</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5839BC479CB067B28D4102B212C7A900C0058FBC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5839BC479CB067B28D4102B212C7A900C0058FBC</a>

Jo, eindeutig Conficker.
Ich denke, Du solltest den Server nochmal neu aufsetzen und komplett OFFLINE abdichten. Also erst alle denkbaren Patches einspielen, die anderen Richtlinien setzen, dann erst wieder ins Netzwerk setzen und in die Domäne bringen da, es Euch nicht möglich ist, die verseuchten NT4-Rechner vom Netz zu nehmen. Ist zwar nicht schön aber naja
Seht dann bald schleunigst zu, die verseuchten Arbeitsstationen zu entseuchen. Sonst packst Du das Problem nicht an der Wurzel.

das hab ich ja genau so gemacht

dh dann wohl:
a. daß wir diese Files erst los sind, wenn alle PC's entseucht bzw ausgetauscht sind
b. daß die Files trotz aller Updates und Verriegelungen erzeugt werden

windoof

leider nich ganz die Antwort die ich erhofft hatte, aber trotzdem vielen Dank

Wirklich alle? Auch den Conficker patch? Und alles offline, OHNE Netzwerkkabel angesteckt zu lassen?

yup, alle Updates und Patches die es auf der Windowsseite gab, alles offline ( offline von unserem System, haben wir mit nem USB-SIM-Stick gemacht)

Der USB-Stick war auch nicht befallen oder?
Autostart-Funktion abgestellt? Und der Rechner, von dem die Updatedateien geladen wurden, war doch auch hoffentlich sauber

nee, war so ein online umts stick und damit direkt auf die windows update seite

Ähm, dann hast Du das aber doch etwas anders gemacht als Du solltest bzw. wie ich meinte. Denn Du bist ja mit dem frisch aufgesetzten Server durch den Stick ja wieder ins Internet gegangen und das macht man nicht!!

0.) Alle relevanten Daten sind gesichert.
1.) Server von Original-Medien neu aufsetzen, Platte komplett neu partitionieren und formatieren.
2.) Von einer sauberen Station alle benötigten Updates laden, zB mit CT Offlineupdate. Oder Du lädst Dir manuell die Updates, die da wären:

a) Service Pack 4
b) Updaterollup 1 Version 2 für das SP4
c) alle Folgepatches zB von winhelpline.info.

und speicherst es auf einen sauberen USB-Stick um es auf dem Server zu übertragen.

Dann hat der Server wirklich alle Updates und dann solltest Du rel. gefahrlos auch wieder ins Netzwerk können.
Besser wäre es allerdings, erst die versifften Arbeitsstationen vom Netz zu nehmen.