PC wird ferngesteuert ?

#1 Hallo, habe folgendes Problem, seit ich XP + SP 2 vor 2 Wochen installiert habe:

Ich lasse seit dieser Zeit meinen PC mit IIS als Webserver laufen. Habe mich bei dyndns.org registriert und permanent die Software - Dynsite - zum Aktualisieren der DNS-Adresse laufen. Gleichzeitig läuft der AV-Guard von Antivir sowie Zonealarm Pro.
Seit einigen Tagen, wenn ich nach Hause komme und den Monitor einschalte, sind mehrere Programme gestartet oder Ordner geöffnet. Ich habe den PC nach Viren gecheckt, CW-Shredder und Adaware laufen gelassen und alle angezeigten Probleme gelöst.
Trotzdem starten wie eben erwähnt jeden Tag diverse Programme. Meine Tochter hat noch erwähnt, dass Sie letzte Woche gesehen hat, wie auch an ihrem PC der Mauszeiger ohne ihr Zutun auf - Start - gewandert ist und den PC abgemeldet hat. Auch auf ihrem PC habe ich nichts gefunden.
Die Remoteunterstützung in den Systemeigenschaften ist bei beiden Rechnern nicht aktiviert.

Hier mein HiJack-Log:

Logfile of HijackThis v1.97.7
Scan saved at 18:26:01, on 30.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\dllhost.exe
\?\C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
C:\Programme\DynSite\DynSite.exe
C:\Programme\Ad-Aware\Ad-Aware.exe
C:\Dokumente und Einstellungen\Tripstrilles\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DynSite] C:\Programme\DynSite\DynSite.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-8D54A7E8A790} (GDIChk Object) - http://www.microsoft.com/security/controls/GDI/0/GDIChk.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{4086BFB4-7162-467A-B203-DF00EA7C4665}: NameServer = 192.168.1.1

Wer kann mir aus dieser Misere raushelfen und Tips geben?

Danke, Grüße T.

#2 Waere interessant zu erfahren, ob dein Virenscanner etwas gefunden hat, und wenn ja was. So sieht dein Log sauber aus.

Schon mal an IIS alternativen gedacht, bzw alle Patches usw dafuer installiert?
__________
MfG Ralf
SEO-Spam Hunter

#3 Virenscanner hat gar nichts gefunden. Habe jetzt noch in Zonealarm bei - Dynsite - die Einstellung - als Server - gesperrt, könnte vielleicht auch von dieser Software kommen. Der Virenscanner zeigt diese .exe-Datei als Backdoor-Soft an. Aber das müsste eine Fehlermeldung sein, da ja die Aufgabe von Dynsite ist, sich beim Starten des PCs automatisch ins Internet einzuloggen, um meine empfangene DNS an dyndns.org weiter zu geben.

Was anderes fällt mir im Moment nicht ein.

Grüße, T

#4 @Tripstrilles
Zwar kann ich auch nichts verdächtiges im HJT-Log erkennen aber Du kannst mal zusätzlich auch mit ProcessExplorer nach versteckte Prozesse suchen.
Bei der Search-Option "non-ex" eingeben.

Gruß
Ajax

#5 Checke mal das Server-Log und führe Dir das noch zu Gemüte.
http://cert.uni-stuttgart.de/ms-iis5.php
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Vielen Dank erstmal für Eure Antworten, ziehe mir das morgen mal alles rein.

Welchen WebServer (kostenloser, weil ich eigentlich nur für mich privat eine Bilderdatenbank online schalten will) empfehlt ihr?

Grüße, Tripstrilles

--------------------------------------------------------
01.10.04

Einen schönen guten Morgen,
habe eben mal wieder meinen PC kontrolliert und diesmal waren wieder mehrere Programme gestartet, Explorerfenster geöffnet.
Scheinbar wurde auch versucht, mehrere Aktionen wiederholt auszuführen, da auch eine Fehlermeldung da war, dass die Funktion nicht möglich sei, da der Prozess von einem anderen Anwender schon benutzt wird (so ähnlich).

Ich blicke jetzt gar nicht mehr durch.

Spybot, Adaware, CW-Shredder, Antivir - alles negativ.
In Zonealarm überall die Serverfunktionen gesperrt, bis auf den IIS.

Schäden an meinen Daten konnte ich bisher nicht feststellen.

???????????

Grüße vom ratlosen und ratsuchenden Tripstrilles

#7 Hallo, soeben ist bei meiner Tochter der PC automatisch runtergefahren - kein Standby oder Ruhezustand -, und bei meinem PC, den ich jetzt mit Apache 2 als Webserver laufen habe, war die Startleiste an den oberen Bildrand verschoben und ein Ordner nochmals als Symbolleiste geöffnet.

Adaware - negativ -, Antivir - negativ -, CW-Shredder - negativ -, Spybot - negativ -.

Dies passiert nur, wenn ich meine IP-Adresse mit Dynsite an Dyndns.org übermittele und somit der Webserver von aussen sichtbar ist. Port 80 muss ich dafür ja im Router frei geben. Netbios über TCT/IP ist deaktiviert.

WIN XP SP 2, ZoneAlarm Security-Suite, eingeschränkt Benutzerrechte

Hier noch einmal das Hijack-Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:06:44, on 08.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Webserver\Apache2\bin\Apache.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\SQLLIB\bin\db2rcmd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRAMME\SQLLIB\bin\db2syscs.exe
C:\PROGRAMME\SQLLIB\bin\db2syscs.exe
C:\Programme\Apache Webserver\Apache2\bin\Apache.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Apache Webserver\Apache2\bin\ApacheMonitor.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\DynSite\DynSite.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Rainer Görgen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rainer/pixafe/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DynSite] C:\Programme\DynSite\DynSite.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter\THGuard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\WINDOWS\Java\bin\jusched.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Webserver\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4086BFB4-7162-467A-B203-DF00EA7C4665}: NameServer = 192.168.1.1

Bisher konnte mir keiner weiter helfen. Irgend etwas muss doch auf meinem Rechner faul sein, sonst müssten diese Aktionen ja bei jedem passieren, der seinen PC als Webserver laufen hat.

??????????????????????? - Hilfe -

#8 Was ist mit der db2rcmd.exe
(Der DB2 Remote Command Service (db2rcmd.exe) führt die administrative Kommunikation zwischen Knoten automatisch aus.)
Zur db2rcmd.exe (Version prüfen): http://www.security-gui.de/article.php?sid=3897

Auf welchem Stand ist der Apache-Server ?
http://secunia.com/advisories/11841/

Checke mal dein Log bei www.hijackthis.de und prüfe alle Dateien, die mit einem "?" markiert sind bei
http://www.kaspersky.com/remoteviruschk.html. Auch jene, die Du als "sicher" vermutest.
Dein Server ist sofern online immer erreichbar/auffindbar; Portscans auf Port 80 sind keine Seltenheit, da jede Menge verwundbare Webserver auffindbar sind. Exploits gibt es für nahezu jeden ernsthaften Bug. Von daher kann ich mir die Erklärung mit DynDNS nicht recht vorstellen. Es ändert nicht viel, außer dass dein Server über einen Domainnamen ansprechbar ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Hallo, danke für die Antworten. Ich glaube ich hab das Problem gelöst. Habe irgendwo hier im Forum mal gelesen, dass auch jemand ein ähnliches Problem mit geöffneten Fenstern hatte. Hier war der Maustreiber das Problem, der nicht mit WinXP kompatibel war. Nachdem ich vor ein paar Tagen selbst mit Ansehen konnte, dass der Mauszeiger ruckend über den Bildschirm fuhr und Explorer-Fenster und Ordner-Fenster eigenmächtig öffnete, habe ich mich wieder daran erinnert und die Funkmaus - Logitech Cordless Mouseman Pro - deaktiviert. Seit diesem Zeitpunkt ist Ruhe auf meinem PC. Ich muss noch hinzufügen, dass ich sowieso seit über 6 Jahren nur mit meinem Wacom Art Pad den Mauszeiger bediene und nur selten die normale Maus brauche.
Eine Fernbedienung kann ich eigentlich auch ausschließen, da die Internetsperre von Zonealarm aktiviert war und mein PC abgeschottet war.

Grüße, Tripstrilles

#10 ...der Maustreiber als "Täter"....da hätte man lange rätseln können.

Zitat

Eine Fernbedienung kann ich eigentlich auch ausschließen, da die Internetsperre von Zonealarm aktiviert war...

Senkt die wahrscheinlich eines Eingriffes von außen....aber seit wann sind Desktop-Firewalls perfekt ? .
__________
Durchsuchen --> Aussuchen --> Untersuchen