Wie haben hier ein dickes Ding

#1 Hallo zusammen,

hier bei uns im Büro ist den Mist am Dampfen.

wir versuchen schon seit Freitag unser Netzwerk wieder in Gang zu bringen.

Die beiden Server sind wieder Wohl auf, nur die Clients nicht.

Am Anfang war in der Netzwerkumgebung nur die Domäne zu sehen, sonst nichts. Ein Server Admin hat gestern bis in die frühen Morgenstunden die Server wieder in mühevoller kleinarbeit zum laufen gebracht.

Wir habe einen Virus der eine VPN.exe startet und damit einen Dienst der VPNonDemand heitßt und sich nicht mehr abstellen läßt. Das Ding ist wie gesagt von den Servern verschwunden und nur noch auf den Cliens.

Notron meldet nichts.
Macafee onlinescaner meldet 2 Viren.

FURootkit
C:\WINNT\VPN.exe W32/Sdbot.worm.gen.w

Hijack meldet meiner Ansicht nach nichts.

Die Rechner lassen sich nicht am Server anmelden außer einer der keine Viren hat.
Die Rechner lassen sich auch nicht im abgesicherten Modus hochfahren, sie fanngen an einer bestimmten Stelle wieder neu an zu booten.

Hier das logfile.

Logfile of HijackThis v1.99.1
Scan saved at 16:38:52, on 16.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Dell\OpenManage\Client\ActionAgent.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
D:\Programme\NavNT\defwatch.exe
C:\DMI\WIN32\bin\DellDmi.exe
C:\Programme\Dell\OpenManage\Client\EventAgt.exe
C:\Programme\Dell\OpenManage\Client\DLT.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\NavNT\rtvscan.exe
C:\dmi\win32\bin\Win32sl.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\NavNT\vptray.exe
C:\WINNT\system32\ctfmon.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dörr\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vptray] D:\Programme\NavNT\vptray.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Verknüpfung mit Microsoft Office Outlook.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file://D:\Programme\AutoCAD 2000i Deu\InstFred.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.technical-investor.de/wpa/tsb/2.6.0.4/components/tsbt-2-6-0-4.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123234836484
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.60-deleon/GoogleNav.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://D:\Programme\AutoCAD 2000i Deu\AcDcToday.ocx
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} - http://www.autodesk.com/global/expressviewer/installer/ExpressViewerSetup_DEU.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2000i Deu\AcPreview.ocx
O16 - DPF: {F754A05B-0176-42F8-B366-488C5D80A3C4} (NeuerVersuch Control) - http://www.schadelohr.de/images/login.1449/runtime/CasysUpdater.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Matysik-Ingbuero.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{3615413D-5325-4756-83EF-1936325B402C}: NameServer = 192.168.0.20,217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Matysik-Ingbuero.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Matysik-Ingbuero.de
O18 - Protocol: bega - {A57721C9-B905-49B3-8BCA-B99FBB8C627E} - C:\Programme\Gemeinsame Dateien\BEGA\DatabaseTools.dll
O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - d:\Programme\DIALux\System\DLXToolBox.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: 3Com DMI Agent (3ComDMIService) - 3Com Corporation - C:\WINNT\System32\3Com_DMI\3CDMINIC.EXE
O23 - Service: ActionAgent - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\ActionAgent.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - D:\Programme\NavNT\defwatch.exe
O23 - Service: DellDmi - Dell Computer Corporation - C:\DMI\WIN32\bin\DellDmi.exe
O23 - Service: DEventAgent - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\EventAgt.exe
O23 - Service: DLT - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\DLT.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DocuWare Update Service (DWUpdate) - * - D:\Programme\DocuWare\Local\DWUpdate.exe
O23 - Service: Iap - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Programme\NavNT\rtvscan.exe
O23 - Service: Win32Sl - Intel - C:\dmi\win32\bin\Win32sl.exe

Wäre schön wenn hier jemand helfen könnte.

Gruß
Suffi

#2 Tja, ein Rootkit ist übel. Die Rechner nicht mehr an das Netzwerk anschließen! Außerdem überprüfen, ob der Server sauber ist. Anschließend Knoppix besorgen (kann man im Internet kostenlos herunterladen) und damit die PCs booten. Unter Knoppix dann alle wichtigen Dateien sichern und anschließend die PCs formatieren und Windows neu installieren. Außerdem sämtliche Passworte ändern, denn es ist gut möglich, dass ein Ami/Russe/Chinese/Jamaikaner oder sonstwer bereits diese Daten in den Händen hält und damit sonstwas anstellt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hi

das kann es ja nicht sein, es sind ca. 10 Rechner mit einer ganzen Menge Software, da sitze ich bestimmt 1 Woche dran.

Gruß
Suffi

#4 Nun, bekommst Du die Rechner noch gestartet? Ich habe es so verstanden, als dass Sie regelmäßig beim Versuch wieder neustarten. Um zu reinigen (und das ist bei einem Rootkit sehr schwer bis unmöglich) müsste man die PCs wenigstens im abgesicherten Modus starten können.

Ich verstehe ja Dein Unbehagen, aber so ist das manchmal. Es gibt Dinge, die kann man reparieren, und es gibt Dinge, die irreparabel sind.

Möglicherweise hat einer der anderen Experten hier noch eine Idee, aber ich bin der Meinung, dass da nichts mehr zu machen ist. Man könnte versuchen, mit der Windows-CD zu booten und das Betriebssystem zu reparieren. Aber ob das funktioniert, glaube ich nicht so ganz.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hi,

also die Rechner starten alle und arbeiten auch, sie lassen sich nicht an der Domäne anmelden. Über die UNC Pfade kann ich auf das Netzwerk zugreifen.

Die Rechner lassen sich nicht im abgesicherten Modus booten.

Suffi

#6 Ah, ok!
Dieser HJT-Log oben ist von einem der infizierten Rechner? Ich kann da nichts verdächtiges erkennen.

Lade UnHackMe: http://www.greatis.com/unhackme/download.htm

Das Ding kann einige Rootkits aufspüren und entfernen.

Weiterhin mache einen Scan mit eScan uns poste das Ergebnis (wie auf der Seite beschrieben).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Wenn es wirklich ein "reinrassiges" Rootkit ist, dann nutze mal F-secures Blacklight und Rootkit Revealer un wie schon vorgeschlagen eScan. Allerdings ist nicht gesagt, das du so alles finden kannst. Loesche die Dateien auch niht, sondern sichere Sie fuer nachtraegliche Untersuchungen, falls noetig.

Nachtrag: Beide Dinge Rootkit und ..bot rechtfertigen neu Aufsetzen, bzw rueckspielen eines (sicher vorhandenen?) Backups! Das aendern der Passworte und anderer Dinge gehoert natuerlich auch dazu!
__________
MfG Ralf
SEO-Spam Hunter