Sdbot.n und Rpcmon.exe

#1 Hallo Protecus-Team,

natürlich ist mein PC relativ gut gesichert (Router, Firewall, AV) aber ein Freund meinte mit einem komplett "offenen" Rechner via ISDN ins Internet gehen zu müssen - und nun sind die Probleme natürlich da:
Laut Hijackthis hat sich "SDBOT.N" eingenistet und "Rpcmon.exe" wurde geschrieben.
Hier in Eurem Forum habe ich zwar schon einiges über die exe finden können, da dies aber ein Arbeitsrechner ist und darauf sehr wichtige Daten sind (natürlich nicht gesichert...), würde ich gern sicher gehen möglichst richtig vorzugehen. Ich hoffe ihr könnt mir helfen.
Hijackthis-Protokoll:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 13:22:53, on 20.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\Rpcmon.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Virentest\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Javascript Class - {6E28339B-7A2A-47B6-AEB2-46BA53782373} - C:\WINNT\system32\dllcache\javascript.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [Microsoft Windows Updata] scvhost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe

Registry Search nach "Rpcmon":

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Rpcmon" 20.08.2005 13:25:14

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000\Control]
"ActiveService"="Rpcmon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum]
"0"="Root\\LEGACY_RPCMON\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Rpcmon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000\Control]
"ActiveService"="Rpcmon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum]
"0"="Root\\LEGACY_RPCMON\\0000"

Vielen Dank schon mal vorab!
Gruss,
Joe


Hat sich vermutlich erledigt:

Habe mich jetzt doch herangetraut, mit den Anleitungen aus anderen Threads...
Hat geklappt! :-)

Die "Rpcmon.exe" ist weg, Hijackthis findet auch nichts störendes mehr und die CPU-Auslastung ist wieder im normalen Bereich.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:53:48, on 20.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Virentest\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Javascript Class - {6E28339B-7A2A-47B6-AEB2-46BA53782373} - C:\WINNT\system32\dllcache\javascript.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Nur Regsearch findet immer noch Einträge auf "Rpcmon", diese lassen sich auch nicht löschen:

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000]
"Service"="Rpcmon"

Aber ich denke das kann man ignorieren?
Ich werde jetzt noch ne Firewall installieren und hoffen das dann wieder Ruhe ist.

Danke für Euer Forum! :-)

Gruss,
Joe

#2 Hallo@Lkwjoe

http://virus-protect.org/Artikel/dienste/Rpcmon.html

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
--entpacken--

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Rpcmon\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum]


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

rkfiles
--Doppelklick(Ausfuehren)--rkfiles.bat-- warten bis sich das DOS-Fenster schliesst...auch wenn es lange dauert --- poste C:\log.txt


---------------------------------------------------------------------------------
wieder im Normalmodus:

bitte abarbeiten und auch die pfade mitkopieren
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für Deine Mühe!

Hier meine Ergebnisse:

Daten der Log.txt:

Zitat

C:\Dokumente und Einstellungen\Administrator\Desktop

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

Ergebnisse aus datFind.bat:

Zitat

1.)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 003F-2473

Verzeichnis von C:\WINNT\system32

22.08.2005 02:57 890 vsconfig.xml
20.08.2005 16:51 4.212 zllictbl.dat
18.08.2005 17:27 5.426 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 18:04 520.456 LegitCheckControl.dll
03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll
26.05.2005 04:19 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 1.343.768 wuaueng.dll


2.)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 003F-2473

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

20.08.2005 18:07 16.384 ~DF97B.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 8.387.006.464 Bytes frei


3.)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 003F-2473

Verzeichnis von C:\WINNT

22.08.2005 02:57 78.731 WindowsUpdate.log
22.08.2005 02:06 89.406 ntbtlog.txt
22.08.2005 02:05 32.536 SchedLgU.Txt
20.08.2005 17:16 60.903 comsetup.log
20.08.2005 17:16 117.890 iis5.log
20.08.2005 17:16 1.429 imsins.log
20.08.2005 17:16 6.160 KB893803v2.log
20.08.2005 17:16 30.204 ocgen.log
20.08.2005 17:16 2.156 ockodak.log
20.08.2005 17:15 1.429 imsins.BAK
20.08.2005 17:15 5.519 KB842773.log
20.08.2005 17:15 106.822 setupact.log
20.08.2005 17:04 192.471 setupapi.log
19.08.2005 15:19 373 win.ini
12.05.2005 12:27 5.194 Windows Update.log
12.05.2005 11:55 1.859 OEWABLog.txt
12.05.2005 11:52 12.146 Active Setup Log.txt
12.05.2005 11:45 212.052 svcpack.log
12.05.2005 11:44 344 msmqprop.log
12.05.2005 11:44 180 sptsupd.log


4.)

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 003F-2473

Verzeichnis von C:\

22.08.2005 03:02 0 sys.txt
22.08.2005 03:01 4.376 system.txt
22.08.2005 03:01 302 systemtemp.txt
22.08.2005 02:59 81.233 system32.txt
22.08.2005 02:56 133.742.592 hiberfil.sys
22.08.2005 02:56 201.326.592 pagefile.sys
22.08.2005 02:54 494 log.txt
22.08.2005 02:53 0 windows.txt
22.08.2005 02:31 0 start.txt
22.08.2005 02:09 0 win.txt
06.08.2005 11:40 28.672 POKOKNM.exe
12.05.2005 11:39 216.096 ntldr
12.05.2005 11:39 34.724 NTDETECT.COM
19.06.2003 12:05 163.840 arcsetup.exe
19.06.2003 12:05 150.528 arcldr.exe
04.08.2000 02:24 192 boot.ini
04.08.2000 01:32 0 IO.SYS
04.08.2000 01:32 0 AUTOEXEC.BAT
04.08.2000 01:32 0 MSDOS.SYS
04.08.2000 01:32 0 CONFIG.SYS
20 Datei(en) 335.749.641 Bytes
0 Verzeichnis(se), 8.386.994.176 Bytes frei

Beim Ausführen der "rkfiles.bat" kam einige Male die Meldung "Datei nicht gefunden"...

Gruss,
Joe ;-)

#4 Hallo@Lkwjoe

Ueberpruefe bitte, ob die reg-Datei erfolgreich war und die Eintraege aus der Registry entfernt sind.
Ansonsten ist alles sauber
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

nein, die Einträge in der Registry sind immer noch da, lassen sich auch nicht manuell löschen.
Kann man die belassen?
Gruss,
Joe

#6 Sollte man Probleme haben, die Einträge zu löschen,

„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“,

dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK

Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Leider finde ich keine Möglichkeit die Berechtigungen zu ändern.
Auch auf allen meinen anderen Win2000-Systemen habe ich versucht in der Registry einen Kontextmenuepunkt "Berechtigungen" zu finden - vergeblich!
Ich werde die Einträge jetzt mal lassen, das System läuft ja wieder so weit problemlos.

Danke für Eure Hilfe!

Gruss,
Joe