Auf dem Server kriege ich mit Glem eine Rootkit Meldung, wie weiter?

#1 Hallo zusammen

Auf dem SBS2003 Server habe ich mit "GMER" einen Virus gefunden. Scheinbar wurde dieser Virus von einem Client übertragen worden (ja der Kunde wollte anfangs keine Antiviruslösung.). Alle WinXP Clients wurden neu aufgesetzt und mit "TrendMicro Business Worry Free" bewaffnet. Den Server kann ich nicht neu aufsetzten. Der Aufwand wäre zugross.

Ich habe folgendes versucht:
Malwarebytes ==> nichts gefunden.
HiJackThis ==> nichts gefunden.
StingerMcAfee ==> konnte ich nicht aufstarten.
Andere Antivirus und Spywarelösungen konnte ich auch nicht ausführen.
Ich erhielt immer eine Fehlermeldung oder Windows Explorer/Taskbar startete neu.

Interessanterweise konnte ich auch nicht auf Antivirenserverseiten mit dem IE7/Firefox, die Seite wurde einfach gesperrt. Genauso mit der Microsoft.com Seite.

Als ich nun auf dem Server "TrendMicro Business Worry Free" installierte konnte ich es nicht updaten. Ist ja klar alles war ja gesperrt.

Mit GMER habe ich folgende log:

Zitat

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-25 14:18:35
Windows 5.2.3790 Service Pack 2


---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Exchsrvr\bin\store.exe[4368] kernel32.dll!TerminateProcess 7C802004 5 Bytes JMP 005E5FEC C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)
.text C:\Programme\Exchsrvr\bin\store.exe[4368] kernel32.dll!ExitProcess 7C8268F1 5 Bytes JMP 005E5FBD C:\Programme\Exchsrvr\bin\store.exe (Microsoft MDB Store/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Exchsrvr\bin\exmgmt.exe[2668] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\exmgmt.exe[2668] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\mad.exe[2720] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\mad.exe[2720] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\store.exe[4368] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\store.exe[4368] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\WINDOWS\system32\wbem\wmiprvse.exe[4720] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\WINDOWS\system32\wbem\wmiprvse.exe[4720] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\events.exe[5632] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleBaseNameW] [4B761B7E] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)
IAT C:\Programme\Exchsrvr\bin\events.exe[5632] @ C:\WINDOWS\system32\iphlpapi.dll [PSAPI.DLL!GetModuleFileNameExW] [4B761AC7] C:\Programme\Exchsrvr\bin\PSAPI.DLL (Process Status Helper/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\System32\sbscrexe.exe (*** hidden *** ) [AUTO] SBCore <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ErrorControl 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ImagePath %SystemRoot%\System32\sbscrexe.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@DisplayName SBCore Service
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore@Description Bietet Basisserverdienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\SBCore\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@DisplayName Manager Support
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz@Description Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll xxx
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Type 16
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ErrorControl 3
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ImagePath %SystemRoot%\System32\sbscrexe.exe
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@DisplayName SBCore Service
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore@Description Bietet Basisserverdienste.
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore\Security
Reg HKLM\SYSTEM\ControlSet002\Services\SBCore\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@DisplayName Manager Support
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz@Description Stellt POP3-Dienste (Post Office Protocol, Version 3) f?r Clients zur Verf?gung. Wenn dieser Dienst angehalten wird, k?nnen Clients mit dem POP3-Protokoll keine Verbindung mit diesem Computer herstellen.
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll

---- EOF - GMER 1.0.14 ----

Ich habe die Datei C:\WINDOWS\system32\lyxroxym.dll nicht gefunden. Die gibts gar nicht. Jetzt habe ich aber in der Registry mit "GMER" folgende Einträge abgeändert:
HKLM\SYSTEM\CurrentControlSet\Services\SBCore\
HKLM\SYSTEM\ControlSet002\Services\wpotz

Da ich die Einträge nicht löschen konnte, habe ich einfach bei folgenden Werten die Zeichenfolge in XXXXXXXXXXXXXXXXX geändert.

HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll

HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll


Seitdem funtkionieren wieder die Seiten und ich kann auch TrendMicro updaten.
Nur beim erneutem Scan von "GMER" erhalte ich die obige log das immer noch der Rootkit existiert.

Hat irgendeiner eine Idee?
Danke in voraus für die Hilfe, dies wäre sehr lieb von euch!

Namaste
Elena

P.S. Mit dem Tool "The Avenger" (by swandog46) habe ich versucht die Einträge zu löschen. Nur funktioniert es nicht mit Server?

#2 Mit recht. Die wenigsten "Standardtools" fuer den Normaluser funktionieren unter Server und 64 Bit Betriebssystemen, so wie man es gewohnt ist.

Frage ist, was wurde auf den Clients gefunden und was soll diese angebliche Malware gemacht haben.

Nebenbei, deine Gmer Version ist veraltet....
__________
MfG Ralf
SEO-Spam Hunter

#3 @raman

Zitat

Frage ist, was wurde auf den Clients gefunden und was soll diese angebliche Malware gemacht haben.

Das weiss ich nicht, ich wurde als drittperson hinzugezogen.
Da ich den Server aufgesetzt und installiert hatte. Aber um die kosten zu sparen wurde der Gärtner gebeten die ganze Misere zum laufen zu bringen.

Jetzt aber als gewisse Richtlinien und Berechtigungen und Offline Synchronisationen nicht mehr funktionierten, haben die mich angerufen. Ich habe ja Trendmicro auf dem Server installiert und ich konnte da nicht updaten, da ist mir auch aufgefallen das etwas mit dem Server nicht stimmt.

Zitat

Nebenbei, deine Gmer Version ist veraltet....

Was kannst du mir empfehlen? Was soll ich tun?

Danke dir!

#4 Du kannst ja eine aktuelle Version von Gmer nutzen!

Mache auch ein paar Kontrollscans mit der Avira Bootcd
http://board.protecus.de/t23979.htm


und der von Kaspersky. Link hab ich gerade nicht parat, aber google wird einen haben...

Nur damit du erstmal die Malwaredateien finden kannst. Aber ob dir das im Endeffekt etwas bringt!?

Gibt es kein einigermassen aktuelles Backup von der Betriebssystem Installation?
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Raman

Danke für die Antwort.
Mit der aktuellsten GMER zeigt es mir genau das gleiche an.

Zitat

Nur damit du erstmal die Malwaredateien finden kannst. Aber ob dir das im Endeffekt etwas bringt!?

Also ich habe ja jetzt Malwarescan und TrendMicro die "Business Worry Free Advance Version" installiert und er findet dort nichts.
Die frage ist überhaupt ob ich der Meldung von GMER vertrauen kann?
Das was nicht stimmt und die zwei EInträge in der Registry:

Zitat

HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll

HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll

nicht sauber sind das ist klar.
Auch "wpotz" zum Beispiel sagt mir im Göögle gar nichts.

Nur was heisst diese Meldung:

Zitat

Service C:\WINDOWS\System32\sbscrexe.exe (*** hidden *** ) [AUTO] SBCore <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!!

Sind die Dateien "injeziiert" mit einem Droper oder sind die Dateien nicht Original?
Die werden doch vom Server verwendet, das sind doch Systemdateien. Die kann ich ja nicht löschen. Gebe es ein anderes Tool was mir nun bestätitgt das ich ein Datastream Tootkit habe?

Danke in voraus für eine Antwort
Elena

P.S. Betreffend Backup, nein der Kunde wollte dies nicht, wie immer das selbe. Jetzt erntet er das was er säte.

#6 Ich hoffe du machst es ihm schoen teuer!

Zu den Gmer Funden. Die Richtung von dem was Gmer meldet passt schon. Schau mit Hilfe einer Livecd(Winpe oder Linux) nach, ob du die von gmer gemeldete dll so finden kannst. Wenn du den Rechner so startest, kann si sich ja nicht verstecken


Es gibt Malware, die Gmer soetwas anzeigen laesst, obwohl die Datei selber eine Systemdatei ist

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!!

Achso, du solltest die DLL eigentlich auch ueber gmer und dem Reiter files finden koennen...
__________
MfG Ralf
SEO-Spam Hunter

#7 @raman

Zitat

Achso, du solltest die DLL eigentlich auch ueber gmer und dem Reiter files finden koennen...

Die lyxroxym.dll Datei habe ich niergens gefunden, mit GMER nicht und IceSword auch nicht. Mit eine BartCD habe ich auch gestartet und nichts gefunden.

Zitat

Es gibt Malware, die Gmer soetwas anzeigen laesst, obwohl die Datei selber eine Systemdatei ist

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!!

Und das heisst. Die Datei ist eine Systemdatei und die ist infiziert. Ich müsste Sie also von einer CD entpacken und dann ersetzen? Oder zeigt mit GMER an einfach wie die Datei angezeigt wird vom System her und in wirklichkeit heisst Sie völlig anders und hat einen anderen Namen?

Danke in voraus wenn du mir noch die Fragen beantworten könntest.

Liebe grüsse
Elena