SDMCP.exe

Dieses Thema im Forum "Sicherheit" wurde erstellt von TABANO, 24. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Hallo,
    OS: Win XP pro + SP1
    habe unter running processes eine SDMCP.exe entdeckt und im taskmanager gekillt; Kaspersky Anti Hacker meldete bis dahin permanete Angriffe von Lovesan:

    "28.02.2004 02:35:15 Ihr Computer wurde von Adresse 219.95.207.53 angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
    27.03.2004 21:05:22 Ihr Computer wurde von Adresse p15110954.pureserver.info angegriffen. Typ des Angriffs: Scannen von TCP-Ports. Der Angriff wurde erfolgreich abgewehrt..." usw, usw.

    Habe ich mir wohl was eingefangen!? Aber was?

    Hier mein HJT-Log:
    Logfile of HijackThis v1.97.7
    Scan saved at 23:00:55, on 24.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe
    C:\WINDOWS\system32\netdde.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Google\ggviewer67-29.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\Program Files\PTBSync\PTBSync.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\LAB1.DE\Space-Meter\SpaceMeter.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Iconoid\iconoid.exe
    C:\Program Files\TuneUp Utilities 2004\MemOptimizer.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
    C:\Program Files\TCP View\Tcpview.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Hijack This\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Frank's Internet Explorer
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0409
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
    O4 - HKLM\..\Run: [AutoStart-Manager] C:\Program Files\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
    O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKLM\..\Run: [SpaceMeter] C:\Program Files\LAB1.DE\Space-Meter\SpaceMeter.exe /AUTOSTART
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [TkBellExe] REM "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [Iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 0
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2004\MemOptimizer.exe" autostart
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O9 - Extra button: NeoTrace It! (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{88DE3893-0B39-4801-90D1-B72CE8226BCC}: NameServer = 202.188.0.133,202.188.1.5

    Da die EXE im Taskmanager, also aktiv war, denke ich, dass ich um ein Format C nicht herumkommen werde, oder? :(
     
  2. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Ich stelle gerade fest, dass diese Lovesan-Angriffe sofort wieder starten, wenn ich bei KAH die stealth-Funktion abschalte. Also stealth=Ruhe, nicht stealth=Angriffe, alle 10 Minuten.

    Ich sitze hinter einem Router (kleines Netzwerk, 2 PCs) dyn. IP, Palm Switch. Wie geht das? Vor allen Dingen ist auch nur ein Rechner betroffen, beim anderen ist Ruhe. :confused:

    Das Blöde ist nur, wenn ein Rechner stealth ist, kann der andere ihn nicht mehr erkennen, bzw. Daten hin und/oder herschicken.

    Die Angriffe kommen also definitiv von aussen. Lovesan hatte es diverse Male bei mir versucht, als ich noch per Modem online war, tropfte aber immer an der firewall ab. Aber jetzt... Angriffe in Reihe, seit Stunden, das ist echt strange.

    Ich finde weder verdächtige Prozesse, noch verd. Daten; der Rechner macht einen sauberen Eindruck. Sollte da irgend ein infizierter Rechner im Internet gerade am durchknallen sein? Ich meine, diese Lovesanteile sind doch Port- oder Netscans, oder?
     
  3. Gast

    Gast Guest

    Würde mal sagen was die scanns anbetrifft hat "2sAcKrAttE 2ooo" recht.
    ;)
     
  4. sAcKrAttE 2ooo

    sAcKrAttE 2ooo Halbes Megabyte

    Registriert seit:
    1. August 2002
    Beiträge:
    933
    ich würd mal sagen das es da immer noch deppen gibt die mitm blaster aka lovsan infiziert sind und die klopfen halt immer noch alle rechner im netz ab. da du hoffentlich alle patches von ms installiert hast brauchst du dir da keine sorgen machen.

    mfg Sr2k
     
  5. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Sehe ich genauso :spitze:

    Ich habe saubere Backups (Arcronis); denke mal, das wird ausreichen, das aktuellste wieder einzuspielen.

    Die ganze Nummer sah mir auch eher, wie Malware der milderen Sorte aus (tracking cookies, browser hijacker); wenn hier richtig was eingeschlagen hätte, wäre mehr Alarm gewesen.
    Ich habe auch den Irrsinns Explorer gecheckt, wegen der Hijack-Versuche; die Adresszeile hatte brav ihr "about blank" drin und der IE versuchte auch keine Seiten zu starten.

    Die Sache scheint nochmal glimpflich ausgegangen zu sein.
     
  6. Gast

    Gast Guest

    Ich an deiner Stelle würde Formatieren, die Begründung gibts du dir ja schon selbst. ;)
    Lieber sicher mit einem frischen System, als immer so leichtes Bauchweh beim Gedanken ob vielleicht doch noch was da ist.:(


    mfg. dedie :D
     
  7. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    Jo; englisches XP :)

    Ja, mag sein, dass dieses Ding zu den XP-themes gehört, aber XP-themes hatte ich vor ?ner Ewigkeit mal drauf und genauso lange auch keine themes mehr runtergeladen. Ist mir schleierhaft, wie das zusammenhängen könnte, da SDMCP.exe und die erwähnten Mucken erst vorhin auftraten.

    Adaware, Spybot 1.3, sowie CW-Shredder sind schon durchgelaufen, Adaware fand 3 Trackingkekse und 2 versuchte IE-Entführungen - alle gekillt; Spybot fand nix; KAV hat C gescannt, ohne Befund.

    Nachdem ich den Prozess im Taskmanager beendet hatte, kam kein neuer Angriff und bis jetzt blieb auch alles ruhig, der Rechenknecht benimmt sich wie gewohnt; scheinbar alles im Lot. :huh:

    Bin nur nicht gerade sicher, ob es vielleicht doch besser/schlauer wäre, format c durchzuziehen, da die EXE ja offensichtlich aktiv war und wer weiss welche Dateien dabei involviert waren.
     
  8. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @TABANO
    nee englische windowsversion ?! :p
    das -stardock SDMCP.exe- gehört zu xp-themes&skins...richtig? viele von den XP-themes-EXEinstaller im netz sind nicht ganz sauber , da installiert sich dreckige malware und anderes gelumbsch mit und ich denke mal das du sowas erwischt hast .
     
  9. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    OK. Das beruhigt mich.
    Danke.

    Leider werden mir immernoch lovesan-Angriffe gemeldet, allerdings nicht mehr alle 10 Min.

    wird wohl langsam müde, die Dreckskiste da draussen :D

    @mmk
    Hast Du mein HJT-Log, im Anfangsposting gesehen?
    Sieht das OK aus, oder ist da irgendwas, was da nicht sein sollte?
     
  10. Gast

    Gast Guest

    Solange keine Schadsoftware aktiv war, besteht keine Notwendigkeit, ein Backup zurückzuspielen oder das System neu aufzusetzen.
     
  11. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    :)Yepp - beide Rechner sind up to date!:)
    ich gucke gut 3 X die Woche bei MS rein und checke nach updates; z.Zt. werden mir nach Rechneruntersuchung seitens Mickysoft, keine neuen Sicherheitsupdates angeboten :)

    Uff... da scheine ich ja nochmal Glück gehabt zu haben:comprob:

    Hoffendlich hat sich die Schleuder da draussen bald ausgekekst, damit ich wieder "entsteathen" kann.

    Ist irgendwie, als ob man permanent angepinkelt wird von diesem Drecksan... ääähh... Lovesan. Echt lästig. :(

    Übrigens, was es mit C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe auf sich hat, habe ich inzwischen herausgefunden; das Teil gehört zu TuneUp?s Desktop-veschönerungs-tool. Wie peinlich... und ich mach? hier die Pferde scheu, weil ich?s nicht eher geschnallt habe. :o Sorry! :o

    Dennoch; was meint ihr, backup zurückspielen, oder nicht? Letzteres wäre natürlich die bequemere Nummer ;)

    P.S.: Danke für die schnellen Antworten :wink:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen