SDMCP.exe

Hallo,
OS: Win XP pro + SP1
habe unter running processes eine SDMCP.exe entdeckt und im taskmanager gekillt; Kaspersky Anti Hacker meldete bis dahin permanete Angriffe von Lovesan:

"28.02.2004 02:35:15 Ihr Computer wurde von Adresse 219.95.207.53 angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
27.03.2004 21:05:22 Ihr Computer wurde von Adresse p15110954.pureserver.info angegriffen. Typ des Angriffs: Scannen von TCP-Ports. Der Angriff wurde erfolgreich abgewehrt..." usw, usw.

Habe ich mir wohl was eingefangen!? Aber was?

Hier mein HJT-Log:
Logfile of HijackThis v1.97.7
Scan saved at 23:00:55, on 24.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\ggviewer67-29.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\PTBSync\PTBSync.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\LAB1.DE\Space-Meter\SpaceMeter.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Iconoid\iconoid.exe
C:\Program Files\TuneUp Utilities 2004\MemOptimizer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\TCP View\Tcpview.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Frank's Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0409
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [AutoStart-Manager] C:\Program Files\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [SpaceMeter] C:\Program Files\LAB1.DE\Space-Meter\SpaceMeter.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 0
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{88DE3893-0B39-4801-90D1-B72CE8226BCC}: NameServer = 202.188.0.133,202.188.1.5

Da die EXE im Taskmanager, also aktiv war, denke ich, dass ich um ein Format C nicht herumkommen werde, oder?

 

Ich stelle gerade fest, dass diese Lovesan-Angriffe sofort wieder starten, wenn ich bei KAH die stealth-Funktion abschalte. Also stealth=Ruhe, nicht stealth=Angriffe, alle 10 Minuten.

Ich sitze hinter einem Router (kleines Netzwerk, 2 PCs) dyn. IP, Palm Switch. Wie geht das? Vor allen Dingen ist auch nur ein Rechner betroffen, beim anderen ist Ruhe.

Das Blöde ist nur, wenn ein Rechner stealth ist, kann der andere ihn nicht mehr erkennen, bzw. Daten hin und/oder herschicken.

Die Angriffe kommen also definitiv von aussen. Lovesan hatte es diverse Male bei mir versucht, als ich noch per Modem online war, tropfte aber immer an der firewall ab. Aber jetzt... Angriffe in Reihe, seit Stunden, das ist echt strange.

Ich finde weder verdächtige Prozesse, noch verd. Daten; der Rechner macht einen sauberen Eindruck. Sollte da irgend ein infizierter Rechner im Internet gerade am durchknallen sein? Ich meine, diese Lovesanteile sind doch Port- oder Netscans, oder?

 

Würde mal sagen was die scanns anbetrifft hat "2sAcKrAttE 2ooo" recht.

 

ich würd mal sagen das es da immer noch deppen gibt die mitm blaster aka lovsan infiziert sind und die klopfen halt immer noch alle rechner im netz ab. da du hoffentlich alle patches von ms installiert hast brauchst du dir da keine sorgen machen.

mfg Sr2k

 

Sehe ich genauso

Ich habe saubere Backups (Arcronis); denke mal, das wird ausreichen, das aktuellste wieder einzuspielen.

Die ganze Nummer sah mir auch eher, wie Malware der milderen Sorte aus (tracking cookies, browser hijacker); wenn hier richtig was eingeschlagen hätte, wäre mehr Alarm gewesen.
Ich habe auch den Irrsinns Explorer gecheckt, wegen der Hijack-Versuche; die Adresszeile hatte brav ihr "about blank" drin und der IE versuchte auch keine Seiten zu starten.

Die Sache scheint nochmal glimpflich ausgegangen zu sein.

 

Ich an deiner Stelle würde Formatieren, die Begründung gibts du dir ja schon selbst.
Lieber sicher mit einem frischen System, als immer so leichtes Bauchweh beim Gedanken ob vielleicht doch noch was da ist.


mfg. dedie

 

Jo; englisches XP

Ja, mag sein, dass dieses Ding zu den XP-themes gehört, aber XP-themes hatte ich vor ?ner Ewigkeit mal drauf und genauso lange auch keine themes mehr runtergeladen. Ist mir schleierhaft, wie das zusammenhängen könnte, da SDMCP.exe und die erwähnten Mucken erst vorhin auftraten.

Adaware, Spybot 1.3, sowie CW-Shredder sind schon durchgelaufen, Adaware fand 3 Trackingkekse und 2 versuchte IE-Entführungen - alle gekillt; Spybot fand nix; KAV hat C gescannt, ohne Befund.

Nachdem ich den Prozess im Taskmanager beendet hatte, kam kein neuer Angriff und bis jetzt blieb auch alles ruhig, der Rechenknecht benimmt sich wie gewohnt; scheinbar alles im Lot.

Bin nur nicht gerade sicher, ob es vielleicht doch besser/schlauer wäre, format c durchzuziehen, da die EXE ja offensichtlich aktiv war und wer weiss welche Dateien dabei involviert waren.

 

@TABANO
nee englische windowsversion ?! :p
das -stardock SDMCP.exe- gehört zu xp-themes&skins...richtig? viele von den XP-themes-EXEinstaller im netz sind nicht ganz sauber , da installiert sich dreckige malware und anderes gelumbsch mit und ich denke mal das du sowas erwischt hast .

 

OK. Das beruhigt mich.
Danke.

Leider werden mir immernoch lovesan-Angriffe gemeldet, allerdings nicht mehr alle 10 Min.

wird wohl langsam müde, die Dreckskiste da draussen

@mmk
Hast Du mein HJT-Log, im Anfangsposting gesehen?
Sieht das OK aus, oder ist da irgendwas, was da nicht sein sollte?

 

Solange keine Schadsoftware aktiv war, besteht keine Notwendigkeit, ein Backup zurückzuspielen oder das System neu aufzusetzen.

 

Yepp - beide Rechner sind up to date!
ich gucke gut 3 X die Woche bei MS rein und checke nach updates; z.Zt. werden mir nach Rechneruntersuchung seitens Mickysoft, keine neuen Sicherheitsupdates angeboten

Uff... da scheine ich ja nochmal Glück gehabt zu haben

Hoffendlich hat sich die Schleuder da draussen bald ausgekekst, damit ich wieder "entsteathen" kann.

Ist irgendwie, als ob man permanent angepinkelt wird von diesem Drecksan... ääähh... Lovesan. Echt lästig.

Übrigens, was es mit C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe auf sich hat, habe ich inzwischen herausgefunden; das Teil gehört zu TuneUp?s Desktop-veschönerungs-tool. Wie peinlich... und ich mach? hier die Pferde scheu, weil ich?s nicht eher geschnallt habe. Sorry!

Dennoch; was meint ihr, backup zurückspielen, oder nicht? Letzteres wäre natürlich die bequemere Nummer

P.S.: Danke für die schnellen Antworten