Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Mitchell am 01.12.2009 um 11:33:03 Uhr
Titel ein wenig abgeändert.

gelöst Rundll32.exe - Aufgabenverwaltung, Conficker löschen

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

29.11.2009, aktualisiert 01.12.2009, 6991 Aufrufe, 4 Kommentare, 1 Danke

Hey Leute,

bin gerade echt am verzweifeln. Auf meinen Servern die ich verwalte Windows Server 2008 inkl. aller aktuellen Updates werden in der Aufgabenverwaltung (Taskplaner) ständig, ohne zeitlichen Zusammenhang Task angelegt Namens: T1 bis Tn.

Diese rufen die rundll32.exe auf und als parameter wird irgendwelcher kryptischer Mist mitgegeben.

GData findet die Dateien und löscht diese immer wieder.

Bei dem Wurm handelt es sich um den "Win32.Worm.Downadup.Gen (Engine A), Win32.Kino-G (Wrm) (Engine B)"

Dateiname: Beispiel: defxhp.np

Die Dateien befinden sich in c:\Windows\system32

Angeblich auch bekannt als Conficker ... ich hab schon diverse Tools drüber laufen lassen und er findet nichts.

Jemand eine Idee wie ich den Kram los werde?
Keine Lust ca. 220 Clients und 4 Server (Print, File, Mail, ADC) neu aufzusetzen ...

LG und Dank
Mitglied: Mitchell
29.11.2009 um 14:13 Uhr
Hi Xaero,

welche Tools hast du denn drüberlaufen lassen? Habe hier nämlich auch noch diverse, bis jetzt war Sophos und ein anschließender Check mit GMER immer sehr brauchbar.

Mfg
Mitchell

PS: In der Registry schon nachgeschaut bzgl. RUN-Einträgen? Auch mal die Dienste checken
Bitte warten ..
Mitglied: Xaero1982
29.11.2009 um 14:22 Uhr
Hey,

hab die Tools von Symantec, Sophos, dann das Ding von Felix Leder und Tillmann Werner drüber laufen lassen - ohne Ergebnis

Habe alle Run-Einträge überprüft: Nichts

Dienste auch nicht ...

GMER? Schau ich mal (gibts nicht für Server 2008 x64 - läuft trotzdem .. mal sehen)


LG

Edit: Das Update "Sicherheitsupdate für Windows Server 2008 x64 Edition (KB958644)" kann ich nicht installieren. Sagt, dass es nicht für das System gedacht ist
Edit2: Habe nun noch das Tool von Kaspersky rüber laufen lassen - wieder nichts
Edit3: Habe gerade mal packetyzer auf den Servern installiert und mir ist was aufgefallen.
Von einer mobilen Einheit hier im Netz werden querries an die eingeschalteten Pcs gesandt. In einem Paket steht folgendes:
"PC NETWORK PROGRAM 1.0 LANMAN1.0 Windows for Workgroups 3.1a LM1.2x002 LANMAN 2.1 NT LM 0.12"
Danach folgt das:
Summary(Paket)

SMB: Session Setup AndX Request (Windows 2002 Service Pack 3 2600 Windows 2002)
SMB:: Tree Connect AndX Request, Path \\Servername\IPC$ (\\Servername\IPC$)
SMB: Tree Connect AndX Request, Path \\Servername\ADMIN$ (\\Servername\ADMIN$)
SMB: NT Create AndX Request Path: \System32\tplhp.t"
etc.

Diese tphlp.t ist das was immer als Virus erkannt wird ...



Kann damit jemand was anfangen?
Bitte warten ..
Mitglied: Mitchell
30.11.2009 um 22:02 Uhr
steht auf gelöst, gewollt? Wenn ja, wäre es nett, die Lösung für andere Mitglieder niederzuschreiben.

Mfg
Mitchell
Bitte warten ..
Mitglied: Xaero1982
30.11.2009 um 22:17 Uhr
Ja gewollt

Nun hab mich ein wenig belesen über meinen "neuen Freund" und diverse Tools heruntergeladen. (Conficker Removaltools - Das von Kaspersky (KKiller) kann ich echt empfehlen. Schnell und konsequent.

Ansonsten wichtig:
Alle Rechner vom Netz abklemmen.
MS Patch http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067. ...

Dann die beiden auf einen USB Stick kopieren. KKiller drüber laufen lassen und patchen.

Merkmale des Conficker.A sind u.a. versteckte Dateien lassen sich nicht anzeigen, MS Update Seite ist geblockt (Update Dienste deaktiviert) etc... könnte hier nun Seiten füllen, aber das lässt sich leicht googlen.

Danach am besten den Stick über die cmd> dir /a prüfen. Wenn die Datei "autorun.inf" und ein Ordner Namens "Recycler" mit einer "*.vmx" Datei darin enthalten vorhanden sind diese beiden löschen.

Danach sollte der Rechner wieder clean sein und gepatched.

LG
Bitte warten ..
Ähnliche Inhalte
Windows 10

Logitech Downlad Assistent: system32 rundll32.exe

gelöst Frage von psy-tekWindows 102 Kommentare

Hi. In meinen Win10 Taskmanger ist ein Logitech Download Assistent beim Autostart eingetragen. Welcher auf: C:\Windows\System32 liegt. Unter "Programme ...

Windows Tools

ToDo Aufgabenverwaltung gesucht

Frage von draculausWindows Tools4 Kommentare

Hallo zusammen! wir setzen bei uns im Unternehmen eine selbst programmierte Access Datenbank für die Aufgabenverwaltung der Mitarbeiter ein. ...

Monitoring

Port abhören (Malware Conficker)

gelöst Frage von MesaricMonitoring8 Kommentare

Werte Profis :), ich benötige wieder einmal euren Rat. Ich würde gerne ein gewisses Port bei unserem Server abhören ...

Windows Server

Administrator kann auf Server keine EXE-Dateien kopieren, löschen, anlegen

gelöst Frage von Winfried-HHWindows Server5 Kommentare

Liebe Experten, auf unserem Schulserver (Server 2008 R2) haben wir ein sehr, sehr seltsames Phänomen: Ich kann auf dem ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 3 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 3 StundenHardware6 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 3 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL13 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...