4
Rundll32.exe - Aufgabenverwaltung, Conficker löschen
Hey Leute,
bin gerade echt am verzweifeln. Auf meinen Servern die ich verwalte Windows Server 2008 inkl. aller aktuellen Updates werden in der Aufgabenverwaltung (Taskplaner) ständig, ohne zeitlichen Zusammenhang Task angelegt Namens: T1 bis Tn.
Diese rufen die rundll32.exe auf und als parameter wird irgendwelcher kryptischer Mist mitgegeben.
GData findet die Dateien und löscht diese immer wieder.
Bei dem Wurm handelt es sich um den "Win32.Worm.Downadup.Gen (Engine A), Win32.Kino-G (Wrm) (Engine B)"
Dateiname: Beispiel: defxhp.np
Die Dateien befinden sich in c:\Windows\system32
Angeblich auch bekannt als Conficker ... ich hab schon diverse Tools drüber laufen lassen und er findet nichts.
Jemand eine Idee wie ich den Kram los werde?
Keine Lust ca. 220 Clients und 4 Server (Print, File, Mail, ADC) neu aufzusetzen ...
LG und Dank
bin gerade echt am verzweifeln. Auf meinen Servern die ich verwalte Windows Server 2008 inkl. aller aktuellen Updates werden in der Aufgabenverwaltung (Taskplaner) ständig, ohne zeitlichen Zusammenhang Task angelegt Namens: T1 bis Tn.
Diese rufen die rundll32.exe auf und als parameter wird irgendwelcher kryptischer Mist mitgegeben.
GData findet die Dateien und löscht diese immer wieder.
Bei dem Wurm handelt es sich um den "Win32.Worm.Downadup.Gen (Engine A), Win32.Kino-G (Wrm) (Engine B)"
Dateiname: Beispiel: defxhp.np
Die Dateien befinden sich in c:\Windows\system32
Angeblich auch bekannt als Conficker ... ich hab schon diverse Tools drüber laufen lassen und er findet nichts.
Jemand eine Idee wie ich den Kram los werde?
Keine Lust ca. 220 Clients und 4 Server (Print, File, Mail, ADC) neu aufzusetzen ...
LG und Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Mitchell am Dec 01, 2009 um 10:33:03 Uhr
Titel ein wenig abgeändert.
Content-Key: 130482
Url: https://administrator.de/contentid/130482
Printed on: April 19, 2024 at 18:04 o'clock
4 Comments
Latest comment
Hi Xaero,
welche Tools hast du denn drüberlaufen lassen? Habe hier nämlich auch noch diverse, bis jetzt war Sophos und ein anschließender Check mit GMER immer sehr brauchbar.
Mfg
Mitchell
PS: In der Registry schon nachgeschaut bzgl. RUN-Einträgen? Auch mal die Dienste checken
welche Tools hast du denn drüberlaufen lassen? Habe hier nämlich auch noch diverse, bis jetzt war Sophos und ein anschließender Check mit GMER immer sehr brauchbar.
Mfg
Mitchell
PS: In der Registry schon nachgeschaut bzgl. RUN-Einträgen? Auch mal die Dienste checken
Hey,
hab die Tools von Symantec, Sophos, dann das Ding von Felix Leder und Tillmann Werner drüber laufen lassen - ohne Ergebnis
Habe alle Run-Einträge überprüft: Nichts
Dienste auch nicht ...
GMER? Schau ich mal (gibts nicht für Server 2008 x64 - läuft trotzdem .. mal sehen)
LG
Edit: Das Update "Sicherheitsupdate für Windows Server 2008 x64 Edition (KB958644)" kann ich nicht installieren. Sagt, dass es nicht für das System gedacht ist
Edit2: Habe nun noch das Tool von Kaspersky rüber laufen lassen - wieder nichts
Edit3: Habe gerade mal packetyzer auf den Servern installiert und mir ist was aufgefallen.
Von einer mobilen Einheit hier im Netz werden querries an die eingeschalteten Pcs gesandt. In einem Paket steht folgendes:
"PC NETWORK PROGRAM 1.0 LANMAN1.0 Windows for Workgroups 3.1a LM1.2x002 LANMAN 2.1 NT LM 0.12"
Danach folgt das:
Summary(Paket)
SMB: Session Setup AndX Request (Windows 2002 Service Pack 3 2600 Windows 2002)
SMB:: Tree Connect AndX Request, Path \\Servername\IPC$ (\\Servername\IPC$)
SMB: Tree Connect AndX Request, Path \\Servername\ADMIN$ (\\Servername\ADMIN$)
SMB: NT Create AndX Request Path: \System32\tplhp.t"
etc.
Diese tphlp.t ist das was immer als Virus erkannt wird ...
Kann damit jemand was anfangen?
hab die Tools von Symantec, Sophos, dann das Ding von Felix Leder und Tillmann Werner drüber laufen lassen - ohne Ergebnis
Habe alle Run-Einträge überprüft: Nichts
Dienste auch nicht ...
GMER? Schau ich mal (gibts nicht für Server 2008 x64 - läuft trotzdem .. mal sehen)
LG
Edit: Das Update "Sicherheitsupdate für Windows Server 2008 x64 Edition (KB958644)" kann ich nicht installieren. Sagt, dass es nicht für das System gedacht ist
Edit2: Habe nun noch das Tool von Kaspersky rüber laufen lassen - wieder nichts
Edit3: Habe gerade mal packetyzer auf den Servern installiert und mir ist was aufgefallen.
Von einer mobilen Einheit hier im Netz werden querries an die eingeschalteten Pcs gesandt. In einem Paket steht folgendes:
"PC NETWORK PROGRAM 1.0 LANMAN1.0 Windows for Workgroups 3.1a LM1.2x002 LANMAN 2.1 NT LM 0.12"
Danach folgt das:
Summary(Paket)
SMB: Session Setup AndX Request (Windows 2002 Service Pack 3 2600 Windows 2002)
SMB:: Tree Connect AndX Request, Path \\Servername\IPC$ (\\Servername\IPC$)
SMB: Tree Connect AndX Request, Path \\Servername\ADMIN$ (\\Servername\ADMIN$)
SMB: NT Create AndX Request Path: \System32\tplhp.t"
etc.
Diese tphlp.t ist das was immer als Virus erkannt wird ...
Kann damit jemand was anfangen?
steht auf gelöst, gewollt? Wenn ja, wäre es nett, die Lösung für andere Mitglieder niederzuschreiben.
Mfg
Mitchell
Mfg
Mitchell
Ja gewollt 
Nun hab mich ein wenig belesen über meinen "neuen Freund" und diverse Tools heruntergeladen. (Conficker Removaltools - Das von Kaspersky (KKiller) kann ich echt empfehlen. Schnell und konsequent.
Ansonsten wichtig:
Alle Rechner vom Netz abklemmen.
MS Patch http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067. ...
Dann die beiden auf einen USB Stick kopieren. KKiller drüber laufen lassen und patchen.
Merkmale des Conficker.A sind u.a. versteckte Dateien lassen sich nicht anzeigen, MS Update Seite ist geblockt (Update Dienste deaktiviert) etc... könnte hier nun Seiten füllen, aber das lässt sich leicht googlen.
Danach am besten den Stick über die cmd> dir /a prüfen. Wenn die Datei "autorun.inf" und ein Ordner Namens "Recycler" mit einer "*.vmx" Datei darin enthalten vorhanden sind diese beiden löschen.
Danach sollte der Rechner wieder clean sein und gepatched.
LG
Nun hab mich ein wenig belesen über meinen "neuen Freund" und diverse Tools heruntergeladen. (Conficker Removaltools - Das von Kaspersky (KKiller) kann ich echt empfehlen. Schnell und konsequent.
Ansonsten wichtig:
Alle Rechner vom Netz abklemmen.
MS Patch http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067. ...
Dann die beiden auf einen USB Stick kopieren. KKiller drüber laufen lassen und patchen.
Merkmale des Conficker.A sind u.a. versteckte Dateien lassen sich nicht anzeigen, MS Update Seite ist geblockt (Update Dienste deaktiviert) etc... könnte hier nun Seiten füllen, aber das lässt sich leicht googlen.
Danach am besten den Stick über die cmd> dir /a prüfen. Wenn die Datei "autorun.inf" und ein Ordner Namens "Recycler" mit einer "*.vmx" Datei darin enthalten vorhanden sind diese beiden löschen.
Danach sollte der Rechner wieder clean sein und gepatched.
LG
