Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Mitchell am 01.12.2009 um 11:33:03 Uhr
Titel ein wenig abgeändert.

Frage Microsoft Windows Server

GELÖST

Rundll32.exe - Aufgabenverwaltung, Conficker löschen

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

29.11.2009, aktualisiert 01.12.2009, 6978 Aufrufe, 4 Kommentare, 1 Danke

Hey Leute,

bin gerade echt am verzweifeln. Auf meinen Servern die ich verwalte Windows Server 2008 inkl. aller aktuellen Updates werden in der Aufgabenverwaltung (Taskplaner) ständig, ohne zeitlichen Zusammenhang Task angelegt Namens: T1 bis Tn.

Diese rufen die rundll32.exe auf und als parameter wird irgendwelcher kryptischer Mist mitgegeben.

GData findet die Dateien und löscht diese immer wieder.

Bei dem Wurm handelt es sich um den "Win32.Worm.Downadup.Gen (Engine A), Win32.Kino-G (Wrm) (Engine B)"

Dateiname: Beispiel: defxhp.np

Die Dateien befinden sich in c:\Windows\system32

Angeblich auch bekannt als Conficker ... ich hab schon diverse Tools drüber laufen lassen und er findet nichts.

Jemand eine Idee wie ich den Kram los werde?
Keine Lust ca. 220 Clients und 4 Server (Print, File, Mail, ADC) neu aufzusetzen ...

LG und Dank
Mitglied: Mitchell
29.11.2009 um 14:13 Uhr
Hi Xaero,

welche Tools hast du denn drüberlaufen lassen? Habe hier nämlich auch noch diverse, bis jetzt war Sophos und ein anschließender Check mit GMER immer sehr brauchbar.

Mfg
Mitchell

PS: In der Registry schon nachgeschaut bzgl. RUN-Einträgen? Auch mal die Dienste checken
Bitte warten ..
Mitglied: Xaero1982
29.11.2009 um 14:22 Uhr
Hey,

hab die Tools von Symantec, Sophos, dann das Ding von Felix Leder und Tillmann Werner drüber laufen lassen - ohne Ergebnis

Habe alle Run-Einträge überprüft: Nichts

Dienste auch nicht ...

GMER? Schau ich mal (gibts nicht für Server 2008 x64 - läuft trotzdem .. mal sehen)


LG

Edit: Das Update "Sicherheitsupdate für Windows Server 2008 x64 Edition (KB958644)" kann ich nicht installieren. Sagt, dass es nicht für das System gedacht ist
Edit2: Habe nun noch das Tool von Kaspersky rüber laufen lassen - wieder nichts
Edit3: Habe gerade mal packetyzer auf den Servern installiert und mir ist was aufgefallen.
Von einer mobilen Einheit hier im Netz werden querries an die eingeschalteten Pcs gesandt. In einem Paket steht folgendes:
"PC NETWORK PROGRAM 1.0 LANMAN1.0 Windows for Workgroups 3.1a LM1.2x002 LANMAN 2.1 NT LM 0.12"
Danach folgt das:
Summary(Paket)

SMB: Session Setup AndX Request (Windows 2002 Service Pack 3 2600 Windows 2002)
SMB:: Tree Connect AndX Request, Path \\Servername\IPC$ (\\Servername\IPC$)
SMB: Tree Connect AndX Request, Path \\Servername\ADMIN$ (\\Servername\ADMIN$)
SMB: NT Create AndX Request Path: \System32\tplhp.t"
etc.

Diese tphlp.t ist das was immer als Virus erkannt wird ...



Kann damit jemand was anfangen?
Bitte warten ..
Mitglied: Mitchell
30.11.2009 um 22:02 Uhr
steht auf gelöst, gewollt? Wenn ja, wäre es nett, die Lösung für andere Mitglieder niederzuschreiben.

Mfg
Mitchell
Bitte warten ..
Mitglied: Xaero1982
30.11.2009 um 22:17 Uhr
Ja gewollt

Nun hab mich ein wenig belesen über meinen "neuen Freund" und diverse Tools heruntergeladen. (Conficker Removaltools - Das von Kaspersky (KKiller) kann ich echt empfehlen. Schnell und konsequent.

Ansonsten wichtig:
Alle Rechner vom Netz abklemmen.
MS Patch http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067. ...

Dann die beiden auf einen USB Stick kopieren. KKiller drüber laufen lassen und patchen.

Merkmale des Conficker.A sind u.a. versteckte Dateien lassen sich nicht anzeigen, MS Update Seite ist geblockt (Update Dienste deaktiviert) etc... könnte hier nun Seiten füllen, aber das lässt sich leicht googlen.

Danach am besten den Stick über die cmd> dir /a prüfen. Wenn die Datei "autorun.inf" und ein Ordner Namens "Recycler" mit einer "*.vmx" Datei darin enthalten vorhanden sind diese beiden löschen.

Danach sollte der Rechner wieder clean sein und gepatched.

LG
Bitte warten ..
Ähnliche Inhalte
Windows 10
Logitech Downlad Assistent: system32 rundll32.exe
gelöst Frage von psy-tekWindows 102 Kommentare

Hi. In meinen Win10 Taskmanger ist ein Logitech Download Assistent beim Autostart eingetragen. Welcher auf: C:\Windows\System32 liegt. Unter "Programme ...

Windows Server
Rundll32.exe funktioniert nicht mehr - RDP-Abmeldung
Frage von Odde23Windows Server3 Kommentare

Hallo zusammen, ich habe an einem Windows 2003 R2 Standard Server (32-bit) folgendes Problem, nach dem ein RDP-Client von ...

Windows Tools
ToDo Aufgabenverwaltung gesucht
Frage von draculausWindows Tools4 Kommentare

Hallo zusammen! wir setzen bei uns im Unternehmen eine selbst programmierte Access Datenbank für die Aufgabenverwaltung der Mitarbeiter ein. ...

Monitoring
Port abhören (Malware Conficker)
gelöst Frage von MesaricMonitoring8 Kommentare

Werte Profis :), ich benötige wieder einmal euren Rat. Ich würde gerne ein gewisses Port bei unserem Server abhören ...

Neue Wissensbeiträge
CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 47 MinutenCPU, RAM, Mainboards1 Kommentar

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 14 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 21 StundenDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 1 TagMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör11 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...