Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Mitchell am 01.12.2009 um 11:33:03 Uhr
Titel ein wenig abgeändert.
GELÖST

Rundll32.exe - Aufgabenverwaltung, Conficker löschen

Frage Microsoft Windows Server

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

29.11.2009, aktualisiert 01.12.2009, 6922 Aufrufe, 4 Kommentare, 1 Danke

Hey Leute,

bin gerade echt am verzweifeln. Auf meinen Servern die ich verwalte Windows Server 2008 inkl. aller aktuellen Updates werden in der Aufgabenverwaltung (Taskplaner) ständig, ohne zeitlichen Zusammenhang Task angelegt Namens: T1 bis Tn.

Diese rufen die rundll32.exe auf und als parameter wird irgendwelcher kryptischer Mist mitgegeben.

GData findet die Dateien und löscht diese immer wieder.

Bei dem Wurm handelt es sich um den "Win32.Worm.Downadup.Gen (Engine A), Win32.Kino-G (Wrm) (Engine B)"

Dateiname: Beispiel: defxhp.np

Die Dateien befinden sich in c:\Windows\system32

Angeblich auch bekannt als Conficker ... ich hab schon diverse Tools drüber laufen lassen und er findet nichts.

Jemand eine Idee wie ich den Kram los werde?
Keine Lust ca. 220 Clients und 4 Server (Print, File, Mail, ADC) neu aufzusetzen ...

LG und Dank
Mitglied: Mitchell
29.11.2009 um 14:13 Uhr
Hi Xaero,

welche Tools hast du denn drüberlaufen lassen? Habe hier nämlich auch noch diverse, bis jetzt war Sophos und ein anschließender Check mit GMER immer sehr brauchbar.

Mfg
Mitchell

PS: In der Registry schon nachgeschaut bzgl. RUN-Einträgen? Auch mal die Dienste checken
Bitte warten ..
Mitglied: Xaero1982
29.11.2009 um 14:22 Uhr
Hey,

hab die Tools von Symantec, Sophos, dann das Ding von Felix Leder und Tillmann Werner drüber laufen lassen - ohne Ergebnis

Habe alle Run-Einträge überprüft: Nichts

Dienste auch nicht ...

GMER? Schau ich mal (gibts nicht für Server 2008 x64 - läuft trotzdem .. mal sehen)


LG

Edit: Das Update "Sicherheitsupdate für Windows Server 2008 x64 Edition (KB958644)" kann ich nicht installieren. Sagt, dass es nicht für das System gedacht ist
Edit2: Habe nun noch das Tool von Kaspersky rüber laufen lassen - wieder nichts
Edit3: Habe gerade mal packetyzer auf den Servern installiert und mir ist was aufgefallen.
Von einer mobilen Einheit hier im Netz werden querries an die eingeschalteten Pcs gesandt. In einem Paket steht folgendes:
"PC NETWORK PROGRAM 1.0 LANMAN1.0 Windows for Workgroups 3.1a LM1.2x002 LANMAN 2.1 NT LM 0.12"
Danach folgt das:
Summary(Paket)

SMB: Session Setup AndX Request (Windows 2002 Service Pack 3 2600 Windows 2002)
SMB:: Tree Connect AndX Request, Path \\Servername\IPC$ (\\Servername\IPC$)
SMB: Tree Connect AndX Request, Path \\Servername\ADMIN$ (\\Servername\ADMIN$)
SMB: NT Create AndX Request Path: \System32\tplhp.t"
etc.

Diese tphlp.t ist das was immer als Virus erkannt wird ...



Kann damit jemand was anfangen?
Bitte warten ..
Mitglied: Mitchell
30.11.2009 um 22:02 Uhr
steht auf gelöst, gewollt? Wenn ja, wäre es nett, die Lösung für andere Mitglieder niederzuschreiben.

Mfg
Mitchell
Bitte warten ..
Mitglied: Xaero1982
30.11.2009 um 22:17 Uhr
Ja gewollt

Nun hab mich ein wenig belesen über meinen "neuen Freund" und diverse Tools heruntergeladen. (Conficker Removaltools - Das von Kaspersky (KKiller) kann ich echt empfehlen. Schnell und konsequent.

Ansonsten wichtig:
Alle Rechner vom Netz abklemmen.
MS Patch http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067. ...

Dann die beiden auf einen USB Stick kopieren. KKiller drüber laufen lassen und patchen.

Merkmale des Conficker.A sind u.a. versteckte Dateien lassen sich nicht anzeigen, MS Update Seite ist geblockt (Update Dienste deaktiviert) etc... könnte hier nun Seiten füllen, aber das lässt sich leicht googlen.

Danach am besten den Stick über die cmd> dir /a prüfen. Wenn die Datei "autorun.inf" und ein Ordner Namens "Recycler" mit einer "*.vmx" Datei darin enthalten vorhanden sind diese beiden löschen.

Danach sollte der Rechner wieder clean sein und gepatched.

LG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
gelöst Logitech Downlad Assistent: system32 rundll32.exe (2)

Frage von psy-tek zum Thema Windows 10 ...

Windows Server
gelöst Administrator kann auf Server keine EXE-Dateien kopieren, löschen, anlegen (5)

Frage von Winfried-HH zum Thema Windows Server ...

Microsoft Office
Microsoftaccount löschen (3)

Frage von Kroni99 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...