Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Firmen Rechner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.12.2004, 12:10   #1
Fright
 
Firmen Rechner - Standard

Firmen Rechner



Hallo zusammen bin neu hier und durch zufall hier drauf gestoßen.

Nun hab ich ne frage hab die Datei "xplugin.dll" unter C:\windows\system32\ gefunden und ist mir unbekannt nun hab ich virenscanner eingeschaltet und hat mir nix gesagt, doch Ad-aware 6.0 hat gefunden. Nun möchte ich gern wissen ob eine infizierte Datei ist und wenn ja was sie bewirkt und ob das einfache löschen reicht.

Daten

XP Software drauf läuft über einen Windows2000 Server

Danke schonmal für die Antwort

Alt 09.12.2004, 12:17   #2
Lutz
 

Firmen Rechner - Standard

Firmen Rechner



Hallo Fright,

bei 'Firmen-Rechner' werde ich berufsbedingt immer etwas hellhörig...
Daher meine erste Fragen:
  1. Bist Du der Administrator dieses Rechners?
  2. Wenn nein, weiß dieser Bescheid?
Ansonsten klingt es sehr nach Adware. Wenn Du Admin bist, poste bitte mal ein Log von HijackThis.
__________________

__________________

Alt 09.12.2004, 12:26   #3
Fright
 
Firmen Rechner - Standard

Firmen Rechner



Bin nicht der Admin hab zwar admin PW bekommen doch bin nicht der admin.

Der Admin ist von einer anderen firma die sich um rechner von uns kümmern. Hab aber erlaubnis die normalen rechner zu warten von boss.

Der admin selbst hat mir nur nicht erlaubt an server was zu machen und gesagt soll bescheid sagen wenn was am rechner mache was wichtig ist.
__________________

Alt 09.12.2004, 12:45   #4
Lutz
 

Firmen Rechner - Standard

Firmen Rechner



OK. Mit einem Scan mit HijackThis (Link in meiner 1. Antwort) kannst Du erst einmal nichts kaputt machen. Das ist imho vertretbar.
Poste bitte das Ergebnis hier.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 09.12.2004, 13:14   #5
Fright
 
Firmen Rechner - Standard

Firmen Rechner



Logfile of HijackThis v1.98.2
Scan saved at 13:11:41, on 09.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dkomann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Claus.lnk = C:\Install\Claus.bat
O4 - Startup: Tobit InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254
O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll


Alt 09.12.2004, 14:19   #6
Lutz
 

Firmen Rechner - Standard

Firmen Rechner



Hallo Fright,

gönne HijackThis bitte zunächst einen eigenen Ordner.
Zum Beispiel C:\Dokumente und Einstellungen\...\Desktop\HijackThis\ sonst hast Du hinterher mehrer Backup Ordner auf dem Desktop.

Die beiden folgenden Einträge kannst Du bedenkenlos -auch auf einem Firmenrechner fixen (in HijackThis Zeilen markieren und Fix checked anklicken):
Zitat:
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Inst...nsAssistent.ocx
Diese Zeile sagt mir nichts, aber ich vermute, dass es sich um eine Firmensoftware bei Euch handelt:
Zitat:
O4 - Startup: Claus.lnk = C:\Install\Claus.bat
Ansonsten sehe ich in dem Log nichts besorgniserregendes .

Da Ad-aware 6.0 auf dem Rechner bereits installiert ist, solltest Du -nach Absprache mit dem Admin- die aktuelle Version dieses Tools installieren und damit scannen.

Setzt ihr auf einem Firmenrechner die 'Home-Edition' von AntiVir ein?
Zitat:
C:\Programme\AVPersonal\AVGUARD.EXE
Das ist 'nicht wirklich' legal. Aber andererseits auch nicht mein Problem...
Mach mal einen Virenscan über den kompletten Rechner im abgesicherten Modus ( [F8]-Taste beim booten gedrückt halten ).
Sollte dort nichts gefunden werden, überprüfe die Datei C:\windows\system32\xplugin.dll einmal unter dieser Adresse. Teil uns bitte das Ergebnis mit.

Und nochmal die Bitte, den Admin über Deine einzelnen Schritte zu informieren...


Noch etwas grundsätzliches zum Abschluss:
Ich kenne nicht die Größe Eurer Firma und nicht die Art, wie Ihr ins Internet geht, aber es hat den Anschein, als wenn da noch einiges einer dringenden Überprüfung bedarf.
__________________
--> Firmen Rechner

Alt 09.12.2004, 18:23   #7
Fright
 
Firmen Rechner - Standard

Firmen Rechner



okay das mit antivir wusste ich nicht kein problem wird geändert unsere firma hat ca. 20 leute meiste sind Außendienstler.

hier sind 2 leptops 10 rechner und der server.

fixen mach jetzt eben und rest morgen. was meinste mit sicherheit machen wegen internet kenne mich ja nicht wirklich gut aus nur grund sachen die jedermann der etwas mit rechnern macht.

das mit claus.bat ist scipt fürn server damit sich verbiendet wegen rechten usw. wird aber von admin bald anders gemacht. war wohl damit nicht so viel arbeit ist und jeder eh nur einen eigenen ordner auf server hat.

werd heute abend mal meinen rechner testen. da bin ich mir sicher kommt mehr raus wenn schaffe mein laptop den geschenkt bekommen habe eine log zu erstellen da er mit einen elitetool programm oder so infiziert ist kaum was machen kann bekomme werd auch hier posten muss los wo anders noch arbeiten ciao

PS: Danke!!

Alt 10.12.2004, 13:03   #8
Fright
 
Firmen Rechner - Standard

Firmen Rechner



The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ist die antwort wegen der einen daten nun eine anderer rechner der auch probleme hat.

Logfile of HijackThis v1.98.2
Scan saved at 13:00:35, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dkoman\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Anmeldung] c:\install\röhl.bat
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098772350288
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1
O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll

THX nochmal!

Alt 10.12.2004, 13:21   #9
Lutz
 

Firmen Rechner - Standard

Firmen Rechner



Zitat:
Zitat von Fright
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
Benenne die Datei einfach mal um, beispielsweise in xplugin.old, starte den Rechner neu und beobachte, ob sich ein Unterschied ergibt.

Zitat:
Zitat von Fright
...nun eine anderer rechner der auch probleme hat.
Ich nehme mal an, dass ist auch ein Firmenrechner?!?
Ich wiederhole noch einmal von gestern, der Boss der Fa. sollte sich dringend mal Gedanken um seine Sicherheit, bzw. die Sicherheit seiner Daten machen. Ich hab den Eindruck, ihr habt da Löcher groß wie Scheunentore und wisst es nicht einmal...
Euer 'Admin' von der Fremdfirma bekommt doch sicherlich Geld für das, was er bei Euch macht? Dann soll er sich gefälligst auch mal um Datensicherheit, sichere Internetzugänge und dergleichen kümmern. Sorry für die deutlichen Worte, aber in diesem Forum können (und wollen!) wir nur Privatleuten bei ihren Problemen helfen. Proffesioneller Support (im Sinne von Firmensupport) kann hier nicht stattfinden...

Zitat:
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
Soetwas gehört imho schon mal gar nicht auf einen Firmenrechner. Ihr habt doch sicherlich vertrauliche/schützenswerte Daten auf den Rechnern?

Zitat:
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
Dieser Eintrag sollte mit HijackThis gefixt werden. Falls vorhanden die Datei C:\foo.mht löschen.

Nochmal:
'Irgendjemand' sollte sich bei Euch dringend mit dem Thema Datensicherheit/Datenschutz auseinandersetzen und ein entsprechendes Konzept erarbeiten.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 23.12.2004, 15:53   #10
Fright
 
Firmen Rechner - Standard

Firmen Rechner



Lutz kannst mir einige Sachen dazu sagen was genau gemacht werden müsste, da der Boss immer beispiele haben will. Sonst sagt er immer gleich "Was wollen sie nun von mir"

Antwort

Themen zu Firmen Rechner
.dll, ad-aware, antwort, bewirkt, c:\windows, datei, frage, hallo zusammen, infizierte, infizierte datei, löschen, neu, rechner, scan, scanner, schonmal, software, system, system32, unbekannt, virenscan, virenscanner, windows, windows2000, zusammen



Ähnliche Themen: Firmen Rechner


  1. US-Firmen wollen Datenschutz im Internet der Dinge stärken
    Nachrichten - 13.08.2015 (0)
  2. Telekom Rechnung auf Firmen-PC geöffnet
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (1)
  3. Firmen-PC Trojaner eingefangen
    Log-Analyse und Auswertung - 15.10.2014 (3)
  4. Datenschutz-Selbsttest für Firmen im Internet
    Nachrichten - 02.07.2014 (0)
  5. NSA-Skandal: Bundesregierung fordert No-Spy-Garantie von IT-Firmen
    Nachrichten - 16.05.2014 (0)
  6. Firmen und Behörden schlampen bei Mail-Verschlüsselung
    Nachrichten - 09.04.2014 (0)
  7. Berichte: Hacker griffen Firmen und Behörden an
    Nachrichten - 24.02.2013 (0)
  8. Studie: Firmen im Internet schutzlos
    Nachrichten - 11.02.2013 (1)
  9. Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage
    Plagegeister aller Art und deren Bekämpfung - 08.02.2013 (19)
  10. Trojaner Befall Firmen Rechner Neuinstallation wird abgelehnt
    Antiviren-, Firewall- und andere Schutzprogramme - 20.11.2012 (11)
  11. Virus Bundespolizei auf Firmen PC (ohne Adminrechte)
    Alles rund um Windows - 15.03.2012 (1)
  12. Kundendatenklau bei Dienstleister betrifft zahlreiche US-Firmen
    Nachrichten - 06.04.2011 (0)
  13. Right Media und Firmen Profile
    Überwachung, Datenschutz und Spam - 29.12.2009 (2)
  14. Seltsame Drops auf der Firmen-Firewall
    Plagegeister aller Art und deren Bekämpfung - 04.12.2009 (2)
  15. Trojaner auf Firmen Rechner
    Plagegeister aller Art und deren Bekämpfung - 24.07.2007 (1)
  16. EIngeschränkte Konnektivität in Firmen-WLAN
    Netzwerk und Hardware - 28.06.2007 (14)
  17. Schutzprogramme für Firmen-PC'S
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2006 (9)

Zum Thema Firmen Rechner - Hallo zusammen bin neu hier und durch zufall hier drauf gestoßen. Nun hab ich ne frage hab die Datei "xplugin.dll" unter C:\windows\system32\ gefunden und ist mir unbekannt nun hab ich - Firmen Rechner...
Archiv
Du betrachtest: Firmen Rechner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.