|
Firmen Rechner Hallo zusammen bin neu hier und durch zufall hier drauf gestoßen. Nun hab ich ne frage hab die Datei "xplugin.dll" unter C:\windows\system32\ gefunden und ist mir unbekannt nun hab ich virenscanner eingeschaltet und hat mir nix gesagt, doch Ad-aware 6.0 hat gefunden. Nun möchte ich gern wissen ob eine infizierte Datei ist und wenn ja was sie bewirkt und ob das einfache löschen reicht. Daten XP Software drauf läuft über einen Windows2000 Server Danke schonmal für die Antwort |
Hallo Fright, bei 'Firmen-Rechner' werde ich berufsbedingt immer etwas hellhörig... Daher meine erste Fragen:
|
Bin nicht der Admin hab zwar admin PW bekommen doch bin nicht der admin. Der Admin ist von einer anderen firma die sich um rechner von uns kümmern. Hab aber erlaubnis die normalen rechner zu warten von boss. Der admin selbst hat mir nur nicht erlaubt an server was zu machen und gesagt soll bescheid sagen wenn was am rechner mache was wichtig ist. |
OK. Mit einem Scan mit HijackThis (Link in meiner 1. Antwort) kannst Du erst einmal nichts kaputt machen. Das ist imho vertretbar. Poste bitte das Ergebnis hier. |
Logfile of HijackThis v1.98.2 Scan saved at 13:11:41, on 09.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\r_server.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\D\D-Info Sommer 2004\distart.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\TOBITI~1\DVREMIND.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\dkomann\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Claus.lnk = C:\Install\Claus.bat O4 - Startup: Tobit InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de O17 - HKLM\System\CCS\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de O17 - HKLM\System\CS1\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254 O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll |
Hallo Fright, gönne HijackThis bitte zunächst einen eigenen Ordner. Zum Beispiel C:\Dokumente und Einstellungen\...\Desktop\HijackThis\ sonst hast Du hinterher mehrer Backup Ordner auf dem Desktop. Die beiden folgenden Einträge kannst Du bedenkenlos -auch auf einem Firmenrechner fixen (in HijackThis Zeilen markieren und Fix checked anklicken): Zitat:
Zitat:
Da Ad-aware 6.0 auf dem Rechner bereits installiert ist, solltest Du -nach Absprache mit dem Admin- die aktuelle Version dieses Tools installieren und damit scannen. Setzt ihr auf einem Firmenrechner die 'Home-Edition' von AntiVir ein? Zitat:
Mach mal einen Virenscan über den kompletten Rechner im abgesicherten Modus ( [F8]-Taste beim booten gedrückt halten ). Sollte dort nichts gefunden werden, überprüfe die Datei C:\windows\system32\xplugin.dll einmal unter dieser Adresse. Teil uns bitte das Ergebnis mit. Und nochmal die Bitte, den Admin über Deine einzelnen Schritte zu informieren... Noch etwas grundsätzliches zum Abschluss: Ich kenne nicht die Größe Eurer Firma und nicht die Art, wie Ihr ins Internet geht, aber es hat den Anschein, als wenn da noch einiges einer dringenden Überprüfung bedarf. |
okay das mit antivir wusste ich nicht kein problem wird geändert unsere firma hat ca. 20 leute meiste sind Außendienstler. hier sind 2 leptops 10 rechner und der server. fixen mach jetzt eben und rest morgen. was meinste mit sicherheit machen wegen internet kenne mich ja nicht wirklich gut aus nur grund sachen die jedermann der etwas mit rechnern macht. das mit claus.bat ist scipt fürn server damit sich verbiendet wegen rechten usw. wird aber von admin bald anders gemacht. war wohl damit nicht so viel arbeit ist und jeder eh nur einen eigenen ordner auf server hat. werd heute abend mal meinen rechner testen. da bin ich mir sicher kommt mehr raus wenn schaffe mein laptop den geschenkt bekommen habe eine log zu erstellen da er mit einen elitetool programm oder so infiziert ist kaum was machen kann bekomme werd auch hier posten muss los wo anders noch arbeiten ciao PS: Danke!! |
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file ist die antwort wegen der einen daten nun eine anderer rechner der auch probleme hat. Logfile of HijackThis v1.98.2 Scan saved at 13:00:35, on 10.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\r_server.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\eDonkey2000\edonkey2000.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\D\D-Info Sommer 2004\distart.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\dkoman\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [Anmeldung] c:\install\röhl.bat O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098772350288 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de O17 - HKLM\System\CCS\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de O17 - HKLM\System\CS1\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1 O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll THX nochmal! |
Zitat:
Zitat:
Ich wiederhole noch einmal von gestern, der Boss der Fa. sollte sich dringend mal Gedanken um seine Sicherheit, bzw. die Sicherheit seiner Daten machen. Ich hab den Eindruck, ihr habt da Löcher groß wie Scheunentore und wisst es nicht einmal... Euer 'Admin' von der Fremdfirma bekommt doch sicherlich Geld für das, was er bei Euch macht? Dann soll er sich gefälligst auch mal um Datensicherheit, sichere Internetzugänge und dergleichen kümmern. Sorry für die deutlichen Worte, aber in diesem Forum können (und wollen!) wir nur Privatleuten bei ihren Problemen helfen. Proffesioneller Support (im Sinne von Firmensupport) kann hier nicht stattfinden... Zitat:
Zitat:
Nochmal: 'Irgendjemand' sollte sich bei Euch dringend mit dem Thema Datensicherheit/Datenschutz auseinandersetzen und ein entsprechendes Konzept erarbeiten. |
Lutz kannst mir einige Sachen dazu sagen was genau gemacht werden müsste, da der Boss immer beispiele haben will. Sonst sagt er immer gleich "Was wollen sie nun von mir" |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board