Hallo zusammen bin neu hier und durch zufall hier drauf gestoßen.

Nun hab ich ne frage hab die Datei "xplugin.dll" unter C:\windows\system32\ gefunden und ist mir unbekannt nun hab ich virenscanner eingeschaltet und hat mir nix gesagt, doch Ad-aware 6.0 hat gefunden. Nun möchte ich gern wissen ob eine infizierte Datei ist und wenn ja was sie bewirkt und ob das einfache löschen reicht.

Daten

XP Software drauf läuft über einen Windows2000 Server

Danke schonmal für die Antwort

Hallo Fright,

bei 'Firmen-Rechner' werde ich berufsbedingt immer etwas hellhörig...
Daher meine erste Fragen:

1. Bist Du der Administrator dieses Rechners?
2. Wenn nein, weiß dieser Bescheid?

Ansonsten klingt es sehr nach Adware. Wenn Du Admin bist, poste bitte mal ein Log von HijackThis.

Bin nicht der Admin hab zwar admin PW bekommen doch bin nicht der admin.

Der Admin ist von einer anderen firma die sich um rechner von uns kümmern. Hab aber erlaubnis die normalen rechner zu warten von boss.

Der admin selbst hat mir nur nicht erlaubt an server was zu machen und gesagt soll bescheid sagen wenn was am rechner mache was wichtig ist.

OK. Mit einem Scan mit HijackThis (Link in meiner 1. Antwort) kannst Du erst einmal nichts kaputt machen. Das ist imho vertretbar.
Poste bitte das Ergebnis hier.

Logfile of HijackThis v1.98.2
Scan saved at 13:11:41, on 09.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dkomann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Claus.lnk = C:\Install\Claus.bat
O4 - Startup: Tobit InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D655A7A-98BA-48BC-B5E3-EE3912204E97}: NameServer = 192.168.0.1,192.168.0.254
O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll

Hallo Fright,

gönne HijackThis bitte zunächst einen eigenen Ordner.
Zum Beispiel C:\Dokumente und Einstellungen\...\Desktop\HijackThis\ sonst hast Du hinterher mehrer Backup Ordner auf dem Desktop.

Die beiden folgenden Einträge kannst Du bedenkenlos -auch auf einem Firmenrechner fixen (in HijackThis Zeilen markieren und Fix checked anklicken):

Zitat:

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Inst...nsAssistent.ocx

Diese Zeile sagt mir nichts, aber ich vermute, dass es sich um eine Firmensoftware bei Euch handelt:

Zitat:

O4 - Startup: Claus.lnk = C:\Install\Claus.bat

Ansonsten sehe ich in dem Log nichts besorgniserregendes .

Da Ad-aware 6.0 auf dem Rechner bereits installiert ist, solltest Du -nach Absprache mit dem Admin- die aktuelle Version dieses Tools installieren und damit scannen.

Setzt ihr auf einem Firmenrechner die 'Home-Edition' von AntiVir ein?

Zitat:

C:\Programme\AVPersonal\AVGUARD.EXE

Das ist 'nicht wirklich' legal. Aber andererseits auch nicht mein Problem...
Mach mal einen Virenscan über den kompletten Rechner im abgesicherten Modus ( [F8]-Taste beim booten gedrückt halten ).
Sollte dort nichts gefunden werden, überprüfe die Datei C:\windows\system32\xplugin.dll einmal unter dieser Adresse. Teil uns bitte das Ergebnis mit.

Und nochmal die Bitte, den Admin über Deine einzelnen Schritte zu informieren...

Noch etwas grundsätzliches zum Abschluss:
Ich kenne nicht die Größe Eurer Firma und nicht die Art, wie Ihr ins Internet geht, aber es hat den Anschein, als wenn da noch einiges einer dringenden Überprüfung bedarf.

okay das mit antivir wusste ich nicht kein problem wird geändert unsere firma hat ca. 20 leute meiste sind Außendienstler.

hier sind 2 leptops 10 rechner und der server.

fixen mach jetzt eben und rest morgen. was meinste mit sicherheit machen wegen internet kenne mich ja nicht wirklich gut aus nur grund sachen die jedermann der etwas mit rechnern macht.

das mit claus.bat ist scipt fürn server damit sich verbiendet wegen rechten usw. wird aber von admin bald anders gemacht. war wohl damit nicht so viel arbeit ist und jeder eh nur einen eigenen ordner auf server hat.

werd heute abend mal meinen rechner testen. da bin ich mir sicher kommt mehr raus wenn schaffe mein laptop den geschenkt bekommen habe eine log zu erstellen da er mit einen elitetool programm oder so infiziert ist kaum was machen kann bekomme werd auch hier posten muss los wo anders noch arbeiten ciao

PS: Danke!!

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ist die antwort wegen der einen daten nun eine anderer rechner der auch probleme hat.

Logfile of HijackThis v1.98.2
Scan saved at 13:00:35, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dkoman\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Anmeldung] c:\install\röhl.bat
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098772350288
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\Software\..\Telephony: DomainName = Trendmobil.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Trendmobil.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10876C3C-4DB7-484F-A713-A59D0BF6D2DD}: NameServer = 192.168.0.1
O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Programme\ACT\actlink.dll

THX nochmal!

Zitat:

Zitat von Fright

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Benenne die Datei einfach mal um, beispielsweise in xplugin.old, starte den Rechner neu und beobachte, ob sich ein Unterschied ergibt.

Zitat:

Zitat von Fright

...nun eine anderer rechner der auch probleme hat.

Ich nehme mal an, dass ist auch ein Firmenrechner?!?
Ich wiederhole noch einmal von gestern, der Boss der Fa. sollte sich dringend mal Gedanken um seine Sicherheit, bzw. die Sicherheit seiner Daten machen. Ich hab den Eindruck, ihr habt da Löcher groß wie Scheunentore und wisst es nicht einmal...
Euer 'Admin' von der Fremdfirma bekommt doch sicherlich Geld für das, was er bei Euch macht? Dann soll er sich gefälligst auch mal um Datensicherheit, sichere Internetzugänge und dergleichen kümmern. Sorry für die deutlichen Worte, aber in diesem Forum können (und wollen!) wir nur Privatleuten bei ihren Problemen helfen. Proffesioneller Support (im Sinne von Firmensupport) kann hier nicht stattfinden...

Zitat:

O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t

Soetwas gehört imho schon mal gar nicht auf einen Firmenrechner. Ihr habt doch sicherlich vertrauliche/schützenswerte Daten auf den Rechnern?

Zitat:

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

Dieser Eintrag sollte mit HijackThis gefixt werden. Falls vorhanden die Datei C:\foo.mht löschen.

Nochmal:
'Irgendjemand' sollte sich bei Euch dringend mit dem Thema Datensicherheit/Datenschutz auseinandersetzen und ein entsprechendes Konzept erarbeiten.

Lutz kannst mir einige Sachen dazu sagen was genau gemacht werden müsste, da der Boss immer beispiele haben will. Sonst sagt er immer gleich "Was wollen sie nun von mir"