CMDService

NAFNAF · 23.03.2006, 11:00

Morgen,
ich bin der neue und soll hier singen.
Nein, Spass beiseite. Nach einem Kanadaaufenthalt mit kostemlosen WLAN ACCESS im Hotel hab ich Theater mit meinem Notebook. Ad Aware hat schon das gröbste geregelt aber Spyboot findet immer noch was zu meckern.
Und zwar "cmdservice"
Das war auch schon mal Thema hier in einem Thread und ich wollte den Eintrag einfach mittels Regeddit löschen, aber das geht nicht. Mache ich da was falsch ???
Ich muss zugeben das ich bisher erfreulicherweise immer von hartnäckigen Viren verschont worden bin aber einmal muss ja das erstemal sein.
Also bevor ich hier was poste würde ich gerne wissen:
a) Was macht dieser Dienst.
b) wie kann ich diesen Eintrag und den dazugehörigen Eintrag der dann aufgerufen wird löschen.

MfG und vielen Dank im voraus.

Christian

Rene-gad · 23.03.2006, 11:09

@NAFNAF

Zitat:

Das war auch schon mal Thema hier in einem Thread und ich wollte den Eintrag einfach mittels Regeddit löschen, aber das geht nicht.

Geht nicht ist keine Fehlerbeschreibung. Was genau geht nicht?

Zitat:

a) Was macht dieser Dienst.

http://www.xblock.com/product_show.php?id=2295

Zitat:

b) wie kann ich diesen Eintrag und den dazugehörigen Eintrag der dann aufgerufen wird löschen.

Fixe den O23-Eintrag mittels HJT (Anleitung zum Tool ist in meiner Sigantur verlinkt) und lösche im abgesicherten Modus die entsprechende Datei.

NAFNAF · 29.03.2006, 08:11

Habe im HJT nix gefunden was mit CMDservice zu tun hat.
Hier mein LOGFILE.
Würde mich über Hilfe freuen. DANKE
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Eigene Dateien\Downloads\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.200.200.101:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.200.200.101:3128;http=192.200.200.101:3128;https=192.200.200.101:3128;socks=192.200.200.101:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe
O4 - HKLM\..\Run: [TheMonitor] C:\WINDOWS\SYSC00.exe
O4 - HKLM\..\Run: [Wmnsih] C:\Program Files\Owwjg\Exlyidp.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe
O4 - HKLM\..\Run: [lbymmvpA] C:\WINDOWS\lbymmvpA.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://192.200.200.101:3128/ken2000.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXXXXXXXXXXXX.de
O17 - HKLM\Software\..\Telephony: DomainName = XXXXXXXXXXXXXXxxxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2D9B639-5D6D-45BB-AFB1-8F29F26C61E3}: NameServer = 192.200.200.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXXXXXXXXXXXXXXxx.de
O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\ojeacc.dll (file missing)
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\enl8l13u1.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: MCT10 Service - Unknown owner - C:\Programme\Danfoss Drives\VLT Motion Control Tool\MCT 10 Set-up Software\MCTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\program files\common files\Siemens\S7IEPG\s7oiehsx.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe

Rene-gad · 29.03.2006, 08:20

@NAFNAF
HJT-Log soll im Normalmodus erstellt werden.

Zitat:

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlen die Systemangaben, aber wenn es sich um WinXP handelt, fehlt auch SP2. Infolge dessen hast du mehrere Schädlinge drauf:

Zitat:

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe
O4 - HKLM\..\Run: [TheMonitor] C:\WINDOWS\SYSC00.exe
O4 - HKLM\..\Run: [Wmnsih] C:\Program Files\Owwjg\Exlyidp.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe
O4 - HKLM\..\Run: [lbymmvpA] C:\WINDOWS\lbymmvpA.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe
O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\ojeacc.dll (file missing)
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\enl8l13u1.dll

Ab Besten und am Schnellsten wäre, Windows neu aufzusetzen. Anleitung ist in meiner Signatur verlinkt.

NAFNAF · 29.03.2006, 13:00

Na super.
Da ich einiges an Programmiersoftware auf dem Rechner habe, die freigeschaltet werden muss ist neu aufsetzen nur bedingt die "Erste Wahl".
Ad Aware und Spybot bekommen alles weg bis auf den CMDservice. Kannst du mir hierfür noch einen Tip geben oder ist das alles vergebene Liebesmühe???

Vielen Dank einstweilen

Christian

Rene-gad · 29.03.2006, 14:33

@NAFNAF
Checke erstmal die von mir verdächtigen Dateien bei www.virustotal.com.
Dann schauen wir weiter, allerdings geht es hier IMHO nur um eine Zeitverschwendung.

CMDService

Plagegeister aller Art und deren Bekämpfung: CMDService

CMDService

CMDService

CMDService

CMDService

CMDService

CMDService

Ähnliche Themen: CMDService

29.03.2006, 13:00	#5
NAFNAF	CMDService Na super. Da ich einiges an Programmiersoftware auf dem Rechner habe, die freigeschaltet werden muss ist neu aufsetzen nur bedingt die "Erste Wahl". Ad Aware und Spybot bekommen alles weg bis auf den CMDservice. Kannst du mir hierfür noch einen Tip geben oder ist das alles vergebene Liebesmühe??? Vielen Dank einstweilen Christian

29.03.2006, 14:33	#6
Rene-gad	CMDService @NAFNAF Checke erstmal die von mir verdächtigen Dateien bei www.virustotal.com. Dann schauen wir weiter, allerdings geht es hier IMHO nur um eine Zeitverschwendung.