|
Plagegeister aller Art und deren Bekämpfung: CMDServiceWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.03.2006, 11:00 | #1 |
| CMDService Morgen, ich bin der neue und soll hier singen. Nein, Spass beiseite. Nach einem Kanadaaufenthalt mit kostemlosen WLAN ACCESS im Hotel hab ich Theater mit meinem Notebook. Ad Aware hat schon das gröbste geregelt aber Spyboot findet immer noch was zu meckern. Und zwar "cmdservice" Das war auch schon mal Thema hier in einem Thread und ich wollte den Eintrag einfach mittels Regeddit löschen, aber das geht nicht. Mache ich da was falsch ??? Ich muss zugeben das ich bisher erfreulicherweise immer von hartnäckigen Viren verschont worden bin aber einmal muss ja das erstemal sein. Also bevor ich hier was poste würde ich gerne wissen: a) Was macht dieser Dienst. b) wie kann ich diesen Eintrag und den dazugehörigen Eintrag der dann aufgerufen wird löschen. MfG und vielen Dank im voraus. Christian |
23.03.2006, 11:09 | #2 | |||
| CMDService @NAFNAF
__________________Zitat:
Zitat:
Zitat:
|
29.03.2006, 08:11 | #3 |
| CMDService Habe im HJT nix gefunden was mit CMDservice zu tun hat.
__________________Hier mein LOGFILE. Würde mich über Hilfe freuen. DANKE MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Eigene Dateien\Downloads\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://192.200.200.101:3128/ken2000.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.200.200.101:3128;http=192.200.200.101:3128;https=192.200.200.101:3128;socks=192.200.200.101:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard6.exe O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad6.exe O4 - HKLM\..\Run: [TheMonitor] C:\WINDOWS\SYSC00.exe O4 - HKLM\..\Run: [Wmnsih] C:\Program Files\Owwjg\Exlyidp.exe O4 - HKLM\..\Run: [newname] C:\windows\newname6.exe O4 - HKLM\..\Run: [lbymmvpA] C:\WINDOWS\lbymmvpA.exe O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programme\webHancer\Programs\whsurvey.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Digital Line Detect.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O11 - Options group: [JAVA_IBM] Java (IBM) O14 - IERESET.INF: START_PAGE_URL=http://192.200.200.101:3128/ken2000.html O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXXXXXXXXXXXX.de O17 - HKLM\Software\..\Telephony: DomainName = XXXXXXXXXXXXXXxxxx.de O17 - HKLM\System\CCS\Services\Tcpip\..\{E2D9B639-5D6D-45BB-AFB1-8F29F26C61E3}: NameServer = 192.200.200.101 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXXXXXXXXXXXXXXxx.de O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\ojeacc.dll (file missing) O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\enl8l13u1.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: MCT10 Service - Unknown owner - C:\Programme\Danfoss Drives\VLT Motion Control Tool\MCT 10 Set-up Software\MCTServ.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\program files\common files\Siemens\S7IEPG\s7oiehsx.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe |
29.03.2006, 08:20 | #4 | ||
| CMDService @NAFNAF HJT-Log soll im Normalmodus erstellt werden. Zitat:
Zitat:
|
29.03.2006, 13:00 | #5 |
| CMDService Na super. Da ich einiges an Programmiersoftware auf dem Rechner habe, die freigeschaltet werden muss ist neu aufsetzen nur bedingt die "Erste Wahl". Ad Aware und Spybot bekommen alles weg bis auf den CMDservice. Kannst du mir hierfür noch einen Tip geben oder ist das alles vergebene Liebesmühe??? Vielen Dank einstweilen Christian |
29.03.2006, 14:33 | #6 |
| CMDService @NAFNAF Checke erstmal die von mir verdächtigen Dateien bei www.virustotal.com. Dann schauen wir weiter, allerdings geht es hier IMHO nur um eine Zeitverschwendung. |
Themen zu CMDService |
access, ad aware, aware, cmdservice, einfach, eintrag, falsch, hartnäckige, hartnäckigen, hotel, löschen, morgen, neue, poste, spass, spyboot, thema, thread, vielen dank, viren, wissen, wlan, würde |