Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
cmd.exe startet ständig

cmd.exe startet ständig


Log-Analyse und Auswertung: cmd.exe startet ständig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.10.2007, 23:53   #1
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


Halli Hallo!

Ich habe das Problem das sich bei mir ständig cmd.exe öffnet.
1. Ich habe keine ahnung was das ist
2. Es ist aufgetaucht seidem ich ein Trojaner via Viren Scaner (anti Vir) endeckt habe

3. es macht mir Angst und es nervt sehr...

wäre echt Klasse wenn mir jmd. helfen könnte.

habe vorsichtshalber mal ein Dingsbums gemacht ^^

ihr werdet es sicher erkennen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:11, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\ICQ6\ICQ.exe
C:\DOKUME~1\Kai\LOKALE~1\Temp\hippxs.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myvideo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "F:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [CaISSDT] "F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\RunOnce: [eISS_licreg] "F:\Programme\CA\eTrust Internet Security Suite\licreg.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: ocgrep - {B0DD31FF-260D-4919-80F4-821F6B873C98} - C:\WINDOWS\ocgrep.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - F:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

Alt 29.10.2007, 13:43   #2
undoreal
/// AVZ-Toolkit Guru
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


Halli hallo Flaming

Zitat:
3. es macht mir Angst und es nervt sehr...
das sollte es auch.

Zitat:
habe vorsichtshalber mal ein Dingsbums gemacht ^^
immer gut.. ^^


Zitat:
Es ist aufgetaucht seidem ich ein Trojaner via Viren Scaner (anti Vir) endeckt habe
wo wurde der Trojaner gefunden und was für einer war es? Wie lange liegt das zurück usw.. mehr Input bitte.

Die AntiVir Berichte wären wertvoll..

Du hat noch Maleware auf dem Rechner.

Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datein und lade sie auf VT und poste das Ergebnis.
__________________

__________________
Alt 29.10.2007, 19:00   #3
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


Vielen dank erstemal.
Ich verstehe dich leider nicht ganz. Soll ich diesen escan machen?

Ad-Aware hat nur Cookies gefunden und irgendwelche M3U-List Dateien die ich dann auch entfernt habe.
Also aufgetaucht ist das alle gestern nachdem ich einen Keygen geladen hatte!
naja hab mal was zusammen gestellt

Gefundene Viren mit Anti Vir am 28.10.2007

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\nsduo.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Yatagan.Dll' [TR/Yatagan.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

--------------
In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\msmhost.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.DLL.Ya.2' [TR/Dldr.DLL.Ya.2] gefunden.
Ausgeführte Aktion: Datei löschen
-----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\msmdev.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.dag' [TR/Dldr.Agent.dag] gefunden.
Ausgeführte Aktion: Datei löschen

-----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\install.bat'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.BHO.N' [TR/Agent.BHO.N] gefunden.
Ausgeführte Aktion: Datei löschen

----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

---------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

----------


In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\ocgrep.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.Dll' [TR/Zlob.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

---------
In der Datei 'C:\Programme\VideoAccessCodec\VideoAccessCodec.ocx'
wurde ein Virus oder unerwünschtes Programm 'TR/NewMedial.Dll' [TR/NewMedial.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

------

In der Datei 'C:\Programme\VideoAccessCodec\Uninstall.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Dldr.Zlob.AAGR' [DR/Dldr.Zlob.AAGR] gefunden.
Ausgeführte Aktion: Datei löschen

-----

In der Datei 'C:\Programme\VideoAccessCodec\VideoAccessCodec.ocx'
wurde ein Virus oder unerwünschtes Programm 'TR/NewMedial.Dll' [TR/NewMedial.Dll] gefunden.
Ausgeführte Aktion: Datei löschen
----------------------



Und hier ist das Ergbeniss von Spydoctor als jpg.
Hab die 2 Roten selber gesucht und gelöscht. Also in papierkorb verschoben etc.


PicUpload

----

Momentan taucht diese cmd.exe Konsole nicht mehr auf aber ich bin trotzdem noch ängstlich. Meine Passwörter sollen geheim bleiben

edit.// ich benutze auch Programme gegen Maleware. Glaub ich zumindest. Was soll cih denn deiner Meinung nach dagegen tun? Wäre super wenn dadurch mein Rechner wieder schneller wird. Das wäre vllt. ein Grund warum er mittlerweile nicht mehr das bringt wie früher ^^
__________________
Geändert von Flaming BiFi (29.10.2007 um 19:09 Uhr)

Alt 30.10.2007, 13:21   #4
-SkY-
Gast
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


Hiho

Ach du Schande, Das ist kein Zoo mehr, dass ist mindestens ein Dschungel


Zlob, Yatagan und Co.KG

Anleitung

Viel Spaß Vergiss nicht den Log zu posten

Wenn du WoW, Lineage oder sowas zockst, nicht zocken, bevor wir hiernicht fertig sind
Geändert von -SkY- (30.10.2007 um 13:23 Uhr) Grund: bin doof :D

Alt 30.10.2007, 16:14   #5
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


Das Ergebnis von diesem SmitFraudFix

Code:
ATTFilter
SmitFraudFix v2.244

Scan done at 16:07:48,37, 30.10.2007
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\bxsbang.dll Deleted
bxsbang not found.
C:\WINDOWS\kthemup.exe Deleted
C:\Programme\VideoAccessCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Und hier dieses HighjackThis

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:50, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Spyware Doctor\svcntaux.exe
F:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myvideo.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "F:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [CaISSDT] "F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SDTray] "F:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - F:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9079 bytes

Geändert von Flaming BiFi (30.10.2007 um 16:29 Uhr)

Alt 30.10.2007, 18:02   #6
-SkY-
Gast
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll


Das ist noch am arbeiten.... Versuch mal die Datei bei VT zu scannen...

Alt 30.10.2007, 18:43   #7
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


So nach Stundenlangem Spass im Abgesicherten Modus hab ich nun auch den eScan gemacht und werde dann wie "befohlen" mal diese VT da versuchen

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.4.9 
Sprache: German 
C:\DOKUME~1\Kai\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. 
 System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\hippxs.exe infiziert von "Trojan-Downloader.Win32.Zlob.dyu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei D:\Borland_Delphi_7_Enterprise_Keygen.zip.exe/crack.exe//stream//data0004 infiziert von "Trojan-Downloader.Win32.Zlob.dyu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei D:\pipi\crack.exe//stream//data0004 infiziert von "Trojan-Downloader.Win32.Zlob.dyu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei D:\System Volume Information\_restore{628907FE-B088-486B-8498-83E293317A1F}\RP211\A0032861.exe//stream//data0004 infiziert von "Trojan-Downloader.Win32.Zlob.dyu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\WINDOWS\system32\dhcqcsvc.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\dhcqcsvc.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BIT10B.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITA3.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITB4.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITE7.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITE8.tmp/ac8zt2/install.bat markiert als "not-a-virus:AdWare.Win32.Agent.lf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITEE.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITF3.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITF8.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\BITFD.tmp//stream//data0003 markiert als "not-a-virus:AdWare.Win32.Vapsup.jf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{628907FE-B088-486B-8498-83E293317A1F}\RP211\A0032867.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.jl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{628907FE-B088-486B-8498-83E293317A1F}\RP211\A0032868.exe markiert als "not-a-virus:AdWare.Win32.Vapsup.jm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\dhcqcsvc.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File D:\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File D:\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\iun6002ev.exe 
 Offending file found: C:\WINDOWS\system32\process.exe 
 Offending file found: C:\WINDOWS\system32\swreg.exe 
 Offending file found: C:\WINDOWS\system32\swsc.exe 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 18:41:05,03 
Batchende: 18:41:28,89
VT Ergebnis bei C:\WINDOWS\system32dhcqcsvc.dll

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.10.31.0	2007.10.30	Win-AppCare/Stud.9728
AntiVir	7.6.0.30	2007.10.30	ADSPY/Stud.D
Avast	4.7.1074.0	2007.10.30	Win32:Trojano-3384
AVG	7.5.0.503	2007.10.30	Adware Generic.WNV
BitDefender	7.2	2007.10.30	Adware.Stud.I
CAT-QuickHeal	9.00	2007.10.29	AdWare.Stud.d (Not a Virus)
ClamAV	0.91.2	2007.10.30	Adware.BHO-15
Ewido	4.0	2007.10.30	Adware.Stud
F-Prot	4.3.2.48	2007.10.30	W32/Adware.IJT
Ikarus	T3.1.1.12	2007.10.30	not-a-virus:AdWare.Win32.Stud.d
Kaspersky	7.0.0.125	2007.10.30	not-a-virus:AdWare.Win32.Stud.d
Microsoft	1.2908	2007.10.30	Trojan:Win32/Webprefix
NOD32v2	2627	2007.10.30	Win32/Adware.BHO.AA
Norman	5.80.02	2007.10.29	W32/Stud.Y
Rising	19.47.12.00	2007.10.30	Adware.Win32.Stud.d
Sophos	4.23.0	2007.10.30	MapKon
Symantec	10	2007.10.30	Adware.Webprefix
TheHacker	6.2.9.110	2007.10.27	Adware/Stud.d
VBA32	3.12.2.4	2007.10.28	AdWare.Win32.Stud.d
VirusBuster	4.3.26:9	2007.10.30	Adware.BHO.EC
Webwasher-Gateway	6.0.1	2007.10.30	Ad-Spyware.Stud.D

weitere Informationen
File size: 36272 bytes
MD5: 032ec62c030d4a343d3a7cdecf4bc919
SHA1: 376e30ee64215135fe091f626300d905a9e35791
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Geändert von Flaming BiFi (30.10.2007 um 19:05 Uhr)

Alt 30.10.2007, 18:50   #8
-SkY-
Gast
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


1) Deaktiviere die Systemwiederherstellung

2) Dann leere deinen "Temp" Ordner (Shift + Entf)

3) Lösche die Cr*cks!!!

Komisch ist aber das du SmitFraudFix ausgeführt hast, aber Zlob noch da ist...Hast du die geckr*ckten Porgramme ausgeführt???

Alt 30.10.2007, 19:44   #9
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


SO ich hbae jetzt das alles gemacht und dann nochmal dieses Smitfrau.... Perogramm und High Jack drüber laufen lassen. Hoffe das ist es dann auch ^^

Vielen dank schonmal


Code:
ATTFilter
SmitFraudFix v2.244

Scan done at 19:31:32,92, 30.10.2007
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3008E7CF-E5AF-4B45-A90D-023D7193B79D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:43, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
F:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Spyware Doctor\svcntaux.exe
F:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "F:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [CaISSDT] "F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [SDTray] "F:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - F:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9004 bytes

Alt 30.10.2007, 20:22   #10
-SkY-
Gast
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll ist immer noch da

Zitat:
C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.
Gemacht?

Alt 30.10.2007, 20:34   #11
Flaming BiFi
 
cmd.exe startet ständig - Standard

cmd.exe startet ständig


natürlich nicht ... mach ich gleich.
Habe die Datein jetzt manuell gelöscht, Systemwiederherstellung war dabei aus. Dann habe ich Den Rechner ganz aus gemacht und Neu gestratet nun zeigt mir mein "Spyware Doctor" zumindest nicht mehr an das es geblockt wird.

Mache gerade diesen Online Virus Scan von Kaspersky und danach mach ich es dann nochmal ^^

Antwort

Themen zu cmd.exe startet ständig
adobe, antivir, avira, bho, bonjour, computer, excel, firefox, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, keine ahnung, monitor, mozilla, mozilla firefox, object, pdfcreator, problem, rundll, s-1-5-18, security, security suite, software, system, temp, trend micro, trojaner, viren, windows, windows xp


« TR/Dldr.BHO.AL.4. | Wieder 2 neue Trojaner »


Ähnliche Themen: cmd.exe startet ständig


  1. PC startet ständig neu - keine aktionen möglich
    Netzwerk und Hardware - 25.07.2014 (22)
  2. Computer startet ständig von selbst neu bzw. hängt
    Plagegeister aller Art und deren Bekämpfung - 25.04.2013 (10)
  3. Internet browser startet ständig selbständig,
    Plagegeister aller Art und deren Bekämpfung - 31.12.2012 (22)
  4. PC hängt sich ständig auf bzw. startet neu
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (11)
  5. XP SP3 startet während boot und im Win ständig neu
    Plagegeister aller Art und deren Bekämpfung - 08.01.2012 (11)
  6. Blue screen - pc startet ständig neu
    Plagegeister aller Art und deren Bekämpfung - 20.03.2011 (3)
  7. Pc startet ständig neu
    Netzwerk und Hardware - 20.02.2011 (15)
  8. Pc startet ständig neu
    Log-Analyse und Auswertung - 16.02.2011 (1)
  9. Excel 2007 startet ständig im Vordergrund
    Log-Analyse und Auswertung - 27.07.2010 (0)
  10. Internet Explorer startet ständig Werbung!
    Log-Analyse und Auswertung - 20.05.2010 (2)
  11. Firefox startet ständig von alleine mehrfach
    Log-Analyse und Auswertung - 19.02.2010 (3)
  12. Bitte um Hilfe: PC startet ständig neu.
    Alles rund um Windows - 20.08.2008 (12)
  13. windows media player startet ständig
    Log-Analyse und Auswertung - 17.12.2007 (2)
  14. Browser startet ständig neu
    Log-Analyse und Auswertung - 24.09.2007 (3)
  15. Mein PC startet ständig neu , Trojaner?!?
    Mülltonne - 12.08.2006 (1)
  16. und das ist meine - rechner startet ständig neu...
    Log-Analyse und Auswertung - 30.05.2006 (6)
  17. computer startet sich ständig neu....
    Plagegeister aller Art und deren Bekämpfung - 03.10.2005 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema cmd.exe startet ständig - Halli Hallo! Ich habe das Problem das sich bei mir ständig cmd.exe öffnet. 1. Ich habe keine ahnung was das ist 2. Es ist aufgetaucht seidem ich ein Trojaner via - cmd.exe startet ständig...
Archiv
Du betrachtest: cmd.exe startet ständig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131