cmd.exe startet ständig
 

Halli Hallo!

Ich habe das Problem das sich bei mir ständig cmd.exe öffnet.
1. Ich habe keine ahnung was das ist
2. Es ist aufgetaucht seidem ich ein Trojaner via Viren Scaner (anti Vir) endeckt habe

3. es macht mir Angst und es nervt sehr...

wäre echt Klasse wenn mir jmd. helfen könnte.

habe vorsichtshalber mal ein Dingsbums gemacht ^^

ihr werdet es sicher erkennen ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:11, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\ICQ6\ICQ.exe
C:\DOKUME~1\Kai\LOKALE~1\Temp\hippxs.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myvideo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "F:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [CaISSDT] "F:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "F:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\RunOnce: [eISS_licreg] "F:\Programme\CA\eTrust Internet Security Suite\licreg.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: ocgrep - {B0DD31FF-260D-4919-80F4-821F6B873C98} - C:\WINDOWS\ocgrep.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - F:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - F:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

Halli hallo Flaming

das sollte es auch.

immer gut.. ^^


wo wurde der Trojaner gefunden und was für einer war es? Wie lange liegt das zurück usw.. mehr Input bitte.

Die AntiVir Berichte wären wertvoll..

Du hat noch Maleware auf dem Rechner.

Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datein und lade sie auf VT und poste das Ergebnis.

Vielen dank erstemal.
Ich verstehe dich leider nicht ganz. Soll ich diesen escan machen?

Ad-Aware hat nur Cookies gefunden und irgendwelche M3U-List Dateien die ich dann auch entfernt habe.
Also aufgetaucht ist das alle gestern nachdem ich einen Keygen geladen hatte!
naja hab mal was zusammen gestellt

Gefundene Viren mit Anti Vir am 28.10.2007

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\nsduo.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Yatagan.Dll' [TR/Yatagan.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

--------------
In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\msmhost.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.DLL.Ya.2' [TR/Dldr.DLL.Ya.2] gefunden.
Ausgeführte Aktion: Datei löschen
-----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\msmdev.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.dag' [TR/Dldr.Agent.dag] gefunden.
Ausgeführte Aktion: Datei löschen

-----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\install.bat'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.BHO.N' [TR/Agent.BHO.N] gefunden.
Ausgeführte Aktion: Datei löschen

----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

----------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

---------

In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\edi.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BHO.N.5' [TR/BHO.N.5] gefunden.
Ausgeführte Aktion: Datei löschen

----------


In der Datei 'C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ac8zt2\ocgrep.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Zlob.Dll' [TR/Zlob.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

---------
In der Datei 'C:\Programme\VideoAccessCodec\VideoAccessCodec.ocx'
wurde ein Virus oder unerwünschtes Programm 'TR/NewMedial.Dll' [TR/NewMedial.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

------

In der Datei 'C:\Programme\VideoAccessCodec\Uninstall.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Dldr.Zlob.AAGR' [DR/Dldr.Zlob.AAGR] gefunden.
Ausgeführte Aktion: Datei löschen

-----

In der Datei 'C:\Programme\VideoAccessCodec\VideoAccessCodec.ocx'
wurde ein Virus oder unerwünschtes Programm 'TR/NewMedial.Dll' [TR/NewMedial.Dll] gefunden.
Ausgeführte Aktion: Datei löschen

----------------------



Und hier ist das Ergbeniss von Spydoctor als jpg.
Hab die 2 Roten selber gesucht und gelöscht. Also in papierkorb verschoben etc.


PicUpload

----

Momentan taucht diese cmd.exe Konsole nicht mehr auf aber ich bin trotzdem noch ängstlich. Meine Passwörter sollen geheim bleiben ;)

edit.// ich benutze auch Programme gegen Maleware. Glaub ich zumindest. Was soll cih denn deiner Meinung nach dagegen tun? Wäre super wenn dadurch mein Rechner wieder schneller wird. Das wäre vllt. ein Grund warum er mittlerweile nicht mehr das bringt wie früher ^^

Hiho :)

Ach du Schande, Das ist kein Zoo mehr, dass ist mindestens ein Dschungel :D


Zlob, Yatagan und Co.KG

Anleitung

Viel Spaß :) Vergiss nicht den Log zu posten

Wenn du WoW, Lineage oder sowas zockst, nicht zocken, bevor wir hiernicht fertig sind

Das Ergebnis von diesem SmitFraudFix

Und hier dieses HighjackThis

O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll


Das ist noch am arbeiten.... Versuch mal die Datei bei VT zu scannen...

So nach Stundenlangem Spass im Abgesicherten Modus hab ich nun auch den eScan gemacht und werde dann wie "befohlen" ;) mal diese VT da versuchen

VT Ergebnis bei C:\WINDOWS\system32dhcqcsvc.dll

1) Deaktiviere die Systemwiederherstellung

2) Dann leere deinen "Temp" Ordner (Shift + Entf)

3) Lösche die Cr*cks!!!

Komisch ist aber das du SmitFraudFix ausgeführt hast, aber Zlob noch da ist...Hast du die geckr*ckten Porgramme ausgeführt???

SO ich hbae jetzt das alles gemacht und dann nochmal dieses Smitfrau.... Perogramm und High Jack drüber laufen lassen. Hoffe das ist es dann auch ^^

Vielen dank schonmal

O2 - BHO: (no name) - {D450B000-95D6-4E13-9BF2-9D0C73DA75B4} - C:\WINDOWS\system32\dhcqcsvc.dll ist immer noch da :headbang:

Gemacht?

:D natürlich nicht ... mach ich gleich.
Habe die Datein jetzt manuell gelöscht, Systemwiederherstellung war dabei aus. Dann habe ich Den Rechner ganz aus gemacht und Neu gestratet nun zeigt mir mein "Spyware Doctor" zumindest nicht mehr an das es geblockt wird.

Mache gerade diesen Online Virus Scan von Kaspersky und danach mach ich es dann nochmal ^^