|
Hilfe - Eingabeaufforderung öffnet sich selbst Hallo! Immer öfter, wenn ich länger als eine halbe Stunde im Netz bin, öffnet sich das " Ausführen" -Fenster von selbst. Die Eingabeaufforderung wird aufgerufen mit cmd und immer wieder unterschiedlichen Parametern. Dann öffnet sich die Eingabeaufforderung. Es steht immer als erstes: tftp: Der Rest dahinter ist immer anders. Siehe Foto. http://img440.imageshack.us/img440/5...lingcj7.th.jpg Danke für die Hilfe!! |
1. Das Bild ist winzig. Dieser Link wäre besser: http://img440.imageshack.us/img440/5...inglingcj7.jpg 2. tftp klingt no good 3. Erstelle bitte ein HJT-Log (Anleitung hierfür in unserer FAQ-Sektion). Gruß Marc |
Oh super, das ging ja schnell :) Logfile of HijackThis v1.99.1 Scan saved at 23:09:21, on 10.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXXXXXXXXX\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142431717122 O17 - HKLM\System\CCS\Services\Tcpip\..\{89DE0FDB-E07B-49CF-A653-CCC95DFEC296}: NameServer = 217.237.151.51 217.237.149.205 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
1. Bitte persönliche Informationen wie z.B. den eigenen Namen aus dem Log entfernen. 2. Hast Du VNC installiert? Ich bin für heute weg. Morgen geht es weiter. Gruß Marc |
Kannst du den anderen Link noch löschen? Hab das Bild auch nochmal editiert. Sorry, bin neu. Das ist der neue Link ImageShack - Hosting :: eindringlingkopiewc3.jpg VNC ist installiert und wird auch genutzt. Das passiert aber auch ohne Nutzung von VNC. Merci |
Zitat:
Prüfe das System mit F-Secure Blacklight und poste das Logfile. Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat. Benutze MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung Escan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) |
Na ja, war vielleicht etwas unglücklich ausgedrückt :headbang: Ich meinte eigentlich dass VNC installiert ist, und auch genutzt wird, es aber während VNC nicht benutzt wird auch passiert :) Bin gerade beim scannen usw. dabei, danke nochmal für die späte Hilfe. Wird wohl aber etwas länger dauern, werde mich dann spätestens morgen Abend nochmal melden. Ah, F-Secure ist gerade fertig geworden, keine Funde... Hier das Log-File, hoffe es ist das richtige: 02/10/07 23:47:57 [Info]: BlackLight Engine 1.0.55 initialized 02/10/07 23:47:57 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/10/07 23:47:57 [Note]: 7019 4 02/10/07 23:47:57 [Note]: 7005 0 02/10/07 23:48:02 [Note]: 7006 0 02/10/07 23:48:02 [Note]: 7011 1396 02/10/07 23:48:02 [Note]: 7026 0 02/10/07 23:48:03 [Note]: 7026 0 02/10/07 23:48:24 [Note]: FSRAW library version 1.7.1021 02/10/07 23:55:18 [Note]: 2000 1012 02/10/07 23:58:56 [Note]: 7007 0 Dann mach ich mich mal ans ewido. Bis dahin, gute Nacht :) |
Zitat:
Aber das erste Log sieht schon mal nicht schlecht aus. |
So, auf ein neues... Im Ewido-Log stand nur folgendes, der Rest waren Cookies: C:\Programme\AIM95\icbmft.ocm -> Worm.AimVen : Mit Backup gesäubert (unter Quarantäne gestellt). Zum eScan-Log: Habe mich an eure Anleitung hier im Board gehalten, so gut es ging... es gab eine neue Version, hab nach den Stichwörtern gesucht die in der Anleitung angegeben waren, jedoch nichts gefunden. Daraufhin hab ich dann mal nach "Error" gesucht, und bin auch fündig geworden, sieht mir aber alles eher unwichtig aus. Hier der Log: Sun Feb 11 13:00:43 2007 => ERROR!!! Invalid Entry Microsoft Works Update Detection = C:\Programme\Microsoft Works\WkDetect.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Removing it. Sun Feb 11 13:00:47 2007 => ERROR!!! Invalid Entry system32\drivers\InCDFs.sys. Removing SYSTEM\CurrentControlSet\Services\InCDFs... Sun Feb 11 13:00:47 2007 => ERROR!!! Invalid Entry system32\drivers\InCDPass.sys. Removing SYSTEM\CurrentControlSet\Services\InCDPass... Sun Feb 11 13:00:47 2007 => ERROR!!! Invalid Entry system32\drivers\InCDRm.sys. Removing SYSTEM\CurrentControlSet\Services\InCDRm... Sun Feb 11 13:36:34 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\XXXXXX~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat Sun Feb 11 13:36:34 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\XXXXXX~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG Sun Feb 11 13:37:49 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\XXXXXX~1\NTUSER.DAT Sun Feb 11 13:37:49 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\XXXXXX~1\NTUSER~1.LOG Sun Feb 11 13:38:06 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat Sun Feb 11 13:38:06 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG Sun Feb 11 13:38:06 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT Sun Feb 11 13:38:06 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG Sun Feb 11 13:38:51 2007 => ERROR!!! ScanFile fails for C:\pagefile.sys Sun Feb 11 13:54:40 2007 => ERROR!!! ScanFile fails for C:\Programme\REWI-Verlag\REWI-LV\Daten\LVS.INF Sun Feb 11 13:54:41 2007 => ERROR!!! ScanFile fails for C:\Programme\REWI-Verlag\REWI-LV\LVS.DAT Sun Feb 11 13:54:41 2007 => ERROR!!! ScanFile fails for C:\Programme\REWI-Verlag\REWI-LV\LVS.IDT Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG Sun Feb 11 14:55:19 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software Sun Feb 11 14:55:20 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG Sun Feb 11 14:55:20 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system Sun Feb 11 14:55:20 2007 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG Sun Feb 11 13:00:54 2007 => File C:\Programme\RealVNC\VNC4\WinVNC4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken. Sun Feb 11 13:54:39 2007 => File C:\Programme\RealVNC\VNC4\winvnc4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken. Sun Feb 11 13:54:39 2007 => File C:\Programme\RealVNC\VNC4\wm_hooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4". No Action Taken. So, und jetzt nochmal zum Verständigungsproblem: VNC ist installiert, aber die Eingabeaufforderung öffnet sich, egal ob ich gerade darüber auf den Rechner zugreife, oder nicht. Danke nochmal für eure Hilfe :) |
Zitat:
|
Ok, dann hier nochmal mit der Find.bat :) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Sun Feb 11 13:01:01 2007 => Deleting Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net Sun Feb 11 12:43:16 2007 => Virus Database Date: 2/9/2007 Sun Feb 11 12:45:19 2007 => Virus Database Date: 2/11/2007 Sun Feb 11 12:57:54 2007 => Virus Database Date: 2/11/2007 Sun Feb 11 15:02:29 2007 => Virus Database Date: 2/11/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sun Feb 11 13:00:54 2007 => File C:\Programme\RealVNC\VNC4\WinVNC4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken. Sun Feb 11 13:54:39 2007 => File C:\Programme\RealVNC\VNC4\winvnc4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken. Sun Feb 11 13:54:39 2007 => File C:\Programme\RealVNC\VNC4\wm_hooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4". No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sun Feb 11 13:01:47 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Marianne Triebel\Anwendungsdaten\aim\bartcache\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Sun Feb 11 13:01:42 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board