CMD.EXE startet jedes Mal beim Hochfahren! Viren+Trojaner!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.02.2006, 16:48
...neu hier
Beiträge: 4 |
||
|
||
22.02.2006, 17:45
Member
Beiträge: 4730 |
#2
Ich sehe da auch nichts besonderes. Deaktiviere mal alle Autostarts (außer vom Virenscanner) und stelle sie nach und nach wieder an, bis dieses Ereignis wieder auftritt. Falls es trotz aller deaktivierten Autostarts immer noch erscheinen sollte, dann auch mal testweise den Virenscanner deaktivieren.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
23.02.2006, 14:39
...neu hier
Themenstarter Beiträge: 4 |
#3
Verdammt, das sind Viren und Trojaner!
Habe mal die cmd.exe länger laufen lassen und plötzlich poppte AntiVir auf: emote.exe, loudnew.exe sowie toolbar.exe sind Windows Virus W32/Parite Hinzu kommt die Meldung vom Trojaner TR/Dldr.VB.JL mit der Datei mmxharr0.exe Beim Surfen im Internet (auf der Suche nach diesen Dateien) poppte "HTML/Exploit.Mhtml auch noch auf. Unter C/dokumente und einstellungen/mike/lokale einstellungen/temp werden diese 3 o.g. .exe Dateien jedes Mal hergestellt. Im Windows Task Manager fiel mir die Datei "bleh.exe" auf. Recherche ergab: Diese wird jedes Mal unter C/dokumente und einstellungen/mike kreiert. Obwohl ich alles Dateien gelöscht habe, auch diese bleh.exe, die anscheinend die anderen .exe. herstellt, tauchen sie alles beim Neustart des Rechners wieder auf, zuerst diese bleh.exe, dann wieder all die anderen. D.h. dass diese bleh.exe wieder von einer anderen Datei hergestellt wird! Aber welcher?? Ich habe in die letzten Tage ein oder zwei dieser fake volksbank oder einer anderen Bank emails erhalten. Habe die nicht geöffnet, gleich gelöscht. Bitte helft mir! Wie finde ich das heraus und lösche den ganzen Mist? Wie soll ich Schritt für Schritt vorgehen? Vielen Dank! Mike Dieser Beitrag wurde am 23.02.2006 um 14:45 Uhr von mikegg editiert.
|
|
|
||
23.02.2006, 16:29
Ehrenmitglied
Beiträge: 29434 |
#4
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.02.2006, 16:55
...neu hier
Themenstarter Beiträge: 4 |
#5
Was ist das denn hier, ich darf auf meinen eigenen Beitrag nicht antworten?!? ** Ich konnte auch normal nicht hier antworten, muss meinen letzten Beitrag bearbeiten...
Also ich habe zuerst cleanup wie beschrieben ausgeführt und hinterher diese batch Datei ausgeführt mit den folgenden Auswertungen: 1. Log Verzeichnis von C:\WINDOWS\system32 23.02.2006 14:23 908 vsconfig.xml 23.02.2006 13:53 31.816 GDIPFONTCACHEV1.DAT 22.02.2006 01:17 620.032 ezSP_Px.exe 18.01.2006 13:05 57.344 avsda.dll 07.01.2006 21:36 105.472 pxcpyi64.exe 07.01.2006 21:36 55.296 pxcpya64.exe 07.01.2006 21:36 103.936 pxinsi64.exe 07.01.2006 21:36 53.248 pxinsa64.exe 07.01.2006 21:36 57.344 pxhpinst.exe 07.01.2006 21:36 28.672 vxblock.dll 07.01.2006 21:36 368.640 pxdrv.dll 07.01.2006 21:36 307.200 pxwave.dll 07.01.2006 21:36 155.648 pxmas.dll 07.01.2006 21:36 495.616 px.dll 09.12.2005 16:41 1.158 wpa.dbl 2. Log Verzeichnis von C:\DOKUME~1\mike\LOKALE~1\Temp da war sonst nix drin. 3. Log Verzeichnis von C:\WINDOWS 23.02.2006 14:22 0 0.log 23.02.2006 14:20 2.048 bootstat.dat 23.02.2006 14:19 216 wiadebug.log 23.02.2006 14:17 50 wiaservc.log 22.02.2006 12:54 116 NeroDigital.ini 22.02.2006 01:13 157 ANS2000.INI 20.02.2006 23:56 74.752 cadkasdeinst01e.exe 14.02.2006 22:29 274 iwlufklg.dll 12.02.2006 18:07 1.065 winamp.ini 02.02.2006 15:12 4.136 ModemLog_CXT AC-Link Modem for Intel.txt 24.01.2006 01:09 653 win.ini 09.01.2006 15:21 431 nsw.log 31.12.2005 18:35 284 system.ini 25.12.2005 15:40 322.075 ad-warriors_news_alert.exe 21.12.2005 15:40 24.725 mozver.dat 4. Log 23.02.2006 19:42 0 sys.txt 23.02.2006 19:41 10.043 system.txt 23.02.2006 19:40 123 systemtemp.txt 23.02.2006 19:37 96.069 system32.txt 23.02.2006 19:34 12 bdate.dat 23.02.2006 14:20 535.678.976 hiberfil.sys 23.02.2006 14:20 802.160.640 pagefile.sys 20.02.2006 15:41 45.763 hpfr5550.log 31.12.2005 18:35 194 boot.ini Dieser Beitrag wurde am 23.02.2006 um 19:46 Uhr von mikegg editiert.
|
|
|
||
24.02.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#6
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html C:\WINDOWS\cadkasdeinst01e.exe C:\WINDOWS\iwlufklg.dll C:\WINDOWS\ad-warriors_news_alert.exe ---------------------------------------------------------------------------- Start -- Ausfuehren --- cmd reinkopieren: dir c:\bleh.exe /a h /s > files.txt notepad files.txt poste den Text reinkopieren: dir c:\windows\bleh.exe /a h /s > files.txt notepad files.txt poste den Text reinkopieren: dir c:\windows\system32\bleh.exe /a h /s > files.txt notepad files.txt poste den Text reinkopieren: dir C:\Dokumente und Einstellungen\mike\bleh.exe /a h /s > files.txt poste den Text ------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINDOWS\cadkasdeinst01e.exe C:\Windows\temp\toolbar.exe C:\Windows\temp\emote.exe C:\Windows\temp\mmxharr0.exe C:\WINDOWS\loudnew.exe C:\WINDOWS\emote.exe C:\WINDOWS\toolbar.exe C:\WINDOWS\iwlufklg.dll C:\WINDOWS\ad-warriors_news_alert.exe nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell falls du es findest...loesche C:\Programme\windows adstatus C:\Dokumente und Einstellungen\mike\ scanne mit allen 4 Scannern --> suche die Scanreporte in C:\AV-CLS und kopiere sie hier. (nur, falls etwas gefunden wird...also nicht alles abkopieren) http://virus-protect.org/multiavtool.html scanne mit Symantec und poste den scanreport http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym -------------------------------------------------------------------------- %CurrentFolder%\bleh.exe %CurrentFolder% is a variable that refers to the folder where the risk was originally executed. # Creates the file C:\Windows\TEMP\toolbar.exe, which is Adware.Istbar infected with W32.Pinfi. # Creates the file C:\Windows\TEMP\emote.exe, which is infected with W32.Pinfi. http://www.sarc.com/avcenter/venc/data/w32.bleshare!dr.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.02.2006, 19:07
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
habe mich durchgerungen, WinXP doch neu aufzuspielen, ist denke ich sicherer. Dennoch vielen lieben Dank für Deine Zeit und Deine Hilfsbereitschaft :-) Grüße Mike |
|
|
||
ich bekomme seit heute die folgende Meldung auf den Desktop wenn ich WinXP hochfahre:
Sobald ich Windows hochfahre erscheint dieses Fenster von cmd.exe welches meine ganze Festplatte scannt. Ich muss es jedes Mal schließen. Wenn ich es über Windows Task Manager beende, passiert gar nichts. In der Autostartgruppe kann ich es auch nicht finden und unter "ausführen"/msconfig/systemstart" ist auch kein Eintrag davon zu finden!
Ich habe einiges heruntergeladen und installiert die letzten Tage, muss es mir irgendwie eigefangen haben.
ich habe auch gescannt mit:
AntiVir
Spybot S&D
PestPatrol
HijackThis und ausgewertet
und alle habe nichts oder nichts Auffälliges gefunden. Alle Scanner auf den neuesten Stand upgedated.
Hier der log von HijackThis:
Zitat
Weiß irgendjemand was es sein könnte und wie ich das abstelle??Vielen Dank im Voraus!
Gruß
Mike