CMD.EXE startet jedes Mal beim Hochfahren! Viren+Trojaner!

#1 Hallo,

ich bekomme seit heute die folgende Meldung auf den Desktop wenn ich WinXP hochfahre:



Sobald ich Windows hochfahre erscheint dieses Fenster von cmd.exe welches meine ganze Festplatte scannt. Ich muss es jedes Mal schließen. Wenn ich es über Windows Task Manager beende, passiert gar nichts. In der Autostartgruppe kann ich es auch nicht finden und unter "ausführen"/msconfig/systemstart" ist auch kein Eintrag davon zu finden!

Ich habe einiges heruntergeladen und installiert die letzten Tage, muss es mir irgendwie eigefangen haben.

ich habe auch gescannt mit:

AntiVir
Spybot S&D
PestPatrol
HijackThis und ausgewertet

und alle habe nichts oder nichts Auffälliges gefunden. Alle Scanner auf den neuesten Stand upgedated.

Hier der log von HijackThis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:42:50, on 22.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Security Task Manager\SpyProtector.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Gaming\GamingMouse\panel.exe
D:\Windowsthemes\yzdock83\YzDock.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\MetroPipe Tunneler\app\plink.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla1.7.7\mozilla.exe
C:\Programme\eMule\emule.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\mike\LOKALE~1\Temp\Rar$EX00.136\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipspy.metropipe.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Programme\Yahoo!\Common\YIeTagBm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Verknüpfung mit Bview.lnk = D:\Eigenes\Birthday\Bview.exe
O4 - Startup: Verknüpfung mit YzDock.lnk = D:\Windowsthemes\yzdock83\YzDock.exe
O4 - Global Startup: GamingMouse.lnk = ?
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4388/mcfscan.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Weiß irgendjemand was es sein könnte und wie ich das abstelle??

Vielen Dank im Voraus!

Gruß
Mike

#2 Ich sehe da auch nichts besonderes. Deaktiviere mal alle Autostarts (außer vom Virenscanner) und stelle sie nach und nach wieder an, bis dieses Ereignis wieder auftritt. Falls es trotz aller deaktivierten Autostarts immer noch erscheinen sollte, dann auch mal testweise den Virenscanner deaktivieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Verdammt, das sind Viren und Trojaner!

Habe mal die cmd.exe länger laufen lassen und plötzlich poppte AntiVir auf:



emote.exe, loudnew.exe sowie toolbar.exe sind Windows Virus W32/Parite

Hinzu kommt die Meldung vom Trojaner TR/Dldr.VB.JL mit der Datei mmxharr0.exe

Beim Surfen im Internet (auf der Suche nach diesen Dateien) poppte "HTML/Exploit.Mhtml auch noch auf.

Unter C/dokumente und einstellungen/mike/lokale einstellungen/temp werden diese 3 o.g. .exe Dateien jedes Mal hergestellt.

Im Windows Task Manager fiel mir die Datei "bleh.exe" auf. Recherche ergab:



Diese wird jedes Mal unter C/dokumente und einstellungen/mike kreiert.

Obwohl ich alles Dateien gelöscht habe, auch diese bleh.exe, die anscheinend die anderen .exe. herstellt, tauchen sie alles beim Neustart des Rechners wieder auf, zuerst diese bleh.exe, dann wieder all die anderen. D.h. dass diese bleh.exe wieder von einer anderen Datei hergestellt wird! Aber welcher?? Ich habe in die letzten Tage ein oder zwei dieser fake volksbank oder einer anderen Bank emails erhalten. Habe die nicht geöffnet, gleich gelöscht.

Bitte helft mir! Wie finde ich das heraus und lösche den ganzen Mist? Wie soll ich Schritt für Schritt vorgehen?

Vielen Dank!
Mike

#4 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Was ist das denn hier, ich darf auf meinen eigenen Beitrag nicht antworten?!? ** Ich konnte auch normal nicht hier antworten, muss meinen letzten Beitrag bearbeiten...


Also ich habe zuerst cleanup wie beschrieben ausgeführt und hinterher diese batch Datei ausgeführt mit den folgenden Auswertungen:

1. Log

Verzeichnis von C:\WINDOWS\system32

23.02.2006 14:23 908 vsconfig.xml
23.02.2006 13:53 31.816 GDIPFONTCACHEV1.DAT
22.02.2006 01:17 620.032 ezSP_Px.exe
18.01.2006 13:05 57.344 avsda.dll
07.01.2006 21:36 105.472 pxcpyi64.exe
07.01.2006 21:36 55.296 pxcpya64.exe
07.01.2006 21:36 103.936 pxinsi64.exe
07.01.2006 21:36 53.248 pxinsa64.exe
07.01.2006 21:36 57.344 pxhpinst.exe
07.01.2006 21:36 28.672 vxblock.dll
07.01.2006 21:36 368.640 pxdrv.dll
07.01.2006 21:36 307.200 pxwave.dll
07.01.2006 21:36 155.648 pxmas.dll
07.01.2006 21:36 495.616 px.dll
09.12.2005 16:41 1.158 wpa.dbl

2. Log

Verzeichnis von C:\DOKUME~1\mike\LOKALE~1\Temp
da war sonst nix drin.

3. Log

Verzeichnis von C:\WINDOWS

23.02.2006 14:22 0 0.log
23.02.2006 14:20 2.048 bootstat.dat
23.02.2006 14:19 216 wiadebug.log
23.02.2006 14:17 50 wiaservc.log
22.02.2006 12:54 116 NeroDigital.ini
22.02.2006 01:13 157 ANS2000.INI
20.02.2006 23:56 74.752 cadkasdeinst01e.exe
14.02.2006 22:29 274 iwlufklg.dll
12.02.2006 18:07 1.065 winamp.ini
02.02.2006 15:12 4.136 ModemLog_CXT AC-Link Modem for Intel.txt
24.01.2006 01:09 653 win.ini
09.01.2006 15:21 431 nsw.log
31.12.2005 18:35 284 system.ini
25.12.2005 15:40 322.075 ad-warriors_news_alert.exe
21.12.2005 15:40 24.725 mozver.dat

4. Log

23.02.2006 19:42 0 sys.txt
23.02.2006 19:41 10.043 system.txt
23.02.2006 19:40 123 systemtemp.txt
23.02.2006 19:37 96.069 system32.txt
23.02.2006 19:34 12 bdate.dat
23.02.2006 14:20 535.678.976 hiberfil.sys
23.02.2006 14:20 802.160.640 pagefile.sys
20.02.2006 15:41 45.763 hpfr5550.log
31.12.2005 18:35 194 boot.ini

#6 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\cadkasdeinst01e.exe
C:\WINDOWS\iwlufklg.dll
C:\WINDOWS\ad-warriors_news_alert.exe

----------------------------------------------------------------------------

Start -- Ausfuehren --- cmd
reinkopieren:

dir c:\bleh.exe /a h /s > files.txt
notepad files.txt

poste den Text

reinkopieren:

dir c:\windows\bleh.exe /a h /s > files.txt
notepad files.txt

poste den Text

reinkopieren:

dir c:\windows\system32\bleh.exe /a h /s > files.txt
notepad files.txt

poste den Text

reinkopieren:

dir C:\Dokumente und Einstellungen\mike\bleh.exe /a h /s > files.txt

poste den Text

-------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\cadkasdeinst01e.exe
C:\Windows\temp\toolbar.exe
C:\Windows\temp\emote.exe
C:\Windows\temp\mmxharr0.exe
C:\WINDOWS\loudnew.exe
C:\WINDOWS\emote.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\iwlufklg.dll
C:\WINDOWS\ad-warriors_news_alert.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

falls du es findest...loesche
C:\Programme\windows adstatus
C:\Dokumente und Einstellungen\mike\

scanne mit allen 4 Scannern --> suche die Scanreporte in C:\AV-CLS und kopiere sie hier. (nur, falls etwas gefunden wird...also nicht alles abkopieren)
http://virus-protect.org/multiavtool.html

scanne mit Symantec und poste den scanreport
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym


--------------------------------------------------------------------------

%CurrentFolder%\bleh.exe
%CurrentFolder% is a variable that refers to the folder where the risk was originally executed.

# Creates the file C:\Windows\TEMP\toolbar.exe, which is Adware.Istbar infected with W32.Pinfi.
# Creates the file C:\Windows\TEMP\emote.exe, which is infected with W32.Pinfi.
http://www.sarc.com/avcenter/venc/data/w32.bleshare!dr.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

habe mich durchgerungen, WinXP doch neu aufzuspielen, ist denke ich sicherer.

Dennoch vielen lieben Dank für Deine Zeit und Deine Hilfsbereitschaft :-)

Grüße
Mike