B2K.exe und cmd.exe beim Systemstart |
||
---|---|---|
#0
| ||
03.08.2006, 19:18
Member
Beiträge: 14 |
||
|
||
04.08.2006, 00:20
Ehrenmitglied
Beiträge: 29434 |
#2
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 01:07
Member
Themenstarter Beiträge: 14 |
#3
Huhu,
hier das post_this.txt The script did not recognize the services listed below. Unknown Service # 3 Service Name: AppToService_services Display Name: services Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\recycler\.{21ec2020-3aea-1069-a2dd-08002b30309d}\b2k.exe /sys "exe.bat" /absname:"services" /directory:"c:\recycler\.{21ec2020-3aea-1069-a2dd-08002b30309d}" /show:2 /startup:a State: Running Process ID: 1928 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr |
|
|
||
04.08.2006, 12:02
Ehrenmitglied
Beiträge: 29434 |
#4
1.
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {21ec2020-3aea-1069-a2dd-08002b30309d} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. gleiches mit: b2k.exe exe.bat AppToService_services Basta Computing ------------------------------------------------------------ 2. http://virus-protect.org/artikel/tools/agentransack.html eingeben in suche: recycler b2k.exe exe.bat poste die Reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 14:00
Member
Themenstarter Beiträge: 14 |
#5
Danke schonmal für die Hilfe. Hier die Reporte.
1. regsearch {21ec2020-3aea-1069-a2dd-08002b30309d} Code REGEDIT42. regsearch b2k.exe Code REGEDIT43. exe.bat Code REGEDIT44. AppToService_services Code REGEDIT45. Basta Computing Code REGEDIT4agentransack folgt gruss frankl |
|
|
||
04.08.2006, 14:08
Ehrenmitglied
Beiträge: 29434 |
#6
1. leere den papierkorb
2 poste das log von agentransack __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 14:09
Member
Themenstarter Beiträge: 14 |
#7
hm, bin mir jetzt nicht sicher, weils keine txt datei ausgibt :-(
poste das mal so: recycler: C:\RECYCLER (19.07.2006 16:53:40) b2k.exe: C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\B2K.EXE (44 KB, 21.07.2004 05:22:58) C:\WINDOWS\Prefetch\B2K.EXE-2AC97F34.pf (8 KB, 04.08.2006 01:23:14) exe.bat: C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\EXE.BAT (1 KB, 26.07.2004 06:05:56) Papierkorb geleert gruss frank |
|
|
||
04.08.2006, 14:17
Ehrenmitglied
Beiträge: 29434 |
#8
0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\1. mal sehen, ob die virenscanner es erkennen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\B2K.EXE C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D}\EXE.BAT D:\download\B2K.EXE poste die reporte ------------------------------------------------------------------------------------------ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint 3. poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 14:45
Member
Themenstarter Beiträge: 14 |
#9
muss hier kurz eines bemerken.... die b2k.exe im downloadverzeichnis habe ich gestern dort hineinkopiert. ich wollte mir die datei mit einem editor anschauen.
listen.bat : Code Volume in Laufwerk C: hat keine Bezeichnung.Rest folgt Virustotal dauert ca ne stunde pro datei. melde mich wieder. gruss frank Dieser Beitrag wurde am 04.08.2006 um 14:53 Uhr von Fränko editiert.
|
|
|
||
04.08.2006, 15:00
Ehrenmitglied
Beiträge: 29434 |
#10
das ist eine eigenartige Geschichte...mal sehen, was die virenscanner meinen..aber wahrscheinlich: nichts.
eine datei von 21.07.2004 (oder das Datum ist gefaelscht...) Zitat 21.07.2004 05:22 45.056 B2K.EXErecycler: C:\RECYCLER (19.07.2006 ) - wurde erst am 19.7.2006 erstellt........... ------------------------------------------------------------------------ Verzeichnis von C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D} 07.07.2003 03:46 68.016 CYGREGEX.DLL 16.01.2005 18:16 1.140.617 CYGWIN1.DLL Zitat http://www.auditmypc.com/process/cygregex.asp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 15:08
Member
Themenstarter Beiträge: 14 |
#11
Ich weiss auch nicht warum, aber eigenartige Geschichten sind in Sachen PC bei mir Programm :-)
Ständig habe ich irgendwelche Probleme die vor mir nie ein Anderer hatte ^^. Ich kann nichtmal genau sagen seit wann ich diese Sache schon habe. Habe in der letzten Zeit das Problem, dass sich 3D-Spiele sehr merkwürdig verhalten, sobald sie angezeigt werden (also nicht, wenn sie im Hintergrund laufen sondern nur wenn sie auch wirklich "zu sehen" sind.) Auf der Suche nach diesem Phänomen stiess ich dann auf diese ominöse b2k.exe und mache mir seitdem Gedanken was es ist und wie ich es wegbekomme. Naja, mal schauen was draus wird. Gruss Frank |
|
|
||
04.08.2006, 15:15
Ehrenmitglied
Beiträge: 29434 |
#12
eigenartig von Grund auf ist:
Verzeichnis von C:\RECYCLER\.{21EC2020-3AEA-1069-A2DD-08002B30309D} anscheinend am 19.07. erstellt - dazu ein aktiver Dienst. du musst alles scannen, (mit virustotal, was in dem ordner vorhanden ist) + poste dieses log http://virus-protect.org/artikel/tools/combofix.html + Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 00:16
Member
Themenstarter Beiträge: 14 |
#13
virustotal (etwas verspätet...war zum grillen eingeladen :-) )
b2k.exe Complete scanning result of "b2k.exe", received in VirusTotal at 08.05.2006, 00:01:08 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.04.2006 no virus found Authentium 4.93.8 08.04.2006 no virus found Avast 4.7.844.0 08.04.2006 no virus found AVG 386 08.04.2006 no virus found BitDefender 7.2 08.04.2006 Application.Tool.Apptoservice.A CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.04.2006 no virus found DrWeb 4.33 08.04.2006 no virus found eTrust-InoculateIT 23.72.87 08.04.2006 no virus found eTrust-Vet 12.6.2324 08.04.2006 no virus found Ewido 4.0 08.04.2006 no virus found Fortinet 2.77.0.0 08.04.2006 AppToService F-Prot 3.16f 08.04.2006 no virus found F-Prot4 4.2.1.29 08.04.2006 no virus found Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.05.2006 no virus found McAfee 4822 08.04.2006 potentially unwanted program Tool-AppToService Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1692 08.04.2006 no virus found Norman 5.90.23 08.04.2006 no virus found Panda 9.0.0.4 08.04.2006 no virus found Sophos 4.08.0 08.04.2006 no virus found Symantec 8.0 08.04.2006 no virus found TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.04.2006 no virus found VirusBuster 4.3.7:9 08.04.2006 no virus found Aditional Information File size: 45056 bytes MD5: ab28be7460e6d5fc1826b7913e72c87d SHA1: b438ebb7f8b1e46693cfdf69ce32a28eab52d477 ============================================== exe.bat no virus found no virus found no virus found ........ ============================================== CYGREGEX.DLL no virus found no virus found no virus found ........ rest ist in arbeit Dieser Beitrag wurde am 05.08.2006 um 00:27 Uhr von Fränko editiert.
|
|
|
||
05.08.2006, 00:27
Ehrenmitglied
Beiträge: 29434 |
#14
jetzt ist nur noch die frage, wozu dieser Dienst da ist.
"Service"="AppToService_services" und warum er sich befindet in: C:\RECYCLER wenn der Rechner keine weiteren Probleme macht, lebe damit, wenn nicht, wende den Avenger an __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 00:39
Member
Themenstarter Beiträge: 14 |
#15
also hälst du das ganze nicht für eine backdoor oder sonstwas gefährliches?
Ich werde auf jeden fall noch den rest des verzeichnisses scannen und danach das avenger anwenden. Dir auf jeden Fall vielen Dank! Du hast mich verblüfft, welch vielseitige Möglichkeiten für so eine Problemsuche bestehen. Gruss Frank |
|
|
||
ich habe seit einiger Zeit das Phänomen, das nach dem Systemstart (WinXP) eine B2K.exe in Verbindung mit der cmd.exe startet und permanent im Hintergrund verbleibt. Beim Suchen nach b2k.exe findet sich nichts.
Auch ein scan mit allen mir bekannten Spyware-Scannern findet nichts.
Hijackthis findet diesen Eintrag:
Code
....ich kann ihn fixen, aber nach neustart ist er wieder da.Wenn ich im Taskmanager die cmd.exe beende, beendet sich auch die B2K.exe.
Kann jemand helfen, mir sagen dass das so sein muss, oder das ich einen Trojaner, Virus oder sonstwas habe und wie ich es wieder wegbekomme? :-)
Gruss
Frankö