"cmd/ping.exe" machen terror

Darkstar. · 05.04.2006, 22:33

Hallo, ich habe da seit kurzem ein kleines Problem und mir wurde geraten, mich hier mal zu melden.
Das Problem taucht gleich nach dem Start von Windows auf und zickt dann rum.
Dabei handelt es sich um "cmd.exe" und "ping.exe", die sich im sekundentakt selbst starten und wieder beenden.
Weiß jemand wie, ich dem einhalt gebieten kann?

Hier meine Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:20:39, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Samurize\Client.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ping.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MOMORacingFixCenter] "C:\Programme\Logitech\MOMORacingFixCenter.exe" 0
O4 - Startup: Client.lnk = C:\Programme\Samurize\Client.exe
O4 - Startup: SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{A83300F4-CA80-4204-A256-1B661B499183}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Danke schonmal

dartus · 05.04.2006, 23:37

Hallo Darkstar.,

dann entferne diese beiden Programme aus dem Autostart.
Start --> Ausführen--> msconfig eingeben --> Reiter Systemstart

dartus

Darkstar. · 05.04.2006, 23:46

Hallo, das habe ich auch bedacht, leider sind diese Programme dort nicht vorzufinden.
Sie starten und beenden sich, wie schon gesagt im sekundentakt gleichzeitig.

Darkstar. · 06.04.2006, 19:09

niemand eine Idee?

Markus1234 · 07.04.2006, 15:24

Zitat:

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Das könnte die Quelle sein.

Darkstar. · 07.04.2006, 18:11

Hmm.. Das existiert nicht mehr...
TightVNC kann ich im Prgramme Ordner nicht mehr finden und die Reg hab ich auch schon gereinigt.

Markus1234 · 08.04.2006, 00:45

Klang nur nach "Server", wo ein pingen eigentlich nicht ungewöhnlich ist (bzw die dauerhafte erfassung des pings zwecks anzeige).

Vielleicht ist was zurückgeblieben?
Kannst du das Phenomän eigentlich auch im abgesicherten Modus bewundern?

Darkstar. · 12.04.2006, 17:02

Werde ich später nochmal Testen, da ich im moment wenig Zeit habe.

Habe jetzt mal Spyware Doctor laufen lassen und der hat da was gefunden.
Das ganze schaut so aus:

Leider hab ich nur die Demo von SD und kann den Mist damit nicht löschen oder beheben.
Gibt es da eine Alternative?

Gruß Darkstar

Darkstar. · 12.04.2006, 18:18

Hab jetzt alles entfernt, Probem besteht aber weiterhin.

Im Abgesicherten Modus habe ich das problem nicht, da bleiben die beiden ruhig.

Aber die Probleme werden immer schlimmer, mein Router geht langsam zu grunde.

MightyMarc · 12.04.2006, 19:33

Hallo,

prüfe die Dateien bitte bei jotti

C:\Windows\kl1.exe
C:\Windwos\uniq

Sollte sich der Fund bestätigen, findest Du hier eine Anleitung zum Neuaufsetzen des Systems.

BataAlexander · 12.04.2006, 19:39

Hallo,

lade Dir Cleanup.dann poste die vier Logfiles der datfind.bat, aber nur die Dateien der letzten drei Monate.
Scann kannst Du Dir sparen, ist dieser hier.

Hallo MM

Gruß

Schrulli

MightyMarc · 12.04.2006, 19:44

Zitat:

Zitat von Schrulli

Scann kannst Du Dir sparen, ist dieser hier.

Scheint so. Ziemlich verherend einen Downloader als Backdoor zu erkennen

btw

BataAlexander · 12.04.2006, 19:47

Hallo,

schlimmer finde ich es einen Backdoor nicht zu erkennen, ist mir schon glaub drei mal passiert, müßte ich Wildone fragen.

Außerdem weißte nicht, was der Rechner noch birgt.

Gruß

Schrulli

Darkstar. · 12.04.2006, 21:19

So in etwa?

Verzeichnis von C:\WINDOWS\system32

12.04.2006 21:53 50.257 nvapps.xml
12.04.2006 19:42 52.764 perfc009.dat
12.04.2006 19:42 380.350 perfh009.dat
12.04.2006 19:42 391.000 perfh007.dat
12.04.2006 19:42 63.580 perfc007.dat
12.04.2006 19:42 897.954 PerfStringBackup.INI
12.04.2006 18:54 1.318 ikhcore.log
11.04.2006 21:09 219.136 uxtheme.dll
11.04.2006 21:09 134.272 HAL.DLL
11.04.2006 21:09 49.152 wdigest.dll
11.04.2006 21:09 61.440 mmcshext.dll
11.04.2006 21:09 33.792 mmcperf.exe
11.04.2006 21:09 1.916.928 mmcndmgr.dll
11.04.2006 21:09 106.496 mmcfxcommon.dll
11.04.2006 21:09 397.312 mmcex.dll
11.04.2006 21:09 169.984 mmcbase.dll
11.04.2006 21:09 184.320 microsoft.managementconsole.dll
11.04.2006 21:09 1.354.240 mmc.exe
11.04.2006 21:09 148.480 cic.dll
11.04.2006 21:09 28.672 verclsid.exe
11.04.2006 21:09 8.493.056 shell32.dll
11.04.2006 21:09 679.424 inetcomm.dll
11.04.2006 21:08 669.184 wininet.dll
11.04.2006 21:08 616.448 urlmon.dll
11.04.2006 21:08 25.600 xpsp3res.dll
11.04.2006 21:08 474.624 shlwapi.dll
11.04.2006 21:08 1.495.040 shdocvw.dll
11.04.2006 21:08 39.424 pngfilt.dll
11.04.2006 21:08 532.480 mstime.dll
11.04.2006 21:08 146.432 msrating.dll
11.04.2006 21:08 448.512 mshtmled.dll
11.04.2006 21:08 3.076.608 mshtml.dll
11.04.2006 21:08 96.768 inseng.dll
11.04.2006 21:08 251.904 iepeers.dll
11.04.2006 21:08 55.808 extmgr.dll
11.04.2006 21:08 205.312 dxtrans.dll
11.04.2006 21:08 1.056.256 danim.dll
11.04.2006 21:08 152.064 cdfview.dll
11.04.2006 21:08 1.022.976 browseui.dll
11.04.2006 21:08 270.848 oakley.dll
10.04.2006 22:33 2.206 wpa.dbl
10.04.2006 07:40 778.240 divx_xx07.dll
10.04.2006 07:40 778.240 divx_xx0c.dll
10.04.2006 07:40 761.856 divx_xx11.dll
10.04.2006 07:40 619.668 DivX.dll
09.04.2006 23:59 700.416 divxdec.ax
08.04.2006 05:21 118.784 DivXCodecUpdateChecker.exe
08.04.2006 03:13 53.248 dpuGUI10.dll
08.04.2006 03:13 593.920 dpuGUI11.dll
08.04.2006 03:13 90.112 dpl100.dll
08.04.2006 03:13 200.704 dtu100.dll
08.04.2006 03:13 344.064 dpus11.dll
08.04.2006 03:13 57.344 dpv11.dll
08.04.2006 03:13 294.912 dpu11.dll
08.04.2006 03:13 294.912 dpu10.dll
06.04.2006 20:11 1.044.480 libdivx.dll
06.04.2006 20:11 200.704 ssldivx.dll
06.04.2006 20:11 3.596.288 qt-dx331.dll
06.04.2006 20:10 4.276 divxsm.tlb
06.04.2006 20:10 536.576 DivXsm.exe
06.04.2006 20:10 15.331 dsm_de.qm
06.04.2006 20:10 10.716 dsm_ja.qm
06.04.2006 20:10 352.401 DivXMedia.ax
06.04.2006 20:10 15.172 dsm_fr.qm
21.03.2006 21:13 12.288 DivXWMPExtType.dll
21.03.2006 21:11 8.523 dpude.qm
21.03.2006 21:11 3.136 dtu_de.qm
11.03.2006 14:14 97.456 FNTCACHE.DAT
09.03.2006 16:29 270.336 nvrsesm.dll
09.03.2006 16:29 278.528 nvrses.dll
09.03.2006 16:29 245.760 nvrsfi.dll
09.03.2006 16:29 282.624 nvrsfr.dll
09.03.2006 16:29 323.584 nvrshe.dll
09.03.2006 16:29 258.048 nvrshu.dll
09.03.2006 16:29 425.984 keystone.exe
09.03.2006 16:29 278.528 nvrsit.dll
09.03.2006 16:29 266.240 nvrsja.dll
09.03.2006 16:29 258.048 nvrsko.dll
09.03.2006 16:29 270.336 nvrsnl.dll
09.03.2006 16:29 249.856 nvrsno.dll
09.03.2006 16:29 253.952 nvrspl.dll
09.03.2006 16:29 86.016 nvmctray.dll
09.03.2006 16:29 270.336 nvrspt.dll
09.03.2006 16:29 245.760 nvrseng.dll
09.03.2006 16:29 266.240 nvrsptb.dll
09.03.2006 16:29 266.240 nvrsru.dll
09.03.2006 16:29 573.440 nvhwvid.dll
09.03.2006 16:29 253.952 nvrssl.dll
09.03.2006 16:29 249.856 nvrssv.dll
09.03.2006 16:29 253.952 nvrstr.dll
09.03.2006 16:29 221.184 nvrszhc.dll
09.03.2006 16:29 122.880 nvrszht.dll
09.03.2006 16:29 466.944 nvshell.dll
09.03.2006 16:29 143.436 nvsvc32.exe
09.03.2006 16:29 73.728 nvtuicpl.cpl
09.03.2006 16:29 81.920 nvwddi.dll
09.03.2006 16:29 1.662.976 nvwdmcpl.dll
09.03.2006 16:29 1.019.904 nvwimg.dll
09.03.2006 16:29 282.624 nvwrsar.dll
09.03.2006 16:29 278.528 nvrsel.dll
09.03.2006 16:29 286.720 nvwrscs.dll
09.03.2006 16:29 294.912 nvwrsda.dll
09.03.2006 16:29 311.296 nvwrsde.dll
09.03.2006 16:29 335.872 nvwrsel.dll
09.03.2006 16:29 229.376 nvmccs.dll
09.03.2006 16:29 286.720 nvnt4cpl.dll
09.03.2006 16:29 1.339.392 nvdspsch.exe
09.03.2006 16:29 253.952 nvrssk.dll
09.03.2006 16:29 274.432 nvrsde.dll
09.03.2006 16:29 249.856 nvrsda.dll
09.03.2006 16:29 245.760 nvrscs.dll
09.03.2006 16:29 327.680 nvrsar.dll
09.03.2006 16:29 16.960 nvdisp.nvu
09.03.2006 16:29 7.561.216 nvcpl.dll
09.03.2006 16:29 147.456 nvcolor.exe
09.03.2006 16:29 35.840 nvcodins.dll
09.03.2006 16:29 286.720 nvwrseng.dll
09.03.2006 16:29 35.840 nvcod.dll
09.03.2006 16:29 335.872 nvwrses.dll
09.03.2006 16:29 327.680 nvwrsesm.dll
09.03.2006 16:29 303.104 nvwrsfi.dll
09.03.2006 16:29 327.680 nvwrsfr.dll
09.03.2006 16:29 1.466.368 nview.dll
09.03.2006 16:29 278.528 nvwrshe.dll
09.03.2006 16:29 442.368 nvappbar.exe
09.03.2006 16:29 315.392 nvwrshu.dll
09.03.2006 16:29 323.584 nvwrsit.dll
09.03.2006 16:29 212.992 nvwrsja.dll
09.03.2006 16:29 196.608 nvwrsko.dll
09.03.2006 16:29 319.488 nvwrsnl.dll
09.03.2006 16:29 299.008 nvwrsno.dll
09.03.2006 16:29 294.912 nvwrspl.dll
09.03.2006 16:29 98.304 nvapi.dll
09.03.2006 16:29 323.584 nvwrspt.dll
09.03.2006 16:29 319.488 nvwrsptb.dll
09.03.2006 16:29 315.392 nvwrsru.dll
09.03.2006 16:29 5.419.008 nvoglnt.dll
09.03.2006 16:29 3.968.512 nv4_disp.dll
09.03.2006 16:29 299.008 nvwrssk.dll
09.03.2006 16:29 303.104 nvwrssl.dll
09.03.2006 16:29 294.912 nvwrssv.dll
09.03.2006 16:29 303.104 nvwrstr.dll
09.03.2006 16:29 163.840 nvwrszhc.dll
09.03.2006 16:29 167.936 nvwrszht.dll
09.03.2006 16:29 1.519.616 nwiz.exe
09.03.2006 16:29 45.056 nvmccsrs.dll
08.03.2006 12:36 15.584 spmsg.dll
05.02.2006 03:42 221.184 UAService7.exe
05.02.2006 03:21 98.304 CmdLineExt.dll
03.02.2006 09:43 2.332.368 d3dx9_29.dll
03.02.2006 09:42 230.096 xactengine2_0.dll
03.02.2006 09:41 14.032 x3daudio1_0.dll
21.01.2006 19:20 262.144 wrap_oal.dll
21.01.2006 19:20 86.016 OpenAL32.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
01.01.2006 03:38 2.290.688 TUKernel.exe

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

12.04.2006 21:53 16.384 Perflib_Perfdata_78c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 61.979.258.880 Bytes frei

Verzeichnis von C:\WINDOWS

12.04.2006 21:53 0 0.log
12.04.2006 21:53 159 wiadebug.log
12.04.2006 21:53 50 wiaservc.log
12.04.2006 21:53 65 iTouch.ini
12.04.2006 21:53 2.048 bootstat.dat
12.04.2006 20:08 32.568 SchedLgU.Txt
12.04.2006 20:08 80.664 WindowsUpdate.log
12.04.2006 19:36 27.376 tabletoc.log
12.04.2006 19:36 186.037 comsetup.log
12.04.2006 19:36 111.005 ntdtcsetup.log
12.04.2006 19:36 608.567 iis6.log
12.04.2006 19:36 1.374 imsins.log
12.04.2006 19:36 247.151 tsoc.log
12.04.2006 19:36 29.271 ocmsn.log
12.04.2006 19:36 93.762 netfxocm.log
12.04.2006 19:36 259.676 ocgen.log
12.04.2006 19:36 37.187 MedCtrOC.log
12.04.2006 19:36 26.323 msgsocm.log
12.04.2006 19:36 530.877 FaxSetup.log
12.04.2006 19:36 169.176 msmqinst.log
12.04.2006 19:36 23.340 updspapi.log
12.04.2006 19:14 147.934 ntbtlog.txt
12.04.2006 17:24 2.220 KB893803v2Uninst.log
11.04.2006 02:36 116 NeroDigital.ini
10.04.2006 02:39 13.529 wmsetup.log
05.04.2006 23:40 537 win.ini
05.04.2006 23:40 227 system.ini
05.04.2006 15:35 3.932.214 ACD Hintergrund.bmp
04.04.2006 23:41 33 GunzLauncher.INI
31.03.2006 12:33 665.752 setupapi.log
30.03.2006 01:09 177.407 setupact.log
16.03.2006 21:32 113.312 DirectX.log
15.03.2006 18:45 923 spupdsvc.log
15.03.2006 18:09 7.007 KB901190.log
15.03.2006 18:09 7.396 KB911927.log
15.03.2006 18:09 6.034 KB913446.log
15.03.2006 18:09 8.287 KB911564.log
15.03.2006 18:09 8.672 KB911565.log
15.03.2006 18:08 7.662 KB905749.log
15.03.2006 18:08 7.100 KB905414.log
15.03.2006 18:08 6.685 KB899588.log
15.03.2006 18:08 3.235 KB898458.log
15.03.2006 18:08 5.367 KB893086.log
15.03.2006 18:08 4.757 KB885523.log
15.03.2006 18:08 4.271 KB893066.log
15.03.2006 18:08 4.608 KB873333.log
15.03.2006 18:07 4.464 KB890047.log
15.03.2006 18:07 4.482 KB887472.log
15.03.2006 18:07 4.508 KB890175.log
15.03.2006 18:07 2.771 KB884020.log
09.03.2006 00:23 546 eReg.dat
08.03.2006 21:39 5.142 JetPowered Mod Uninstall Log.txt
04.02.2006 03:42 0 de.exe
01.02.2006 15:11 0 Path.idx
26.01.2006 03:21 1.454 COM+.log
11.01.2006 19:44 29.504 basecsp.log
11.01.2006 19:43 316.640 WMSysPr9.prx
11.01.2006 19:41 12.402 KB904412.log
11.01.2006 19:38 17.467 KB890046.log
08.01.2006 21:53 2.122 KB912919Uninst.log
04.01.2006 16:43 0 AS_Debug.txt
04.01.2006 16:43 15.989 Ascd_tmp.in

Verzeichnis von C:\

12.04.2006 22:19 0 sys.txt
12.04.2006 22:18 6.751 system.txt
12.04.2006 22:18 296 systemtemp.txt
12.04.2006 22:16 99.793 system32.txt
12.04.2006 21:53 1.610.612.736 pagefile.sys
05.04.2006 23:40 225 boot.ini
26.02.2006 02:59 0 itouch_crash_info.txt

BataAlexander · 12.04.2006, 23:24

Hallo,

lade Killbox, in meiner Signatur verlinkt und lösche mittels delete on reboot:

Verzeichnis von C:\WINDOWS\system32

12.04.2006 21:53 50.257 nvapps.xml
05.02.2006 03:21 98.304 CmdLineExt.dll

Verzeichnis von C:\WINDOWS

09.03.2006 00:23 546 eReg.dat
04.02.2006 03:42 0 de.exe

wenn vorhanden folgende Dateien auch löschen, verstecke Dateien sichtbar machen ist in meiner Signatur verlinkt.

c:\windows\at.exe
c:\windows\country.exe
c:\windows\countrydial.exe
c:\windows\de.exe
c:\windows\hosts
c:\windows\kl.txt
c:\windows\kl1.exe
c:\windows\ms1.exe
c:\windows\paytime.exe
c:\windows\se.exe
c:\windows\secure32.php
c:\windows\tool1.exe
c:\windows\tool2.exe
c:\windows\tool3.exe
c:\windows\tool4.exe
c:\windows\tool5.exe
c:\windows\toolbar.exe
c:\windows\uniq

Gruß

Schrulli

"cmd/ping.exe" machen terror

Log-Analyse und Auswertung: "cmd/ping.exe" machen terror