Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus getarnt als cmd.exe? (https://www.trojaner-board.de/91257-virus-getarnt-cmd-exe.html)

thiz 28.09.2010 19:59
Virus getarnt als cmd.exe?
 
Hallo,

vor kurzem habe ich einen großen Temperaturzuwachs meiner CPU bemerkt, also habe ich mal in den Taskmanager geschaut und die cmd.exe gefunden. Diese sorgt für eine ständige CPU-Auslastung von 100% und erst durch das beenden dieses Prozesses geht die Temperatur meiner CPU von 55°C auf 35°C runter.

Da ich aber die cmd.exe nicht starte, sondern sie sich von alleine beim Windows-Start selber startet (und die Eingabeaufforderungs-cmd.exe ja sicher nicht soviel an Leistung fressen kann), dachte ich da an einen Virus. Ich habe schon mit Spybot/Malwarebytes und Avast Antivir gescanned, aber leider nichts gefunden.

Ich habe also die Schritte der Load.exe ausgeführt und alles nach Anleitung gemacht. Bis auf die defogger.exe die es bei mir nicht gab und auch die gmer.exe konnte ich leider nicht ausführen, da mir beim starten der Datei folgende Fehlermeldung angezeigt wurde:

"C:\Windows\system32\config\system: Das System kann die angegebene Datei nicht finden."

Mein System, falls nötig:

Win7 x64
Core2Duo E6750
HD 4870
3.12 GB RAM

Die Logfiles sind im Anhang.

Chris4You 28.09.2010 20:36
Hi,

das ist ein 64-Bit-System, da gibt es leider sehr wenige Tools die funktionieren...

Hmmm, handelt es sich um eine reguläres Win7, da ist so einiges was man eigentlich nur bei gehackten-Versionen findet...

MAM updaten und FULLSCAN, nicht quickscan...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:

C:\Windows\SysNative\umrdp.dll
C:\Windows\SysNative\hale.exe
C:\Windows\SysNative\slmgr.vbs
C:\Windows\SysNative\winver.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:
:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86
:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
Ps.: Bin morgen den ganzen Tag unterwegs und nicht zu erreichen!

thiz 28.09.2010 22:02
Problem ist nach ausführung des OTL Fix weg. Vielen dank!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131