Forum
Tipps
News
Menu-Icon

Win XP: cmd.exe spackt beim start von Windows

Hi Leute,

Ich hab heute von einem von icq einen "angeblichen" MSN hack geschickt bekommen. Habe auch schon gesehn das dass hier schon einem passiert ist und habe soweit au alles gemacht was zu machen wahr. jetzt hab ich nur noch ein Problem ;S  :(:( Immer wenn ich Windows starte komm so eine Art Fenster mit dem namen ..../System32/cmd.exe
und im Fenster drinne steht dann C:/dokumente und einstellungen/benutzer/echo>
und nach dem echo steht dann abwechselt irgentwelche Kommentare z.b.
...echo> du armes armes kind
...echo>du weist noch nicht mal wie man diese kleine Meldumg abschaltet...
und so weiter und so fort ..
Kann mir einer helfen wie ich diese Meldung weg bekomme die nervt voll. Auserdem entstehen dann immer nach diesen "Meldungen" ganz viele datein die jeweils 1kb groß sind
ich lösch also nach jedem start über 400 fast 500 1kb datein.

Kann mir bitte bitte einer Helfen.. 



Antworten zu Win XP: cmd.exe spackt beim start von Windows:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sieht ganz nach einem Virus aus. Hast du schonmal deinen PC auf Viren, Trojaner etc. gescannt ??? 

Ich habe: -Kompletten Virencheck gemacht
          -Online VirenScan gemacht
dann hab ich das noch mit dem HiJack oder wie das heist gemacht..

Den Log hier posten (von HijackThis). 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Mich würde auch mal interessieren, wie diese angebliche Datei heißt, welche du installiert hast ???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:44, on 26.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Opera\Opera.exe
E:\spiele\Vitalsign\VitalSign_DE\updater.exe
E:\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Windows.bat
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191749499500
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5216/mcfscan.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

--
End of file - 6215 bytes
 

[X] - O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
File Missing, kannst du fixen.

Aber ich seh nichts auffälliges 

Und was mach ich mit dem nervigen cmd.exe fenster??

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Zitat
Ich hab heute von einem von icq einen "angeblichen" MSN hack geschickt bekommen.
Vielleicht beantwortest du zuerst einmal meine Frage: Wie genau heißt diese Datei ???

war ne ganz normale .exe MSNHack.exe aber mein anti-virus hat mir noch angezeigt das es
WORM/Rbot.(Zahlencombination) war , er hat gesagt das das normal sei und ich depp habs au noch geklaubt -.- Ich hab draus gelernt...


Ach und was ist Windows.bat eine System32 datei??

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Zitat
WORM/Rbot.(Zahlencombination)
Dann schaue mal in deinem Antiviren-Programm im Report nach, welche Nummer das genau ist (falls es dort steht). Dann kannst du es vielleicht selber entfernen:

>>> Klick <<<

>>> Klick <<<
« Letzte Änderung: 26.01.08, 20:06:24 von DD »

Sauber, hast dir nen Backdoor-Trojaner geholt
Neuaufsetzen wärs beste.
Aber wenn du es wirklich noch versuchen willst:
http://www.sophos.com/support/disinfection/rbotek.html

Infos:
http://www.avira.com/de/threats/section/fulldetails/id_vir/3293/worm_rbot.96768.12.html
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@ Kilkan

Und außerdem solltest du noch wissen, dass du dich mit jedem illegalen H a c k auch strafbar machst !!!   

« Letzte Änderung: 26.01.08, 20:11:21 von DD »

Ja weis ich aber danke für Hinweis kannst du mir nun sagen ob Windows.bat eine System32 datei ist??

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Meines Wissens ist es keine System-Datei von Windows ??? 

Oha ich habe gerade ein Programm runtergeladen "Spyware Doctor" das hat gleich mal 6 Bedrohungen und 28 Infektionen festgestellt ich werde das gleich mal bereinigen und hoffen das dann diese komische Nachricht beim start von windows weggeht ich werds gleich mal ausprobieren und window neu starten ;>

Schade hat au nix gebracht jetzt bin ich hilflos...

Juhu ich habs geschafft ich habe mir die Windows.bat datei mal genau angeschaut und ein bisschen gegoogelt. Hat geholfen ich habe sie geöffnet und mir kam das schöne echo entgegen habs einfach gelöscht und zack weg wars. Jetzt sind eigentlich alle Symptome wieder weg die ich hatte hoffe nur das au wirklich alles weg ist da meine Mutter gerne Online-Überweisungen tätigt...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ja, *.bat-Dateien kannst du mit jedem Editor öffnen und bearbeiten. Das wäre auch mein nächster Vorschlag gewesen, sich diese Windows.bat mal etwas genauer anzuschauen Hat sich aber nun erledigt ... :D 


« Vista: WMailVista: Vista + PIF Icon-Bild »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
MSN
Die Abkürzung MSN steht für MicroSoft Network und ist ein Webportal von Microsoft das diverse Chat und Kommunikationsservices anbietet. Die bekanntesten Funktio...

Scart
SCART, ein europäischer Standard für Steckverbindungen, spielte eine wichtige Rolle in der Geschichte der Audio- und Videotechnik. Ursprünglich konzipiert,...

Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...