Hallo!
Wenn ich Windows starte, erscheint das Feld "Windows\system32\cmd.exe". Ist nach ein paar Sekunden wieder weg. Eigentlich nicht weiter schlimm, wüsste aber gern, wie man das abstellen kann.
Kann bei google nichts finden. Keiner weiß was. Der eine stellt dumme Rückfragen, ein anderer meint, es ist ein Trojaner.
Weiß jemand von euch vielleicht eine gescheite Antwort?
gelöscht_35042 
Lessbondo „Windows\system32\cmd.exe“
Ups, nicht richtig gelesen..
Hast du was im Autostart drin stehen?
Rufe mal unter Ausführen msconfig auf und schau mal, was da so alles mitbootet...
Lessbondo gelöscht_35042 „Ups, nicht richtig gelesen.. Hast du was im Autostart drin stehen? Rufe mal...“
Nein, im Autostart stehts nichts drin. Auch unter msconfig wird nichts dergleichen mitgebootet.
Diese Fragen wurden in diversen anderen Foren auch schon gestellt.
Lessbondo gelöscht_35042 „Ups, nicht richtig gelesen.. Hast du was im Autostart drin stehen? Rufe mal...“
Ich sagte schon, dass im Autostart nichts drin steht.
Im msconfig steht auch nichts drin, was auf das Erscheinen des besagten Feldes schließen lässt.
Danke für deine Bemühungen.
Lessbondo Nachtrag zu: „Windows\system32\cmd.exe“
Ja danke, das weiß ich. Ich habe nicht vor, unter cmd zu arbeiten. Ich will abstellen, dass es jedes Mal beim Start erscheint.
gelöscht_35042 Lessbondo „Ja danke, das weiß ich. Ich habe nicht vor, unter cmd zu arbeiten. Ich will...“
Hmm..,
schau mal in den letzten Absatz..
http://www.trojaner-board.de/71954-cmd-exe-startet-beim-hochfahren.html
Wenn nichts hilft, wie sieht es den mit den letzten Wiederherstellungspunkten aus?
Gruß
Lessbondo gelöscht_35042 „Hmm.., schau mal in den letzten Absatz.....“
Habe keine Wiederherstellungspunbkte gesetzt. Den Glauben an das Märchen von der Systemwiederherstellung habe ich schon vor langer Zeit aufgegeben.
Danke für den Hinweis zum Trojaner-Board. Im Ordner c:\Windows\system32 befindet sich die Datei cmd.exe, ist aber m.E. normal, da man mit dem Befehl cmd.exe die DOS-Konsole bzw. ein Derivat davon startet.
Mir ist nicht klar, wieso diese Datei gefährlich sein soll.
PaoloP Lessbondo „Windows\system32\cmd.exe“
Irgendwer oder irgendwas ruft in einem der zahlreichen Autostart Möglichkeit in Windows offensichtlich
den Kommandozeileninterpreter auf um irgendwas zu tun. Da musst du schon selbst schauen was das ist
und überlegen das entspr. Programm aus dem jeweiligen Autostart Mechanismus zu enfternen.
Lessbondo PaoloP „Irgendwer oder irgendwas ruft in einem der zahlreichen Autostart Möglichkeit in...“
Das trifft es m.E. am ehesten. An einen Trojaner glaube ich nicht.
Habe unter msconfig "Diagnosesystemstart - Nur grundlegende Geräte und Dienste laden" eingestellt. Danach erscheint das cmd.exe-Fenster nicht mehr.
Es ist also ein Dienst im Systemstart, der das Fenster hervor ruft.
Ich wüsste nur allzu gerne: Wie heißt der Dienst?
gelöscht_35042 Lessbondo „Windows\system32\cmd.exe“
Könntest du mal deine kompl boot.ini per copy und paste hier einstellen?
Gruß
Lessbondo gelöscht_35042 „Könntest du mal deine kompl boot.ini per copy und paste hier einstellen? Gruß“
Gerne, aber das ist nichts besonderes. Autoexec.bat hat 0 Byte.
[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
peterson Lessbondo „Windows\system32\cmd.exe“
In Deinem Root-Verzeichnis gibt es eine Autoexec.bat
Schau mal nach, ob die mehr als 0 Bytes hat.
Lessbondo peterson „In Deinem Root-Verzeichnis gibt es eine Autoexec.bat Schau mal nach, ob die mehr...“
Wie eben gesagt, die hat 0 Byte.
triker Lessbondo „Windows\system32\cmd.exe“
gescheite antwort?
nun, du könntest dir einen trojaner eingefangen haben....
hier wird öfter davon berichtet:
http://www.trojaner-board.de/thema/cmd.exe.html
gruß
triker
Lessbondo triker „gescheite antwort? nun, du könntest dir einen trojaner eingefangen haben.......“
Habe das System komplett mit Avira Antivir auf höchster Erkennungsstufe geprüft. Es wurde kein Virus, Trojaner oder dergleichen gefunden.
Knoeppken Lessbondo „Windows\system32\cmd.exe“
Lessbondo Knoeppken „ Hallo, erstelle vorsichtshalber mit HijackThis ein LogFile. Wie man es macht,...“
Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was ersehen könntest.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:04, on 08.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\iTALC\ica.exe
C:\Programme\Classroom Spy Pro\bin\csagtprosvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1267545735984
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1267545723468
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iTALC Client (icas) - Unknown owner - C:\Programme\iTALC\ica.exe
O23 - Service: NLCS Agent (NLCSAgent) - Unknown owner - C:\Programme\Classroom Spy Pro\bin\csagtprosvc.exe
--
End of file - 5219 bytes
gelöscht_35042 Lessbondo „Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was...“
Lade dir doch mal TuneUp 2010.
Dort kannst du unter "Verwaltung-Speicher und Cache", dann rechts "Erweitert" den TuneUp StartUp Manager aufrufen.
Dann siehst du genau was da mit bootet und kannst es per Schiebeschalter abschalten...
Gruß
luttyy
Lessbondo gelöscht_35042 „Lade dir doch mal TuneUp 2010. Dort kannst du unter Verwaltung-Speicher und...“
Hat nichts gebracht.
Ich habe inzwischen herausgefunden, dass es irgendein Microsoft-Dienst ist, den man unter msconfg ... Dienste deaktivieren kann.
Leider weiß ich nicht, welcher. Es gibt aber irgendwo Anleitungen, welche Dienste man braucht und welche nicht.
Knoeppken Lessbondo „Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was...“
Tja, auffällig sind schon einmal die Toolbars.
Ich habe es mir deshalb einfach gemacht, und dein LogFile in dem von mir empfohlenen Link auswerten lassen.
Den wichtigsten Teil habe ich als Bild hier eingestellt.
Um es zu vergrößern, brauchst du nur draufklicken:
http://250kb.de/u/100308/j/MWGGjfpYSRtM.jpg
Gruß
knoeppken
Lessbondo Knoeppken „Tja, auffällig sind schon einmal die Toolbars. Ich habe es mir deshalb einfach...“
Vielen Dank, Knoeppken!
Das hilft schon weiter.
Erkläre mir nur bitte: Wie führe ich das "fixen" durch? Muss ich da ein spezielles Programm einsetzen?
Wie entferne ich die als schädlich erkannten dll-Dateien?
Knoeppken Lessbondo „Vielen Dank, Knoeppken! Das hilft schon weiter. Erkläre mir nur bitte: Wie...“
Kopiere bitte dein LogFile welches du hier gepostet hast.
Danach öffnest du folgenden Link:
http://www.hijackthis.de/de
In dem weißen Fenster fügst du das LogFile ein, und klickst unten auf den Button „Auswerten“.
Es erscheint die komplette Liste, von der ich einen Teil in Form eines Bildes dir zeigte.
Wenn du nun auf eines der dort gezeigten roten Kreuze klickst, erscheint eine Hilfe in der folgendes steht:
Was bedeutet fixen?
Mit fixen ist das Entfernen verschiedener Einträge gemeint. Um einen Eintrag zu fixen, starten Sie das Programm HijackThis und klicken auf 'Scan'.
Setzen Sie nun ein Häkchen in die Boxen vor den zu fixenden Einträgen, und drücken Sie auf den 'Fix checked' Knopf.
Die nachfolgende Dialogbox müssen Sie mit 'Ja' bestätigen.
Dazu musst du also die Einträge aus der Auswertung, mit denen des Scans vergleichen, und Gewünschtes „fixen“.
Lese dir dazu bitte auch gründlich folgende Anleitung durch (Figure 5):
http://virus-protect.org/hijackthis.html#Einleitung
Gruß
knoeppken
Lessbondo Knoeppken „Kopiere bitte dein LogFile welches du hier gepostet hast. Danach öffnest du...“
Wird im Moment leider nur die Meldung
"Dienstauslastung zu hoch, Auswertung nicht möglich"
angzeigt.
Ich muss wohl Geduld haben.
Nicht einfach, so kurz vor dem Ziel.
Lessbondo Knoeppken „Kopiere bitte dein LogFile welches du hier gepostet hast. Danach öffnest du...“
Hallo Knoeppken,
das mit hijack hat jetzt geklappt.
Konnte auf die Weise wohl ein paar schädliche Dateien wegmachen, wobei mir nicht klar ist, was an der pdfforge-Toolbar schädlich ist.
Das eigentliche Problem, das Erscheinen des Fensters c:\system32\cmd.exe erscheint aber weiterhin.
Es ist irgendein Windows-Dienst, der startet. Man kann ihn unter msconfig Dateireiter Dienste abstellen. Es wäre aber ein mühsames Suchspiel um heraus zu finden, welcher.
Danke in jedem Fall für deine Hilfe
Knoeppken Lessbondo „Hallo Knoeppken, das mit hijack hat jetzt geklappt. Konnte auf die Weise wohl...“
Hallo,
welcher Dienst das sein könnte, weiß ich leider auch nicht.
Jedenfalls danke ich dir für die Rückmeldung.
Gruß
knoeppken
Lessbondo Nachtrag zu: „Windows\system32\cmd.exe“
Danke euch allen für eure Hilfe.
Konnte das Problem jetzt lösen.
Wenn ich unter Systemsteuerung ... Verwaltung ... Dienste den Arbeitsstationsdienst deaktiviere, ist das Fenster "Windows\system32\cmd.exe" nach dem Start weg.
Dieser Dienst kann getrost deaktiviert werden, da er nur bei Verwendung von Remoteservern eine Rolle spielt.
Es empfiehlt sich sowieso, eine Reihe unnützer Dienste in Windows abzustellen.
