Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Windows\system32\cmd.exe

Lessbondo / 25 Antworten / Baumansicht Nickles

Hallo!

Wenn ich Windows starte, erscheint das Feld "Windows\system32\cmd.exe". Ist nach ein paar Sekunden wieder weg. Eigentlich nicht weiter schlimm, wüsste aber gern, wie man das abstellen kann.
Kann bei google nichts finden. Keiner weiß was. Der eine stellt dumme Rückfragen, ein anderer meint, es ist ein Trojaner.
Weiß jemand von euch vielleicht eine gescheite Antwort?

luttyy Lessbondo „Windows\system32\cmd.exe“
Optionen

Ups, nicht richtig gelesen..

Hast du was im Autostart drin stehen?

Rufe mal unter Ausführen msconfig auf und schau mal, was da so alles mitbootet...

Lessbondo luttyy „Ups, nicht richtig gelesen.. Hast du was im Autostart drin stehen? Rufe mal...“
Optionen

Nein, im Autostart stehts nichts drin. Auch unter msconfig wird nichts dergleichen mitgebootet.
Diese Fragen wurden in diversen anderen Foren auch schon gestellt.

Lessbondo luttyy „Ups, nicht richtig gelesen.. Hast du was im Autostart drin stehen? Rufe mal...“
Optionen

Ich sagte schon, dass im Autostart nichts drin steht.
Im msconfig steht auch nichts drin, was auf das Erscheinen des besagten Feldes schließen lässt.
Danke für deine Bemühungen.

Lessbondo Nachtrag zu: „Windows\system32\cmd.exe“
Optionen

Ja danke, das weiß ich. Ich habe nicht vor, unter cmd zu arbeiten. Ich will abstellen, dass es jedes Mal beim Start erscheint.

luttyy Lessbondo „Ja danke, das weiß ich. Ich habe nicht vor, unter cmd zu arbeiten. Ich will...“
Optionen

Hmm..,

schau mal in den letzten Absatz..

http://www.trojaner-board.de/71954-cmd-exe-startet-beim-hochfahren.html

Wenn nichts hilft, wie sieht es den mit den letzten Wiederherstellungspunkten aus?

Gruß

Lessbondo luttyy „Hmm.., schau mal in den letzten Absatz.....“
Optionen

Habe keine Wiederherstellungspunbkte gesetzt. Den Glauben an das Märchen von der Systemwiederherstellung habe ich schon vor langer Zeit aufgegeben.
Danke für den Hinweis zum Trojaner-Board. Im Ordner c:\Windows\system32 befindet sich die Datei cmd.exe, ist aber m.E. normal, da man mit dem Befehl cmd.exe die DOS-Konsole bzw. ein Derivat davon startet.
Mir ist nicht klar, wieso diese Datei gefährlich sein soll.

PaoloP Lessbondo „Windows\system32\cmd.exe“
Optionen

Irgendwer oder irgendwas ruft in einem der zahlreichen Autostart Möglichkeit in Windows offensichtlich
den Kommandozeileninterpreter auf um irgendwas zu tun. Da musst du schon selbst schauen was das ist
und überlegen das entspr. Programm aus dem jeweiligen Autostart Mechanismus zu enfternen.

Lessbondo PaoloP „Irgendwer oder irgendwas ruft in einem der zahlreichen Autostart Möglichkeit in...“
Optionen

Das trifft es m.E. am ehesten. An einen Trojaner glaube ich nicht.
Habe unter msconfig "Diagnosesystemstart - Nur grundlegende Geräte und Dienste laden" eingestellt. Danach erscheint das cmd.exe-Fenster nicht mehr.
Es ist also ein Dienst im Systemstart, der das Fenster hervor ruft.
Ich wüsste nur allzu gerne: Wie heißt der Dienst?

luttyy Lessbondo „Windows\system32\cmd.exe“
Optionen

Könntest du mal deine kompl boot.ini per copy und paste hier einstellen?

Gruß

Lessbondo luttyy „Könntest du mal deine kompl boot.ini per copy und paste hier einstellen? Gruß“
Optionen

Gerne, aber das ist nichts besonderes. Autoexec.bat hat 0 Byte.

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

peterson Lessbondo „Windows\system32\cmd.exe“
Optionen

In Deinem Root-Verzeichnis gibt es eine Autoexec.bat

Schau mal nach, ob die mehr als 0 Bytes hat.

Lessbondo peterson „In Deinem Root-Verzeichnis gibt es eine Autoexec.bat Schau mal nach, ob die mehr...“
Optionen

Wie eben gesagt, die hat 0 Byte.

triker Lessbondo „Windows\system32\cmd.exe“
Optionen

gescheite antwort?
nun, du könntest dir einen trojaner eingefangen haben....
hier wird öfter davon berichtet:
http://www.trojaner-board.de/thema/cmd.exe.html
gruß
triker

Lessbondo triker „gescheite antwort? nun, du könntest dir einen trojaner eingefangen haben.......“
Optionen

Habe das System komplett mit Avira Antivir auf höchster Erkennungsstufe geprüft. Es wurde kein Virus, Trojaner oder dergleichen gefunden.

Knoeppken Lessbondo „Windows\system32\cmd.exe“
Optionen
ein anderer meint, es ist ein Trojaner.

Hallo,

erstelle vorsichtshalber mit "HijackThis" ein LogFile.
Wie man es macht, ist hier bebildert erklärt:

http://sicher-ins-netz.info/analyse/hjt.html

Anschließend lässt du das LogFile hier auswerten:

http://www.hijackthis.de/de

Wenn du möchtest, kannst du uns das Ergebnis hier mitteilen, oder aber auch das LogFile hier einstellen.

Gruß
knoeppken
Lessbondo Knoeppken „ Hallo, erstelle vorsichtshalber mit HijackThis ein LogFile. Wie man es macht,...“
Optionen

Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was ersehen könntest.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:04, on 08.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\iTALC\ica.exe
C:\Programme\Classroom Spy Pro\bin\csagtprosvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1267545735984
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1267545723468
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iTALC Client (icas) - Unknown owner - C:\Programme\iTALC\ica.exe
O23 - Service: NLCS Agent (NLCSAgent) - Unknown owner - C:\Programme\Classroom Spy Pro\bin\csagtprosvc.exe

--
End of file - 5219 bytes

luttyy Lessbondo „Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was...“
Optionen

Lade dir doch mal TuneUp 2010.

Dort kannst du unter "Verwaltung-Speicher und Cache", dann rechts "Erweitert" den TuneUp StartUp Manager aufrufen.

Dann siehst du genau was da mit bootet und kannst es per Schiebeschalter abschalten...

Gruß
luttyy

Lessbondo luttyy „Lade dir doch mal TuneUp 2010. Dort kannst du unter Verwaltung-Speicher und...“
Optionen

Hat nichts gebracht.
Ich habe inzwischen herausgefunden, dass es irgendein Microsoft-Dienst ist, den man unter msconfg ... Dienste deaktivieren kann.
Leider weiß ich nicht, welcher. Es gibt aber irgendwo Anleitungen, welche Dienste man braucht und welche nicht.

Knoeppken Lessbondo „Hier das Ergebnis des HijackThis-Checks. Wäre schön, wenn du daraus was...“
Optionen

Tja, auffällig sind schon einmal die Toolbars.
Ich habe es mir deshalb einfach gemacht, und dein LogFile in dem von mir empfohlenen Link auswerten lassen.
Den wichtigsten Teil habe ich als Bild hier eingestellt.
Um es zu vergrößern, brauchst du nur draufklicken:

http://250kb.de/u/100308/j/MWGGjfpYSRtM.jpg

Gruß
knoeppken

Lessbondo Knoeppken „Tja, auffällig sind schon einmal die Toolbars. Ich habe es mir deshalb einfach...“
Optionen

Vielen Dank, Knoeppken!
Das hilft schon weiter.
Erkläre mir nur bitte: Wie führe ich das "fixen" durch? Muss ich da ein spezielles Programm einsetzen?
Wie entferne ich die als schädlich erkannten dll-Dateien?

Knoeppken Lessbondo „Vielen Dank, Knoeppken! Das hilft schon weiter. Erkläre mir nur bitte: Wie...“
Optionen

Kopiere bitte dein LogFile welches du hier gepostet hast.
Danach öffnest du folgenden Link:

http://www.hijackthis.de/de

In dem weißen Fenster fügst du das LogFile ein, und klickst unten auf den Button „Auswerten“.
Es erscheint die komplette Liste, von der ich einen Teil in Form eines Bildes dir zeigte.
Wenn du nun auf eines der dort gezeigten roten Kreuze klickst, erscheint eine Hilfe in der folgendes steht:

Was bedeutet fixen?
Mit fixen ist das Entfernen verschiedener Einträge gemeint. Um einen Eintrag zu fixen, starten Sie das Programm HijackThis und klicken auf 'Scan'.
Setzen Sie nun ein Häkchen in die Boxen vor den zu fixenden Einträgen, und drücken Sie auf den 'Fix checked' Knopf.
Die nachfolgende Dialogbox müssen Sie mit 'Ja' bestätigen.


Dazu musst du also die Einträge aus der Auswertung, mit denen des Scans vergleichen, und Gewünschtes „fixen“.

Lese dir dazu bitte auch gründlich folgende Anleitung durch (Figure 5):

http://virus-protect.org/hijackthis.html#Einleitung


Gruß
knoeppken

Lessbondo Knoeppken „Kopiere bitte dein LogFile welches du hier gepostet hast. Danach öffnest du...“
Optionen

Wird im Moment leider nur die Meldung
"Dienstauslastung zu hoch, Auswertung nicht möglich"
angzeigt.
Ich muss wohl Geduld haben.
Nicht einfach, so kurz vor dem Ziel.

Lessbondo Knoeppken „Kopiere bitte dein LogFile welches du hier gepostet hast. Danach öffnest du...“
Optionen

Hallo Knoeppken,

das mit hijack hat jetzt geklappt.
Konnte auf die Weise wohl ein paar schädliche Dateien wegmachen, wobei mir nicht klar ist, was an der pdfforge-Toolbar schädlich ist.

Das eigentliche Problem, das Erscheinen des Fensters c:\system32\cmd.exe erscheint aber weiterhin.
Es ist irgendein Windows-Dienst, der startet. Man kann ihn unter msconfig Dateireiter Dienste abstellen. Es wäre aber ein mühsames Suchspiel um heraus zu finden, welcher.
Danke in jedem Fall für deine Hilfe

Knoeppken Lessbondo „Hallo Knoeppken, das mit hijack hat jetzt geklappt. Konnte auf die Weise wohl...“
Optionen

Hallo,

welcher Dienst das sein könnte, weiß ich leider auch nicht.
Jedenfalls danke ich dir für die Rückmeldung.

Gruß
knoeppken

Lessbondo Nachtrag zu: „Windows\system32\cmd.exe“
Optionen

Danke euch allen für eure Hilfe.
Konnte das Problem jetzt lösen.
Wenn ich unter Systemsteuerung ... Verwaltung ... Dienste den Arbeitsstationsdienst deaktiviere, ist das Fenster "Windows\system32\cmd.exe" nach dem Start weg.
Dieser Dienst kann getrost deaktiviert werden, da er nur bei Verwendung von Remoteservern eine Rolle spielt.
Es empfiehlt sich sowieso, eine Reihe unnützer Dienste in Windows abzustellen.