#1 20. November 2010 Nabend Jungs und Mädels. Der Laptop von nem Kumpel spackt rum, und jetzt liegt er bei mir aufm Schreibtisch. Bin gerade allerdings selbst ein bisschen überfragt. Und zwar öffnen sich nach dem Start mehrere Fenster der Eingabeaufforderung, mit der svchost.exe, der win32runtime.exe und AvProtector.exe In der win32Runtime.exe steht sogar folgender Text: Der angeforderte Vorgang erfordert erhöhte Rechte. Initalizing flood engine... (das ca. 6 mal) Request Done: false //*--*// CMD: false Die Fenster öffnen sich sofort wieder wenn man sie schließt... Sieht für mich ein wenig nach Trojaner aus, jemand Erfahrung? Sys platt machen und W7 drauf machen (aktuell Vista -.-) ist nicht drin, da einige Programme dringend benötigt werden und man sie nicht re installieren kann. BW ist Ehrensache. Danke!!! + Multi-Zitat Zitieren
#2 20. November 2010 AW: CMD öffnet sich selbst nach booten Ohne Zweifel klingt das nach Malware Trojaner oder dergleichen. Poste mal einen HighJackThis. + Multi-Zitat Zitieren
#3 20. November 2010 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: CMD öffnet sich selbst nach booten Falsches Unterforum. Wärst du im richtigem gelandet hättest du (wahrscheinlich) auch diese Anleitung befolgt. Ich bitte dich dies nachzuholen: Hinweis für das HiJackThis & Trojaner Forum - RR:Board Und dann den HighJackThis-Log hier zu posten, sonst ist keine Analyse möglich. + Multi-Zitat Zitieren
#4 20. November 2010 AW: CMD öffnet sich selbst nach booten Schau mal hier: http://comprolive.com/remove/harmful/exe/win32runtime-exe Sieht nach einem Trojaner aus. Hast Du denn eine Antivirensoftware auf dem Rechner ? Es gibt auch online scanner ohne installation: ESET Free Online Scanner :: Complete Malware Detection :: ESET Unbedingt mal durchlaufen lassen. + Multi-Zitat Zitieren
#5 22. November 2010 AW: CMD öffnet sich selbst nach booten HijackThis LOG: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:19:32, on 22.11.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18527) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Belkin\Router Setup and Monitor\BelkinRouterMonitor.exe C:\Users\Tim\AppData\Roaming\win32Runtime.exe C:\Program Files\Belkin\Belkin USB Print and Storage Center\connect.exe C:\Program Files\Belkin\Router Setup and Monitor\BelkinSetup.exe C:\Users\Tim\AppData\Roaming\rundlll.exe C:\Users\Tim\AppData\Roaming\AvProtector.exe C:\Users\Tim\AppData\Roaming\scvhost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\wuauclt.exe C:\Windows\system32\NOTEPAD.EXE C:\Windows\system32\conime.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle Redirect R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [InstaLAN] "C:\Program Files\Belkin\Router Setup and Monitor\BelkinRouterMonitor.exe" startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [win32Runtime] "C:\Users\Tim\AppData\Roaming\win32Runtime.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Program Files\Common Files\AccSys\AccWLSvc.exe O23 - Service: AffinegyService - Affinegy, Inc. - C:\Program Files\Belkin\Router Setup and Monitor\BelkinService.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Belkin Local Backup Service - Unknown owner - C:\Program Files\Belkin\Belkin USB Print and Storage Center\BkBackupScheduler.exe O23 - Service: Belkin Network USB Helper - Unknown owner - C:\Program Files\Belkin\Belkin USB Print and Storage Center\Bkapcs.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe -- End of file - 9721 bytes Es ist AntiVir auf dem Rechner, sonst wohl nix. + Multi-Zitat Zitieren
#6 23. November 2010 AW: CMD öffnet sich selbst nach booten gehe bitte nach folgenden Tutorial und poste den Log. http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html Gruß R0cka + Multi-Zitat Zitieren
#7 23. November 2010 AW: CMD öffnet sich selbst nach booten C:\Users\Tim\AppData\Roaming\scvhost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search R3 - URLSearchHook: (no name) - - (no file) Also "Tim" fixx das mal + Multi-Zitat Zitieren
#8 24. November 2010 AW: CMD öffnet sich selbst nach booten Mein vorposter hat den Anstoß gegeben. C:\Users\xxxxxx\AppData\Roaming\win32Runtime.exe kann unmöglich gut sein. Desweiteren finde ich noch andere, ...diskrepanzen ^^ C:\Users\xxxxxx\AppData\Roaming\rundlll.exe Warum? Spoiler "rundll32.exe" oder "rundll64.exe" sind von Windows Kernel automatisch gestartete Dienste. Beide sollten aber im System Ordner liegen und nicht dort wo sie jetzt laufen. Dateiname : rundll l .exe Eindeutig weil: - Wird aus den falschen Verzeichniss gestartet. - Verschleierter Dateiname. C:\Users\xxxxxx\AppData\Roaming\scvhost.exe Spoiler Der Dienst "svchost" ist ganz normal für ein Windows System. Eindeutig weil: - Wird aus den falschen Verzeichniss gestartet. - Systemdienst-Name wird verwendet. C:\Users\xxxxxx\AppData\Roaming\AvProtector.exe Spoiler Ich weise auf die oberen Punkte hin.... + Multi-Zitat Zitieren
#9 24. November 2010 AW: CMD öffnet sich selbst nach booten Hey Leute, im Prinzip hat der Post von Falke mir schon die Lösung gesagt Es waren tatsächlich die svhosts.exe, run32time.exe, AvProtector.exe, und rundlll.exe. Bin im abgesicherten Modus hochgefahren, dann die Dienste beendet, in die Verzeichnisse, jede Datei gelöscht und damit hatte es sich wohl auch schon. Bin erleichtert dass es so einfach war. Vielen Dank für eure Hilfe!!! Bws gehen raus. Bin übrigens nicht Tim, wie gesagt, war fürn Kumpel. Besten Gruß, Sascha + Multi-Zitat Zitieren
#10 26. November 2010 AW: CMD öffnet sich selbst nach booten ich würd das system neu machen, sieht irgendwie nach einem fehgeschlagen RAT/trojaner versuch aus. aber wenn du wirklich ein teil verseuchten rechner weiter nutzen willst, scann lieber nochmal mit adaware tools, anti keylogger tools und einem aktuellen antivierprogramm. + Multi-Zitat Zitieren