CMD.exe - Inhalt - Befehle ändern ?

[Lemmi]

Hier ein super Tool um Deinen Rechner zu scannen ohne das System zu starten

Kaspersky Notfall-CD 10.0.29.6 - Downloads - Winhelpline

[H1J2K3]

hi Tilo,
ich war natürlich nicht Tatenlos und habe sofort überall nach den Dateien: 555.exe - cmd.txt gesucht - oder: echo binary - cneft1 stop - sharedaccess - auch in den versteckten Ordnern und auch in der Registry, allerdings noch nicht in der "Run\shell" in der HKLM - das habe ich jetzt aber und siehe da gefunden - aber ich kann den Eintrag nicht löschen, wird mir verweigert! Hatte ich noch nie, kann man das nicht erzwingen? oder den "Wert" / Eintrag ändern? Bei der Sucherei habe ich auch gleich noch einen Fehler gefunden - vor Jahren habe ich mal den MSSQL-Server aktualisiert und das sogar mit Erfolg. Allerdings urde die neue Version nicht unter C:\Programme installiert und die alte überschrieben - sondern in D:\Programme installiert, daraus ergibt sich auch der Fehler, Betreff: Datei sqlagent.exe. Aber das ist ja Zweitrangig!
Rattert's schon bei Dir?
Wenn ich nur wüsste was ich mit diesem Eintag anstellen kann, irgendwo habe ich mal gelesen, dass man das Löschen erzwingen kann, ein entsprechendes Werkzeug würde ich hier schon finden - nur dann sieht auch der PC nicht mehr so gut aus, - es ist ja auch nicht der einzige Eintrag, sonst würde ich versuchen den Ordner zu löschen - oder ich lösch' den und trage den Eintrag danach wieder in einen Neuen ein. Sage ich mal ganz locker, habe es aber noch nie gemacht! Soll sich ja bei der Registry so wie bei der Mutter der Porzellankiste handeln.
Ich kann zufrieden sein, dass Du soviel "Geduld und Spucke" hast! Umbenennen, aber in ? oder den Wert ändern?
Hast Du so einen (Gordischen-) Knoten schon mal zerschlagen ?

Ich bin immer neugierig. Herzliche Grüsse, was trinkst Du?

[Tilo2300]

aber ich kann den Eintrag nicht löschen, wird mir verweigert

Klicke mal mit Rechts auf den Schlüssel (="Ordner"), wähle "Berechtigungen..." -> Erweitert -> Besitzer -> deinen Namen anklicken -> Häkchen vor "... untergeordnete Container..." -> OK -> OK



Jetzt solltest du eigentlich alle Berechtigungen an dem Schlüssel haben.

Kannst du bitte mal den kompletten Schlüsselpfad hier posten... der Vollständigkeit halber.
Ist das einer á la "...\Microsoft\Windows\CurrentVersion\Run"?

Den Pfad kannst du ganz einfach in die Zwischenablage kopieren, wenn du den Schlüssel (="Ordner") mit Rechts anklickst und "Schlüsselnamen kopieren" auswählst.
Dann einfach hier "rein-copy-pasten".

was trinkst Du?

Vitamalz!

[H1J2K3]

hi Tilo,

es hat "gefunzt", so wie Du es vorgegeben hast! Pfad: Windows\CurrentVersion\Run - mit drei(vier) Einträge - Standaet, AVG_Tray, IntelliPoint (und der gelöschte "shell" mit dem Hinweis . . . cmd.exe/cnet1stop sharedaccess&echo open . . . nun will ich erstmal sehen ob sich die CMD.exe noch mal nach dem Starten zeigt, oder unter Start-ausführen, kann ich auch mal reinschauen! Ich muss erstmal dreimal tief durchatmen, ist ja schlimmer als 1 Stunde Tanzturnier! Muss auch noch die Virensoftware kontrollieren ob die alle noch aktiv sind.
Ich hatte gefragt, was Du trinkst!
Das nächste ist nun, die neuere Version vom MSSQL-Server eventuell von der "D"-Partition auf die "C" zu bekommen! Muss mal sehe ob ich das Setup von damals noch habe.
Dir sag ich schon mal "Danke"! Es war spannend aber auch lehrreich! meine E-Mailadresse hast Du ja!
Herzliche Grüsse,
H.J.K.

[Tilo2300]

Na, dann kommen wir doch so langsam wieder in den grünen Bereich.

Ich hatte gefragt, was Du trinkst!

Yo, und hatte geantwortet:
Vitamalz!

Dir sag ich schon mal "Danke"!

De nada.
Dafür sind wir doch hier.
Die Antworten fallen zwar nicht immer so umfangreich aus, aber wenn grad Zeit dafür ist...

meine E-Mailadresse hast Du ja!

Hab ich???
Wo?
Wofür?
Ich bin hier kein MOD.

[H1J2K3]

Hi Tilo,

das nenn ich Größe,
aber nun fing ja das Ganze mit dem Eintrag in der CMD an - Befehl: "?!!?!!S-1-5-21- . . . ist falsch geschrieben oder " ?
Steht immer noch drin und ich hab's auch mal mit Kopieren und Löschen versucht, aber da "piepst" das System ganz aufgeregt!
Also, das ist doch ein Eintrag den der Virus so als Fingerabdruck hinterlassen hat. Ich habe auch nochmal den HijackLog durchgeführt.
da war nur noch der "SearchHook", den ich in der Registry drei mal gelöscht habe. Ja und die sqlagent.exe in den beiden Versionen auf D und C.
- Kann man vielleicht die ursächliche "CMD" irgendwie wieder herstellen? Bei mir sind doch schon immer alle Laufwerke abgesichert. Da müsste man doch so eine Datei wieder herstellen können - oder? Oder einfach die löschen und durch eine andere ersetzen?
- eine unendliche Geschichte!
Einen vergnüglichen Abend allerseits,
H.J.K.

[Tilo2300]

Hm, da hat irgendwas die Standardeinstellungen der CMD verrappelt.

Wenn du die CMD.exe löschst, sollte Windows eigentlich anfangen zu moppern und dich bitten, die Windows-CD einzulegen, damit die Datei wiederhergestellt werden kann.
Das wäre ein Versuch.

Aber, daß die cmd.exe verändert wurde halte ich für unwahrscheinlich... eher, daß die Standardeinstellungen derselben verändert wurden.

Geh nochmal in die Registry, diesmal in den Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

Gibt's da im rechten Teilfenster einen Wert "Prompt"?
Damit kann man die Anzeige beim Starten der CMD ändern.

Normalerweise sollten die Werte in etwa so aussehen:




Such vielleicht auch mal in deinem Windows-Ordner nach der Datei "_default.pif", klicke sie mit Rechts an und wähle "Eigenschaften".
Nicht wundern: die Endung PIF wird nicht angezeigt, auch wenn du ansonsten Dateiendungen anzeigen läßt.

Unter dem Reiter "Programm" sollte nur "_DEFAULT.BAT" stehen.
Nicht wundern: die Datei "_DEFAULT.BAT" gibt es nicht.



Wenn das alles nix hilft, müssen wir mal eine größere Kelle zur Hand nehmen:
Lade dir WinGrep runter.
Das ist zum Durchsuchen von Dateien gedacht und funktioniert 1.000 x zuverlässiger als die Windows-Suche nach Dateien mit der Option "Dateiinhalt/enthaltener Text".



Stelle "Dateimaske" auf "*.*" (also alle Dateien durchsuchen),
gib unter "Strings suchen" deine komische Zeichenkette ein,
wähle als Suchpfad dein Systemlaufwerk C:,
...
und laß das ein paar Stunden oder besser noch über Nacht laufen.
Vielleicht hast du Glück und findest die Datei, in der der Quatsch drinsteht, dann hätte man einen Ansatzpunkt.

Mittlerweile wäre eine komplette Neuinstallation vielleicht doch schneller gegangen.
Sicherer auf jeden Fall.
Aber wir wollen ja auch alle was davon haben und lernen.


So. Gut's Nächtle erstmal.

[H1J2K3]

Hallo Tilo 2300,
muss mich zuerst mal entschuldigen, obwohl ich nur indirekt und so eher als Opfer beteiligt bin.
Das war nun doch so wie Du es schon angekündigt hattest. Das Virus hat sich im PC breit gemacht, hat dort schon eigene Benutzerkonten eingerichtet und auch die Ansicht nach seinem Geschmack geändert.
Ich kam mit der Suche und mit dem Löschen der infizierten Dateien nicht so schnell hinterher, wie die sich beim nächsten Start wieder neu installiert haben. Ganz in der Nähe ist ein PC-Shop, so mit Werkstatt.
Da habe ich dann angefragt und da wurde mir auch zur Neuinstallation geraten!
Alles vorher sichern bzw. sichern lassen, Festplatte wurde formatiert und dann das System neu . . .
dann die Einstellungen, Verbindungen, die Programme wieder installieren und dann die Datenbank, die allerdings braucht den SQL – Server von Microsoft, habe ja die Disc aber auch der PC-Mann hatte davon keinen Schimmer. Ein anderer ist nicht zu erreichen (Urlaub?). Also kann ich darauf nicht zugreifen.
Ausserdem habe ich nicht die aktuelle Version von Winword, sondern nur die von Office 2000 Pro und die Vers. 7.0 von Word. Allerdings kann man bei beiden nicht den Text gemäß unterschiedlichen Über-schriften, Standart oder benutzerdefiniert formatieren.
Inzwischen, jetzt so nach gut drei Wochen, läuft die Kiste wieder und da ich auch gleich aus drei Partitio-nen zwei machen ließ, ist wenigstens die Festplatte nun auch gleich sinnvoller aufgeteilt und das mit dem PC aber ohne OEM-Lizens gekaufte Betriebssystem konnte nun durch eine lizensierte ersetzt werden.
Da freut sich der PC natürlich und ich bekomme keine Mahnung mehr.
Trotzdem bin ich Dir natürlich nach wie vor dankbar und vielleicht hätte man (hättest Du) das Ding auch anders schaukeln können.
Mit dem SQL-Server blick ich nicht durch. Das Gesamtpaket wurde vor Jahren mal von dem Software-hersteller (FlowFact) beim Kauf installiert. Da habe ich weder für die Software noch für den Server ein Handbuch bekommen. Lediglich in der Hilfedatei kann man sich informieren, doch trotzdem gibt es immer noch Fehlermeldungen im Verlauf des Setup, die nicht vorgesehen und nicht eingeplant sind.
Ach ja, was auch noch gut ist: die Soundkarte von Terratec, Phase 22, läuft jetzt ohne Verzerrung! Da habe ich auch früher schon oft tagelang dran gearbeitet – ausbauen, deinstallieren, auf einem anderen Sockel einbauen, installieren und dann prüfen. Das so 5 – 6 mal. Den Fehler habe ich nie gefunden, irgendwann war alles gut.
Beste Grüsse,
H.J.K.

[Tilo2300]