Seltsame Dos-Anwendung wird alle 10 Sekunden aufgerufen

  • Hallo Leute!


    Hab seit gestern ein Problem:


    Bei mir wird alle ca. 10 Sekunden eine DOS-Anwendung namens mscfcm.com ausgeführt.


    Man merkt davon nicht viel, nur dass die Sanduhr am Mauszeiger kurz aufgezeigt wird, und das Fenster in dem man arbeitet kurz inaktiv wird und dann wieder aktiv. Es geht kein weiteres Fenster auf, nix.


    Im Taskmanager unter Prozesse stehen dann die "mscfcm.com" und "Iexplore.exe" für ca. ne halbe Sekunde drin und sind dann wieder weg.


    Sie befindet sich im Verzeichnis "C:\Windows\MSAgent" Löschen lässt sich die mscfcm.com natürlich nicht, "wird grad von einer anderen Anwendung ausgeführt".


    Das selbe läuft auch im Abgesicherten Modus.


    Per Wiederherstellungskonsole hab ich die Datei jetzt umbenannt.
    Folge: nichts passiert mehr, alles wieder normal.


    Das ist erstmal schön und gut, wenn ich die umbenannte Datei allerdings wieder in "mscfcm.com" umbenenne gehts sofort wieder los. Das heißt ja, das Irgendeine Anwendung ständig versucht diese Datei auszuführen.


    Da ich aber nicht nur das Problem sonder auch die Ursache beseitigen will, reichts nicht die Datei umzubenennen oder zu löschen, sondern ich muss rausfinden welche Anwendung diese Datei ständig ausführen will.


    Allerdings weis ich nicht wie ich das hinkriege.


    In der Registry kommt dieser Dateiname nicht vor.
    Wenn die Datei umbenannt ist und die gesuchte Anwendung versucht darauf zuzugreifen wird auch keine Fehlermeldung in den Systemereignissen protokoliert (Oder ich bin zu doof sie zu finden).



    :?: Kann mir hier einer helfen!? :?:



    P.S.: Hab XP Pro SP1

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Hi.
    Scan deinen Rechner mal mit Spybot( http://spybot.eon.net.au/index.php?lang=de&page=license ) aber sei vorsichtig beim löschen.Spybot kann tief ins System eingreifen also lösch nur wenn du sicher bist das du weißt was du tust.
    Ein kompletter Rechnerscan mit einem Antivirenprogramm kann auch nicht schaden.
    Eine mscfcm - Datei gibts bei mir übrigens nicht(selbe Konfiguration wie bei dir).


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • :D:D:D:D


    Habs schon raus!


    Hab in der msconfig geschaut und einen seltsamen Registryeintrag gefunden der beim Start ausgeführt wird.
    "SysComp"
    In der Reg unter HKLM...\Run steht der und hat als Wert den Pfad "C:\Windows\System32\msudvn.com" (schon wieder ne DOS-Anwendung :roll: )
    :arrow: Eintrag entfernt
    :arrow: Neustart
    :arrow: mscfcm.com wieder den normalen Namen gegeben (war ja vorher umbenannt)
    :arrow: Und prompt wird sie nicht mehr ausgeführt!


    Folgerung: Die Datei msudvn und deren Ausführung beim Start laut Reg-Schlüssel war für das ganze verantwortlich.


    Bleibt nur noch die Frage wo die Datei und der Schlüssel herkamen! :?: :roll:


    P.S.: Virenscanner hab ich vorher drüber laufen lassen als die ganze sache noch aktiv war, der hat aber nix gefunden!

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Zitat von jan-jupp

    Bleibt nur noch die Frage wo die Datei und der Schlüssel herkamen! :?: :roll:


    Ich tippe mal auf Spyware.Entweder über den IE eingefangen oder bei der Installation eines Programms dabeigewesen.Hast du ActiveX im Browser deaktiviert?In letzter Zeit Programme oder Spiele installiert?


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Das einzige was ich mir in letzter Zeit mal eingefangen bzw installiert hab war diese Kacke von Gator.com als ich mich im Halbschlaf verklickt hab. Das hab ich aber eigentlich inklusive aller Reg-Schlüssel wieder entfernt. Außerdem hat ich das schonmal, da gings aber nich so ab!


    Naja, Egal! Hauptsache es funzt wieder und der Müll is weg!


    Aber hätte auch schlimmer ausgehen können bei ner DOS-Anwendung! Da steht schnell mal ein "del ..."Befehl drin und dann :cry: !!




    Also, Danke für deine Gedanken die du dir gemacht hast!!



    CU

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Zitat von jan-jupp

    Kacke von Gator.com


    Ja das ist eindeutig Spyware.


    Wie hyrrican ja schon beschrieben hat, empfehlen wir dir dringend
    eine Anti-Spyware zuzulegen.
    Als Freeware ist zu empfehlen:
    http://www.safer-networking.or…php?lang=de&page=news
    http://www.lavasoftusa.com/german/software/adaware/


    P.S.
    Nicht mehr im Halbschlaf am PC sitzen. :wink:


    Gruß Peter

    Birsctihe Frshocer hbaen haruesgfnuedn, dass es eagl ist, in whlecer Rhieenfgloe die Behsucbatn eenis Wtores sheten, slognae der etsre und ltetze Bhsucbate am rhitirgcn Pltaz sehten.

  • Hab mal Spybot drüber sausen lassen, der hat aber nichts mehr gefunden was die Sache betrifft, nur n paar cookies.
    Is aber n ordentliches Programm, muss man weiterempfehlen!


    Danke nochmal für die Mühen!
    Find ich toll das man hier so umsorgt wird wenn man mal wieder ein Problem mit Nulln und Einsen hat!



    CU!

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • :evil::evil:
    Jetzt geht das schon wieder los!!!
    :cry:
    Verfl... nochmal!!!


    Beide Dateien sind wieder da: mscfcm.com und msudvn.com.
    Letztere wird beim Start wieder aufgerufen, und erstere alle 10 sekunden. Werd noch verrückt!!!


    spybot fand erstmal nix. jetzt hab ich die Einstellung Systeminnereien aktiviert da findet er drei sachen:


    Windows Registry: SysComp (Auszuführende Datei fehlt, nothing done)
    C:\Windows\System32\msudvn.com


    Windows Registry: yourapp.Exe (Falscher Anwendungspfad, nothing done)

    Windows Registry: cmmgr32.exe (Falscher Anwendungspfad, nothing done)

    Komm ich damit irgendwie weiter? was sind das für Dateien? Kennt die jemand?

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Hi
    Wenn Du den IE6 bemutzen solltest:
    Dateien mal so deinstallieren, wis Du es beim ersten Mal gemacht hast.
    Dann einen anderen Browser benutzen und darauf achten, ob das Prob wieder auftritt.
    Habe da was gelesen von einer neuen Sicherheitslücke, wo es noch keine Lösung für gibt ->IE6


    Dann mal hier posten, ob dass das Prob war...
    Sehr interessant.


    :: Grüße Juergen

    Juergen :: Mod i.R. ::

  • Zitat von Juergen

    Habe da was gelesen von einer neuen Sicherheitslücke, wo es noch keine Lösung für gibt ->IE6


    http://www.heise.de/newsticker/data/ju-26.10.03-000/


    Mit welchem Antivirenprogramm hast du denn deinen Rechner geprüft?


    /edit Wie siehts denn im Autostart aus?Irgendwas neues oder unbekanntes?
    /nochmal edit Du hast mit Spybot nach Inkonsistenzen gesucht.Er zeigt dir fehlerhafte Registryeinträge.Ich denke das hilft dir nicht weiter.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • :roll:


    In den Autostarteinträgen in der Reg stand wieder der Pfad zur msudvn.com
    Müsste, damit das über den IE funzt der nicht auch benutzt worden sein? Hab nämlich seit gestern keine Websites aufgerufen außer der hier.


    Hab mal nach Dateien gesucht die das Wort "msudvn" enthalten und zwei xml-Dateien gefunden in C:\WINDOWS\PCHealth\HelpCtr\DataColl
    Deren Inhalt hier einzufügen würde etwas weitführen, aber soweit ich verstanden hab stand darin wo in der Reg der Eintrag zur msudvn war.


    Könnte es sein dass die Einträge wiederhergestellt wurden?


    Hab die Dateien gestern nur umbenannt gehabt in *.old


    Könnte es sein das die Datei trotzdem aufgerufen und ausgeführt wird, trotz anderer Endung?


    Diesesmal hab ich die Dateien umbenannt und dann mit dem "Aktenvernichter" von spybot gelöscht.


    Der Virenscanner war übrigens F-Prot

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Falls die Dateien wieder auftauchen jag mal ein paar Onlinescanner drauf: http://www.heise.de/security/dienste/antivirus/links.shtml
    Kann mir nicht vorstellen das kein AV-Programm den Trojaner aus der Heise-Meldung erkennen soll,warscheinlich gehen die bloß von Norton aus.
    Ob die Dateien wiederhergestellt wurden?Weiß nicht,soviel Ahnung hab ich nicht*grins*
    Schau dir auf jeden Fall mal einen anderen Browser an(Opera,Mozilla,Firebird.....)der IE hat immer noch ca 30 ungepatchte Lücken.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Zitat von jan-jupp

    Jetzt geht das schon wieder los!
    Windows Registry: SysComp (Auszuführende Datei fehlt, nothing done)
    C:\Windows\System32\msudvn.com
    Windows Registry: yourapp.Exe (Falscher Anwendungspfad, nothing done)
    Windows Registry: cmmgr32.exe (Falscher Anwendungspfad, nothing done)
    Komm ich damit irgendwie weiter? was sind das für Dateien? Kennt die jemand?


    Hallo jan-jupp.


    Yourapp.exe könnte vom Power DVD oder ein Adope Produkt stammen, bin mir aber nicht sicher.
    Dein Problem ist entweder ein Filesharing-Prg oder ein Downloadmanager.
    Googel mal nach Spyware und du findest eine riesige Auswahl an Programmen wobei ich dir "Ad-Aware" empfehle. Starte dein PC im abgesicherten Modus (Bei Systemstart Taste F8 ) lösche alle Dateien wie vorher und gehe Start-Ausführen "cmd" ein, dann "msconfig" und deaktiviere fast alle Autostart-Programme die sich dort eingetragen haben.


    Gruß Peter

    Birsctihe Frshocer hbaen haruesgfnuedn, dass es eagl ist, in whlecer Rhieenfgloe die Behsucbatn eenis Wtores sheten, slognae der etsre und ltetze Bhsucbate am rhitirgcn Pltaz sehten.

  • Hab gestern als ich das Problem noch hatte im abgesicherten Modus gestartet, da liefs genauso. das mit msconfig hab ich auchschon gemacht, da stehen als Autostarteinträge nur Einträge drin , deren Bedeutung ich kenn und eben der Pfad zur msudvn.com. Den hab ich aber ja jetzt eh aus der Reg entfernt. Bloß stand er heute wieder drin, und die Dateien waren auch wieder da, obwohl ich sie gestern umbenannt hatte. Ich benutze Download Accelerator, aber schon seit ewig, da hatte ich noch keine Probs Filesharing nur Emule und Kazza Lite.


    Als es heute wieder los ging wars übrigens auch etwas seltsam:


    Erst wurde mein system sau lahm, >> guck ich mir die Prozesse an: explorer.exe braucht 90% CPU und über 50.000Kb Speicher obwohl wirklich nix läuft außer winamp. >> wird immer schlimmer >> will ihn neustarten. macht er auch bis zum Fenster "Abmeldung..." und dann geht nix mehr. 2 Min nicht. >> Reset >> Neustart >> Problem wieder da.

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Holdriejo. :D


    Antivir hat heute morgen nix gefunden, >> vorhin upgedatet, >> aber jetzt:


    Dc386.com (Na sowas schon wieder *.com)
    Dc399.old
    Dc400.com


    Meldung: BDS/Beastdoor.202.B


    Und zwar alle im Verzeichnis C:\Recycler\S-1-5-21...


    Er hat die allerdings nur gefunden als ich in den Einstellungen "alle Dateien" statt "anwendungen durchsuchen" aktiviert hab. obwohls ja eigentlich anwendungen sind (*.com)! Komisch.

    Die letzten Worte eines IT-Spezialisten:


    \"Ich war mir sicher ich hätte ein Backup von ihrem System!\"

  • Recycler ist das Verzeichnis für die Systemwiederherstellung.Das kannst du löschen indem du die Systemwiederherstellung abschaltest, den Ordner leerst, neu bootest und die Systemwiederherstellung wieder einschaltest.
    Den Experten von Rokop-Security ist diese Datei auch unbekannt.Sie bitten darum ihnen die Datei zur Analyse zuzusenden.Hier der Link: http://www.rokop-security.de/m…p;mode=thread&order=0 Schick denen mal einfach alles was dir verdächtig ist mit ner Info worum es geht.
    Meld dich wieder,bin gespannt was dabei rauskommt.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!