Seltsame Dos-Anwendung wird alle 10 Sekunden aufgerufen

Hallo Leute!

Hab seit gestern ein Problem:

Bei mir wird alle ca. 10 Sekunden eine DOS-Anwendung namens mscfcm.com ausgeführt.

Man merkt davon nicht viel, nur dass die Sanduhr am Mauszeiger kurz aufgezeigt wird, und das Fenster in dem man arbeitet kurz inaktiv wird und dann wieder aktiv. Es geht kein weiteres Fenster auf, nix.

Im Taskmanager unter Prozesse stehen dann die "mscfcm.com" und "Iexplore.exe" für ca. ne halbe Sekunde drin und sind dann wieder weg.

Sie befindet sich im Verzeichnis "C:\Windows\MSAgent" Löschen lässt sich die mscfcm.com natürlich nicht, "wird grad von einer anderen Anwendung ausgeführt".

Das selbe läuft auch im Abgesicherten Modus.

Per Wiederherstellungskonsole hab ich die Datei jetzt umbenannt.
Folge: nichts passiert mehr, alles wieder normal.

Das ist erstmal schön und gut, wenn ich die umbenannte Datei allerdings wieder in "mscfcm.com" umbenenne gehts sofort wieder los. Das heißt ja, das Irgendeine Anwendung ständig versucht diese Datei auszuführen.

Da ich aber nicht nur das Problem sonder auch die Ursache beseitigen will, reichts nicht die Datei umzubenennen oder zu löschen, sondern ich muss rausfinden welche Anwendung diese Datei ständig ausführen will.

Allerdings weis ich nicht wie ich das hinkriege.

In der Registry kommt dieser Dateiname nicht vor.
Wenn die Datei umbenannt ist und die gesuchte Anwendung versucht darauf zuzugreifen wird auch keine Fehlermeldung in den Systemereignissen protokoliert (Oder ich bin zu doof sie zu finden).

Kann mir hier einer helfen!?

P.S.: Hab XP Pro SP1

Habs schon raus!

Hab in der msconfig geschaut und einen seltsamen Registryeintrag gefunden der beim Start ausgeführt wird.
"SysComp"
In der Reg unter HKLM...\Run steht der und hat als Wert den Pfad "C:\Windows\System32\msudvn.com" (schon wieder ne DOS-Anwendung :roll: )
:arrow: Eintrag entfernt
:arrow: Neustart
:arrow: mscfcm.com wieder den normalen Namen gegeben (war ja vorher umbenannt)
:arrow: Und prompt wird sie nicht mehr ausgeführt!

Folgerung: Die Datei msudvn und deren Ausführung beim Start laut Reg-Schlüssel war für das ganze verantwortlich.

Bleibt nur noch die Frage wo die Datei und der Schlüssel herkamen! :roll:

P.S.: Virenscanner hab ich vorher drüber laufen lassen als die ganze sache noch aktiv war, der hat aber nix gefunden!

Das einzige was ich mir in letzter Zeit mal eingefangen bzw installiert hab war diese Kacke von Gator.com als ich mich im Halbschlaf verklickt hab. Das hab ich aber eigentlich inklusive aller Reg-Schlüssel wieder entfernt. Außerdem hat ich das schonmal, da gings aber nich so ab!

Naja, Egal! Hauptsache es funzt wieder und der Müll is weg!

Aber hätte auch schlimmer ausgehen können bei ner DOS-Anwendung! Da steht schnell mal ein "del ..."Befehl drin und dann :cry: !!

Also, Danke für deine Gedanken die du dir gemacht hast!!

CU

Hab mal Spybot drüber sausen lassen, der hat aber nichts mehr gefunden was die Sache betrifft, nur n paar cookies.
Is aber n ordentliches Programm, muss man weiterempfehlen!

Danke nochmal für die Mühen!
Find ich toll das man hier so umsorgt wird wenn man mal wieder ein Problem mit Nulln und Einsen hat!

CU!

Jetzt geht das schon wieder los!!!
:cry:
Verfl... nochmal!!!

Beide Dateien sind wieder da: mscfcm.com und msudvn.com.
Letztere wird beim Start wieder aufgerufen, und erstere alle 10 sekunden. Werd noch verrückt!!!

spybot fand erstmal nix. jetzt hab ich die Einstellung Systeminnereien aktiviert da findet er drei sachen:

Windows Registry: SysComp (Auszuführende Datei fehlt, nothing done)
C:\Windows\System32\msudvn.com

Windows Registry: yourapp.Exe (Falscher Anwendungspfad, nothing done)

Windows Registry: cmmgr32.exe (Falscher Anwendungspfad, nothing done)

Komm ich damit irgendwie weiter? was sind das für Dateien? Kennt die jemand?

:roll:

In den Autostarteinträgen in der Reg stand wieder der Pfad zur msudvn.com
Müsste, damit das über den IE funzt der nicht auch benutzt worden sein? Hab nämlich seit gestern keine Websites aufgerufen außer der hier.

Hab mal nach Dateien gesucht die das Wort "msudvn" enthalten und zwei xml-Dateien gefunden in C:\WINDOWS\PCHealth\HelpCtr\DataColl
Deren Inhalt hier einzufügen würde etwas weitführen, aber soweit ich verstanden hab stand darin wo in der Reg der Eintrag zur msudvn war.

Könnte es sein dass die Einträge wiederhergestellt wurden?

Hab die Dateien gestern nur umbenannt gehabt in *.old

Könnte es sein das die Datei trotzdem aufgerufen und ausgeführt wird, trotz anderer Endung?

Diesesmal hab ich die Dateien umbenannt und dann mit dem "Aktenvernichter" von spybot gelöscht.

Der Virenscanner war übrigens F-Prot

Hab gestern als ich das Problem noch hatte im abgesicherten Modus gestartet, da liefs genauso. das mit msconfig hab ich auchschon gemacht, da stehen als Autostarteinträge nur Einträge drin , deren Bedeutung ich kenn und eben der Pfad zur msudvn.com. Den hab ich aber ja jetzt eh aus der Reg entfernt. Bloß stand er heute wieder drin, und die Dateien waren auch wieder da, obwohl ich sie gestern umbenannt hatte. Ich benutze Download Accelerator, aber schon seit ewig, da hatte ich noch keine Probs Filesharing nur Emule und Kazza Lite.

Als es heute wieder los ging wars übrigens auch etwas seltsam:

Erst wurde mein system sau lahm, >> guck ich mir die Prozesse an: explorer.exe braucht 90% CPU und über 50.000Kb Speicher obwohl wirklich nix läuft außer winamp. >> wird immer schlimmer >> will ihn neustarten. macht er auch bis zum Fenster "Abmeldung..." und dann geht nix mehr. 2 Min nicht. >> Reset >> Neustart >> Problem wieder da.

Holdriejo.

Antivir hat heute morgen nix gefunden, >> vorhin upgedatet, >> aber jetzt:

Dc386.com (Na sowas schon wieder *.com)
Dc399.old
Dc400.com

Meldung: BDS/Beastdoor.202.B

Und zwar alle im Verzeichnis C:\Recycler\S-1-5-21...

Er hat die allerdings nur gefunden als ich in den Einstellungen "alle Dateien" statt "anwendungen durchsuchen" aktiviert hab. obwohls ja eigentlich anwendungen sind (*.com)! Komisch.