c:\windows\system32\cmd.exe auswerten

  • #1
B

balsam60

Bekanntes Mitglied
Themenersteller
Dabei seit
01.03.2005
Beiträge
1.681
Reaktionspunkte
0
Ort
NRW
hallo,
in diesem thread



fand ich es bis
« Antwort #8 am: Gestern um 18:24:06 »
interessant.

aber wie geht es weiter,
wie kann ich ,wenn ich mit hilfe von
c:\windows\system32\cmd.exe
gescennt habe,es auswerten.
ich verspreche,ich höhre zu,auch wenn ich es nicht sofort verstehe :froehlich1:

mit malwarebytes habe einen scann gemacht

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 3

14.10.2008 22:19:17
mbam-log-2008-10-14 (22-19-17).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44923
Laufzeit: 3 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zum Vergrößern anklicken....
 
  • #2
da steht eine datei hochladen und durchsuchen.
was ist jetzt deine frage?
 
  • #3
und was dein problem? ???
 
  • #5
du verstehst da was falsch. die cmd.exe ließ ich wegen verdacht auf eine ganz bestimmte infizierung scannen, nur weil deine sauber ist heißt das nicht dass du keine viren hast.

wieso willst du feststellen, ob es bei dir so ist. was macht denn der rechner oder was macht er nicht?? wenn ich nicht weiß was du für probleme hast weiß ich nicht wonach ich suchen muss.




arbeite von dieser seite die anleitung für hijackthis ab, poste das logfile.
 
  • #6
du verstehst da was falsch. die cmd.exe ließ ich wegen verdacht auf eine ganz bestimmte infizierung scannen
Zum Vergrößern anklicken....
aha
wieso willst du feststellen, ob es bei dir so ist
Zum Vergrößern anklicken....
interesse,des lernens willen

was macht denn der rechner oder was macht er nicht??
Zum Vergrößern anklicken....

nichts besonderes

wenn ich nicht weiß was du für probleme hast weiß ich nicht wonach ich suchen muss.
Zum Vergrößern anklicken....
nur die handhabung dieses prog.

arbeite von dieser seite die anleitung für hijackthis ab, poste das logfile.
Zum Vergrößern anklicken....
das kenne ich,
alles im grünen bereich

aber wie hast du erkannt,das das

sauber ist. das verstehe ich nicht :?
 
  • #7
balsam60 schrieb:
aber wie hast du erkannt,das das sauber ist. das verstehe ich nicht :?
Zum Vergrößern anklicken....
Unter Ergebnis steht nichts.

Code: 
Antivirus 	Version 	letzte aktualisierung 	[color=red]Ergebnis[/color]


cmd.exe gehört zum System - Kommandozeile, auch Shell genannt.

pan_fee
 
  • #8
kuss9999.gif
 
  • #9
recht hast du schon, Jochen,->n bisschen akribisch und unübersichtlich ist die ergebnisseite. da muss man sehr genau hinschauen.....
 
  • #10
also ich versteh die problematik nicht. Es ist doch eindeutig dass die Datei sauber ist. Ich poste dir heut Abend die Ergebnisse einer infizierten Datei, dann siehst du den unterschied.
 
  • #11
gute idee
 
  • #12
soo,

sauberes log:
Code: 
Datei ChkCmdHlp.dll empfangen 2008.10.07 19:35:48 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 -
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 -
F-Prot 4.4.4.56 2008.10.06 -
F-Secure 8.0.14332.0 2008.10.07 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 -
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 -
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Prevx1 V2 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 -
Sophos 4.34.0 2008.10.07 Mal/EncPk-DG
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -

weitere Informationen
File size: 135168 bytes
MD5...: 3c6f72e70ec9032212e45fb4a33aaa0c
SHA1..: 6d2e2143b4130bb2e6f2679035f38dfff98f3fba
SHA256: ef16fb0fd71ecd53521db147f4bf36de1fefda66f87b62bda00947fa23dc 9f59
SHA512: ed3192e43c76c4bebc166b906e8f84aef47186bf552bd9c6b14ed37e0f40 1caa<BR>f8d4875fd67610cafee71e9a0f280a7588a33c57c1f57fbf8243 f1fe2a5fc5de
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x100114cd<BR>timedatestamp.....: 0x48eb5fd7 (Tue Oct 07 13:10:47 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.ximci 0x1000 0x1ba42 0x1c000 6.89 0756680e39b2f4565af12326052f45b8<BR>.jdgos 0x1d000 0x622 0x1000 2.64 cb864239f7b7bbebd3914d038f8900f0<BR>.ltvaizm 0x1e000 0x1f80 0x1000 0.61 f3229f8d82fa4318db8fb5440079552d<BR>.reloc 0x20000 0x1976 0x2000 6.00 2a7fb2e23ddc35d3c2f715e82ea63723<BR><BR>( 2 imports ) <BR>> KERNEL32.dll: InterlockedIncrement, lstrcpyW, GetPrivateProfileStringW, SetEndOfFile, GetModuleFileNameW, WaitForSingleObject, LoadLibraryA, Sleep, LoadLibraryW, ResetEvent, FindResourceExW, LoadResource, SizeofResource, GetFileAttributesW, GetProcAddress, CancelWaitableTimer, VirtualFree, FileTimeToSystemTime, FreeResource, SuspendThread, ResumeThread, CreateWaitableTimerW, WaitForMultipleObjects, CloseHandle, GetCurrentProcess, GetCurrentThreadId, InterlockedDecrement, GlobalAddAtomW<BR>> USER32.dll: TrackPopupMenu, FillRect, SetCursor, GetWindowDC, LoadStringW, GetWindowThreadProcessId, RegisterHotKey, LoadImageW, GetDlgItem, DefWindowProcW, IsWindow, SetWindowTextW, DrawTextW, VkKeyScanW, LoadBitmapW, GetParent, SystemParametersInfoW, SetCursorPos, EndDialog, CreatePopupMenu, OffsetRect, MessageBoxW, SetDlgItemTextW<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>

schlechtes log:
Code: 
Datei dezmtazc.exe empfangen 2008.10.07 19:40:17 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 Win32:PureMorph
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 -
CAT-QuickHeal 9.50 2008.10.07 Win32.Trojan.Obfuscated.gx.3
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 -
F-Prot 4.4.4.56 2008.10.06 -
F-Secure 8.0.14332.0 2008.10.07 Trojan.Win32.Obfuscated.gx
Fortinet 3.113.0.0 2008.10.07 W32/PolySmall.BP!tr
GData 19 2008.10.07 Win32:PureMorph
Ikarus T3.1.1.34.0 2008.10.07 Virus.Trojan.Win32.Obfuscated.gx
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 Trojan.Win32.Obfuscated.gx
McAfee 5399 2008.10.07 FakeAlert-BD
Microsoft 1.4005 2008.10.07 Trojan:Win32/Busky.EI
NOD32 3501 2008.10.07 a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 -
Sophos 4.34.0 2008.10.07 Mal/EncPk-DG
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 TROJ_OBFUSCA.BWA
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -

weitere Informationen
File size: 98304 bytes
MD5...: 4b005013e28cbbdb45764c79abddbc65
SHA1..: 114231b503121a8c9e4cff30b2b58502c97992a1
SHA256: 62c161e25e47c1724527b2fd39c283bb13043eaa289187349550226621bb ab1f
SHA512: 78e3d393a458f781238dbd6e88facd68b26e1408b6cafc68876dcdc003ad c9d7<BR>e489f7a966b23eb8a6e906e2ed715381e9ffc0a626bfb7598931 db2b1177cf9a
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x40c762<BR>timedatestamp.....: 0x48eadf3e (Tue Oct 07 04:02:06 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.bxzv 0x1000 0x14056 0x15000 6.72 5bec36eff58137db9d406f332a92829d<BR>.xpzhy 0x16000 0x33a 0x1000 1.51 1135a05c76d720760b39ce6bc667f5c5<BR>.vqbvi 0x17000 0x5a58 0x1000 0.64 f90ff9c97acd35a8b7667d0b76ef0e88<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: InterlockedIncrement, LoadLibraryA, TerminateThread, ResumeThread, GlobalLock, SetWaitableTimer, GetCurrentThread, SuspendThread, SetFilePointer, FindResourceExW, GlobalAddAtomW, MulDiv, FindNextChangeNotification, GlobalDeleteAtom, CancelWaitableTimer, MoveFileW, DeleteFileW, SetEndOfFile, SetEvent, Sleep, DuplicateHandle, GetPrivateProfileStringW, GetProcAddress, SetLastError, LockResource, GetFileAttributesExW, FileTimeToSystemTime, WaitForSingleObject, CreateWaitableTimerW<BR><BR>( 0 exports ) <BR>

das sind jetzt nur von mir veränderte beispiele, um es dir deutlich zu machen.
 
  • #13
aber es stellt anschaulich heraus, wo man drauf achten müsste. danke. :)
 
  • #14
schrauber schrieb:
soo,

sauberes log:
Code: 
Datei ChkCmdHlp.dll empfangen 2008.10.07 19:35:48 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 -
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 -
F-Prot 4.4.4.56 2008.10.06 -
F-Secure 8.0.14332.0 2008.10.07 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 -
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 -
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Prevx1 V2 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 -
Sophos 4.34.0 2008.10.07 Mal/EncPk-DG
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -

weitere Informationen
File size: 135168 bytes
MD5...: 3c6f72e70ec9032212e45fb4a33aaa0c
SHA1..: 6d2e2143b4130bb2e6f2679035f38dfff98f3fba
SHA256: ef16fb0fd71ecd53521db147f4bf36de1fefda66f87b62bda00947fa23dc 9f59
SHA512: ed3192e43c76c4bebc166b906e8f84aef47186bf552bd9c6b14ed37e0f40 1caa<BR>f8d4875fd67610cafee71e9a0f280a7588a33c57c1f57fbf8243 f1fe2a5fc5de
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x100114cd<BR>timedatestamp.....: 0x48eb5fd7 (Tue Oct 07 13:10:47 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.ximci 0x1000 0x1ba42 0x1c000 6.89 0756680e39b2f4565af12326052f45b8<BR>.jdgos 0x1d000 0x622 0x1000 2.64 cb864239f7b7bbebd3914d038f8900f0<BR>.ltvaizm 0x1e000 0x1f80 0x1000 0.61 f3229f8d82fa4318db8fb5440079552d<BR>.reloc 0x20000 0x1976 0x2000 6.00 2a7fb2e23ddc35d3c2f715e82ea63723<BR><BR>( 2 imports ) <BR>> KERNEL32.dll: InterlockedIncrement, lstrcpyW, GetPrivateProfileStringW, SetEndOfFile, GetModuleFileNameW, WaitForSingleObject, LoadLibraryA, Sleep, LoadLibraryW, ResetEvent, FindResourceExW, LoadResource, SizeofResource, GetFileAttributesW, GetProcAddress, CancelWaitableTimer, VirtualFree, FileTimeToSystemTime, FreeResource, SuspendThread, ResumeThread, CreateWaitableTimerW, WaitForMultipleObjects, CloseHandle, GetCurrentProcess, GetCurrentThreadId, InterlockedDecrement, GlobalAddAtomW<BR>> USER32.dll: TrackPopupMenu, FillRect, SetCursor, GetWindowDC, LoadStringW, GetWindowThreadProcessId, RegisterHotKey, LoadImageW, GetDlgItem, DefWindowProcW, IsWindow, SetWindowTextW, DrawTextW, VkKeyScanW, LoadBitmapW, GetParent, SystemParametersInfoW, SetCursorPos, EndDialog, CreatePopupMenu, OffsetRect, MessageBoxW, SetDlgItemTextW<BR><BR>( 4 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>
Zum Vergrößern anklicken....



dann müsste doch,so wie ich es verstanden habe,

der eintrag Sophos 4.34.0 2008.10.07 Mal/EncPk-DG

nicht ganz sauber sein,da ja Mal/EncPk-DG unter Ergebnis steht, oder ???

*Zitat korrigiert*
 
  • #15
jepp, gut aufgepasst :1

ich hatte kein sauberes zur hand, und hab die malware-meldungen einfach rausgelöscht :), und dabei eins übersehen :D
 
  • #16
@
:engel1:
*Zitat korrigiert*
Zum Vergrößern anklicken....
sorry tut mir leid
038.gif




@schrauber

dank dir für deine erklärungen :respect:
 
Thema:

c:\windows\system32\cmd.exe auswerten

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.493
Neuestes Mitglied
Flensburg45
Oben