Hallo zusammen,

ich habe einen nervigen Trojaner auf meinem PC und habe versucht anhand der einzelnen Beschreibungen diesen zu entfernen. Leider bin ich damit nicht sehr weit gekommen.
Wäre es möglich mir zu sagen, welche Schritte ich genau durchführen muss um diesen Trojaner dauerhaft zu beseitigen?

Gruss

Wasserlasser

@Wasserlasser

Zitat:

ich habe einen nervigen Trojaner auf meinem PC

Wie lautet der genaue Name des Trojaners (auch die Trennzeichen sind wichtig).Welches Betriebssystem? Welches Antivirus-Programm? Wo wurde den Trojaner gemeldet?

Zitat:

habe versucht anhand der einzelnen Beschreibungen diesen zu entfernen.

Wo kamen diese Beschreibungen her?
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
Zu beachten ist:
-HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
-Bitte alle Links im Log deaktivieren (z.B. h**p statt http) .
-Benutzername unerkennbar machen.

Hi,

erst mal vielen Dank für die schnelle Antwort.

Name : TR/Agent.CS.1
Betriebssystem : Windows XP Home Edition
Antivirusprog : AntiVir Guard für Windows XP

Das Programm meldet den Trojaner bei folgender Datei :

C:\WINDOWS\INF\CMDXML.DLL

Ich habe mich einfach mal durch diverse Foren gelesen, die mit diesem Virus in Verbindung gebracht wurden, habe dann aber schnell erkannt, dass dieser Virus kein "einheitliches löschen" zu lässt, sondern von Person/PC zu Person/PC verschieden ist.

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:28, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\***\Downloads\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ycomp_adbe/defaults/sb/*h**p://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "h**p://www.google.de/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "h**p://www.google.com/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\cmdxml.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm
O20 - Winlogon Notify: cmdxml - C:\WINDOWS\inf\cmdxml.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

@Wasserlasser
Wechsle bitte in abgesichrten Modus, lasse HJT laufen und fixe folgende Einträge:

Zitat:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\cmdxml.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O20 - Winlogon Notify: cmdxml - C:\WINDOWS\inf\cmdxml.dll

Danach lösche die Datei C:\WINDOWS\inf\cmdxml.dll sowie alle *.DLL-Dateien aus dem Ordner C:\WINDOWS\inf\.

Hallo,
bin mit zwar nicht sicher ob es auch mit manuellem löschen geht, aber das ist eine Vundo Variante. Ob es mit dieser Anleitung funktioniert weiß ich nicht, wäre aber einen Versuch wert (Die Anleitung ist eigentlich für Vundo.b)


Grüße Wildone

Windows XP im abgesicherten Modus starten, HJT starten und die Dateien fixen ist kein Problem.
Wenn ich auf fixen klicke, dann sagt er mir, dass ich den Internet Explorer usw. schliessen soll (die ich nicht auf hatte) und ich bestätige das mit ja.
Sobald ich das mache, kommt eine Meldung, dass Windows im Safe Mode läuft und diese verschwindet nach ein paar Sekunden und dann bleibt der Bildschirm schwarz und in jeder Ecke steht Safe Mode. Von hier komme ich nur mit Strg+Alt+Entf wieder weg, da ich nichts anklicken kann.

Ich bin das dann umgangen indem ich schnell bestätigt habe, aber die Datei C:\WINDOWS\inf\cmdxml.dll kann ich nicht löschen, da sie von einem Prog verwendet wird. Wenn ich die Datein in HJT anklicke um sie zu fixen und HJT wieder aufrufe, dann sind sie auch wieder da.

Hallo,
redest du jetzt von der Anleitung von mir, oder den Anweisungen von Rene-Gad?


Grüße Wildone

Sorry, ich habe jetzt erst mal die Infos von Rene-Gad genutzt.

Werde mich jetzt mal an Deine machen.

Gruss

Wasserlasser

@ Wildone
Wenn ich das Prog starte, dann kommt sofort ein Fatal Error und der PC schmiert komplett ab. Geht also leider nicht

@ all

Ich habe ja das Prog von Wildone ausprobiert und wie gesagt hat es auch den PC abgeschossen. Nach dem Restart hatte ich eine Textdatei auf dem Desktop mit folgendem Inhalt.

[11/17/2005, 13:22:06] - Starting Process...
[11/17/2005, 13:22:06] - Looking for Browser Helper Object [MSEvents Object]
[11/17/2005, 13:22:06] - 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class
[11/17/2005, 13:22:06] - 2: {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - MSEvents Object
[11/17/2005, 13:22:06] - Found MSEvents Object!
[11/17/2005, 13:22:06] - File location: C:\WINDOWS\inf\cmdxml.dll
[11/17/2005, 13:22:06] - Attempting to kill C:\WINDOWS\inf\cmdxml.dll
[11/17/2005, 13:22:07] - Terminating Process: RUNDLL32.EXE
[11/17/2005, 13:22:07] - Terminating Process: IEXPLORE.EXE
[11/17/2005, 13:22:07] - Disabling Automatic Shell Restart
[11/17/2005, 13:22:07] - Terminating Process: EXPLORER.EXE
[11/17/2005, 13:22:07] - Suspending the NT Session Manager System Service
[11/17/2005, 13:22:07] - Terminating Windows NT Logon/Logoff Manager
[11/17/2005, 13:22:08] - Re-enabling Automatic Shell Restart
[11/17/2005, 13:22:08] - Renaming C:\WINDOWS\inf\cmdxml.dll -> C:\WINDOWS\inf\cmdxml.dll.vir
[11/17/2005, 13:22:08] - File successfully renamed!
[11/17/2005, 13:22:08] - Removing Registry references to {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
[11/17/2005, 13:22:08] - Adding Internet Explorer Protection (Kill ActiveX) for {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
[11/17/2005, 13:22:08] - Removing Winlogon Notify Entry: cmdxml
[11/17/2005, 13:22:08] - BHO list has been changed! Starting over...
[11/17/2005, 13:22:08] - 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class
[11/17/2005, 13:22:08] - 2: {53707962-6F74-2D53-2644-206D7942484F} -
[11/17/2005, 13:22:08] - WARNING: 2: {53707962-6F74-2D53-2644-206D7942484F} - BHO Name is blank.
[11/17/2005, 13:22:08] - Checking for WinLogon Notify reference. (File: C:\Program Files\Spybot - Search & Destroy\SDHelper.dll)
[11/17/2005, 13:22:08] - Couldn't find SDHelper in Winlogon Notify. Ignoring {53707962-6F74-2D53-2644-206D7942484F}.
[11/17/2005, 13:22:08] - Finished searching for [MSEvents Object]
[11/17/2005, 13:22:08] - Finishing up...
[11/17/2005, 13:22:08] - Enabling Automatic Reboot on STOP Error.
[11/17/2005, 13:22:08] - Attempting to Restart via STOP error (Blue Screen!)


Die Fehlermeldung beim starten meines PC's kam nun auch nicht mehr und ich habe die umbenannte Datei gelöscht. Heisst das nun, dass der Virus weg ist?

Auf jeden Fall schon mal vielen Dank für die Zeit und Hilfe.

Gruss

Wasserlasser

Hallo,
poste mal noch ein neues HijackThis Log. Welche Punkte der anleitung hast du genau abgearbeitet?


Grüße Wildone

Ich habe Punkt 2 gestartet (also das Prog VirtumundoBeGone.exe gestartet) und danach war Schluss und es kam ein blauer Bildschirm mit der Fatal Error Message.

Hallo,
dann poste doch jetzt noch mal das neue HijackThis Log!


Grüße Wildone

Here we go

Logfile of HijackThis v1.99.1
Scan saved at 14:10:04, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\***\Downloads\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp_adbe/defaults/sb/*http://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.de/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "http://www.google.com/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Hallo,
sieht gut aus, das sollte es dann gewesen sein.


Grüße Wildone