![]() |
|
Plagegeister aller Art und deren Bekämpfung: TR Agent CS 1 VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() TR Agent CS 1 Virus Hallo zusammen, ich habe einen nervigen Trojaner auf meinem PC und habe versucht anhand der einzelnen Beschreibungen diesen zu entfernen. Leider bin ich damit nicht sehr weit gekommen. Wäre es möglich mir zu sagen, welche Schritte ich genau durchführen muss um diesen Trojaner dauerhaft zu beseitigen? Gruss Wasserlasser |
![]() | #2 | ||
![]() ![]() ![]() ![]() | ![]() TR Agent CS 1 Virus @Wasserlasser
__________________Zitat:
Zitat:
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten. Zu beachten ist: -HJT soll aus einem speziell angelegten Ordner ausgeführt werden. -Bitte alle Links im Log deaktivieren (z.B. h**p statt http) . -Benutzername unerkennbar machen. |
![]() | #3 |
| ![]() TR Agent CS 1 Virus Hi,
__________________erst mal vielen Dank für die schnelle Antwort. Name : TR/Agent.CS.1 Betriebssystem : Windows XP Home Edition Antivirusprog : AntiVir Guard für Windows XP Das Programm meldet den Trojaner bei folgender Datei : C:\WINDOWS\INF\CMDXML.DLL Ich habe mich einfach mal durch diverse Foren gelesen, die mit diesem Virus in Verbindung gebracht wurden, habe dann aber schnell erkannt, dass dieser Virus kein "einheitliches löschen" zu lässt, sondern von Person/PC zu Person/PC verschieden ist. Hijack Log: Logfile of HijackThis v1.99.1 Scan saved at 11:29:28, on 17.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\cidaemon.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\***\Downloads\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ycomp_adbe/defaults/sb/*h**p://www.yahoo.com/search/ie.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe N3 - Netscape 7: user_pref("browser.startup.homepage", "h**p://www.google.de/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "h**p://www.google.com/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\cmdxml.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm O20 - Winlogon Notify: cmdxml - C:\WINDOWS\inf\cmdxml.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
![]() | #4 | |
![]() ![]() ![]() ![]() | ![]() TR Agent CS 1 Virus @Wasserlasser Wechsle bitte in abgesichrten Modus, lasse HJT laufen und fixe folgende Einträge: Zitat:
|
![]() | #6 |
| ![]() TR Agent CS 1 Virus Windows XP im abgesicherten Modus starten, HJT starten und die Dateien fixen ist kein Problem. Wenn ich auf fixen klicke, dann sagt er mir, dass ich den Internet Explorer usw. schliessen soll (die ich nicht auf hatte) und ich bestätige das mit ja. Sobald ich das mache, kommt eine Meldung, dass Windows im Safe Mode läuft und diese verschwindet nach ein paar Sekunden und dann bleibt der Bildschirm schwarz und in jeder Ecke steht Safe Mode. Von hier komme ich nur mit Strg+Alt+Entf wieder weg, da ich nichts anklicken kann. Ich bin das dann umgangen indem ich schnell bestätigt habe, aber die Datei C:\WINDOWS\inf\cmdxml.dll kann ich nicht löschen, da sie von einem Prog verwendet wird. Wenn ich die Datein in HJT anklicke um sie zu fixen und HJT wieder aufrufe, dann sind sie auch wieder da. |
![]() |
Themen zu TR Agent CS 1 Virus |
agent, beseitigen, dauerhaft, durchführen, einzelne, einzelnen, entferne, hallo zusammen, nervige, schritte, troja, trojaner, versuch, versucht, virus, zusammen |