Hallo zusammen,

ich habe einen nervigen Trojaner auf meinem PC und habe versucht anhand der einzelnen Beschreibungen diesen zu entfernen. Leider bin ich damit nicht sehr weit gekommen.
Wäre es möglich mir zu sagen, welche Schritte ich genau durchführen muss um diesen Trojaner dauerhaft zu beseitigen?

Gruss

Wasserlasser

@Wasserlasser

Zitat:

ich habe einen nervigen Trojaner auf meinem PC

Wie lautet der genaue Name des Trojaners (auch die Trennzeichen sind wichtig).Welches Betriebssystem? Welches Antivirus-Programm? Wo wurde den Trojaner gemeldet?

Zitat:

habe versucht anhand der einzelnen Beschreibungen diesen zu entfernen.

Wo kamen diese Beschreibungen her?
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
Zu beachten ist:
-HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
-Bitte alle Links im Log deaktivieren (z.B. h**p statt http) .
-Benutzername unerkennbar machen.

Hi,

erst mal vielen Dank für die schnelle Antwort.

Name : TR/Agent.CS.1
Betriebssystem : Windows XP Home Edition
Antivirusprog : AntiVir Guard für Windows XP

Das Programm meldet den Trojaner bei folgender Datei :

C:\WINDOWS\INF\CMDXML.DLL

Ich habe mich einfach mal durch diverse Foren gelesen, die mit diesem Virus in Verbindung gebracht wurden, habe dann aber schnell erkannt, dass dieser Virus kein "einheitliches löschen" zu lässt, sondern von Person/PC zu Person/PC verschieden ist.

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:28, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\***\Downloads\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ycomp_adbe/defaults/sb/*h**p://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "h**p://www.google.de/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "h**p://www.google.com/"); (C:\Documents and Settings\***\Application Data\Mozilla\Profiles\default\khb9eeua.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\cmdxml.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm
O20 - Winlogon Notify: cmdxml - C:\WINDOWS\inf\cmdxml.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

@Wasserlasser
Wechsle bitte in abgesichrten Modus, lasse HJT laufen und fixe folgende Einträge:

Zitat:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\cmdxml.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O20 - Winlogon Notify: cmdxml - C:\WINDOWS\inf\cmdxml.dll

Danach lösche die Datei C:\WINDOWS\inf\cmdxml.dll sowie alle *.DLL-Dateien aus dem Ordner C:\WINDOWS\inf\.

Hallo,
bin mit zwar nicht sicher ob es auch mit manuellem löschen geht, aber das ist eine Vundo Variante. Ob es mit dieser Anleitung funktioniert weiß ich nicht, wäre aber einen Versuch wert (Die Anleitung ist eigentlich für Vundo.b)


Grüße Wildone

Windows XP im abgesicherten Modus starten, HJT starten und die Dateien fixen ist kein Problem.
Wenn ich auf fixen klicke, dann sagt er mir, dass ich den Internet Explorer usw. schliessen soll (die ich nicht auf hatte) und ich bestätige das mit ja.
Sobald ich das mache, kommt eine Meldung, dass Windows im Safe Mode läuft und diese verschwindet nach ein paar Sekunden und dann bleibt der Bildschirm schwarz und in jeder Ecke steht Safe Mode. Von hier komme ich nur mit Strg+Alt+Entf wieder weg, da ich nichts anklicken kann.

Ich bin das dann umgangen indem ich schnell bestätigt habe, aber die Datei C:\WINDOWS\inf\cmdxml.dll kann ich nicht löschen, da sie von einem Prog verwendet wird. Wenn ich die Datein in HJT anklicke um sie zu fixen und HJT wieder aufrufe, dann sind sie auch wieder da.