Hallo!
AntiVir hat einen Trojaner auf dem PC meines Kumpels gefunden. Der Trojaner hatte den Namen "TR/Agent.40448". Er wurde in der Datei "C:\DOKUME~1\***\LOKALE~1\Temp\CMDLIN~2.DLL" gefunden. Könnt ihr mir sagen, ob das eine Fehlermeldung war und ob irgendetwas Bösartiges auf dem PC zu finden ist?
Hier mal sein Logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

hmm sieht eigentlcih nicht so schlimm aus

Fixe das hier:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 1&1 Internet AG

was ist das?
D:\test.com

das auch fixen:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

@413X65

Bitte erkläre dem User !!!CVN!!! mal bitte was er da fixt bzw. entfernt?

Du weisst ja anscheind was du tust.

Sunny

Hallo! Test.com ist HiJackThis. Er hats umbenannt.
Kann noch jemand anders dazu Stellung nehmen?
Ich möchte wissen, ob 413X65 auch wirklich recht hat!
Er ist meiner Meinung nach nicht so erfahren wie beispielsweise [Gc]Sunny!!!

Gruss CVN

Ich würd mich an Sunny halten.

Das Hijacklog sieht meiner Ansicht nach gut aus, was aber nichts zu bedeuten hat.

Mach als nächstes mal folgendes:


Cleanup:

Lies dir diese Anleitung durch und stelll den Cleanup genauso ein wie es dargestellt ist.

Lass danach dein System nochmals mit eScan überprüfen und poste wie gerade ebend das Ergebnis.


Arbeiten mit MWAV (eScan)

!!!Englische Sprache wählen!!!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Dann sehen wir weiter..

Sunny

Hallo!
Hier mal das Ergebnis von EScan!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Apr 19 17:32:57 2007 => Version 9.1.9 (C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com)
Thu Apr 19 17:20:10 2007 => Virus Database Date: 4/18/2007
Thu Apr 19 17:22:33 2007 => Virus Database Date: 4/19/2007
Thu Apr 19 17:32:06 2007 => Virus Database Date: 4/19/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 19 17:37:48 2007 => System found infected with sahagent Spyware/Adware (lsp.dll)! Action taken: No Action Taken.
Thu Apr 19 17:38:21 2007 => System found infected with sahagent Spyware/Adware (C:\WINDOWS\system32\lsp.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Apr 19 18:06:16 2007 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Identities\{0B9F4179-B931-4B4D-B3B1-8C3E1954B29A}\Microsoft\Outlook Express\Posteingang.dbx/[From:"Rechnung Singel.de" <][Subject:Single.de">gebuehrenzentrale2334@single.de>][Subject:Single.de Lastschr... infected by "Trojan-Downloader.Win32.Nurech.bd" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Apr 19 17:37:48 2007 => Offending file found: C:\WINDOWS\system32\lsp.dll
Thu Apr 19 17:38:21 2007 => Offending file found: C:\WINDOWS\system32\lsp.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Apr 19 17:38:06 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\metallica\load
Thu Apr 19 17:38:16 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\metallica\load
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 19 17:32:57 2007 => Memory Check: Enabled
Thu Apr 19 17:32:57 2007 => Registry Check: Enabled
Thu Apr 19 17:32:57 2007 => System Folder Check: Enabled
Thu Apr 19 17:32:57 2007 => System Area Check: Disabled
Thu Apr 19 17:32:57 2007 => Services Check: Enabled
Thu Apr 19 17:32:57 2007 => Drive Check: Disabled
Thu Apr 19 17:32:57 2007 => All Drive Check :Enabled
Thu Apr 19 17:32:57 2007 => All Drive Check :Enabled


Ich hoffe, ihr könnt damit was anfangen!

Gruss CVN

Halli hallo.

Du kannst eigentlich am einfachsten folgendes machen:

-Zippe diesen Ordner und belege ihn mit einem Passwort:
" C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\metallica\load " (nur damit eScan keinen Blödsinn machen kann )

-Suche diese E-Mail und lösche sie. Auch aus dem Papierkorb!
[From:"Rechnung Singel.de" <][Subject:Single.de">gebuehrenzentrale2334@single.de >][Subject:Single.de Lastschr..

-Dann mache den Scan noch mal, nur lasse diesmal den Haken bei "Scan only" weg.

-Dann lasse cleanUp arbeiten. Die Registry bitte mehrmals bereinigen.

-Zum Abschluss konfigurierst du AV aggressiv und machst einen kompletten scan im abgesicherten Modus.

-Meiner Meinung nach sollte er danach alle im Browser verwendeten Passwörter ändern!!!

Und hier noch was zum lesen.

Gruß

Undoreal

Hallo! Er hat sich jetzt das Programm CleanUp runtergeladen, nur ist das Problem, dass wir beide nicht ganz verstehen, was man dort einstellen muss. Vor allem die Registry macht uns da Probleme.
Bitte um schnelle Antwort!

CVN

Ich arbeite mit CCleaner und hab' in meiner Beschreibung nur cleanUp genannt weil ich dachte du hättest das schon.

Zitat:

Cleanup:

Lies dir diese Anleitung durch und stelll den Cleanup genauso ein wie es dargestellt ist.

Lass danach dein System nochmals mit eScan überprüfen und poste wie gerade ebend das Ergebnis.

du musst schon alles ab arbeiten was dir so gepostet wird oder entsprechende Informationen geben! An sonsten kann dir keiner helfen!!!

Drück doch einfach mal auf "Clean UP" ?!!!
CleanUp! Version 3.0

Hallo!
Wir haben jetzt CleanUp! durchlaufen lassen und alles löschen lassen. Danach eScan mit 2 Virenfunde, die gelöscht wurden. Danach nochmals eScan und AntiVir-Suchlauf; beides ohne jeglichen Befund!
Hab ich den Trojaner somit los??

Gruss CVN

Es wäre hilfreich wenn du die eScan Ergebnisse sowie einen neuen HJT-Logfile postes.

eScan log kannste posten musst du aber auch nicht wenn eh alles ohne Fehler gelöscht wurde.

Dann bist du clean.

Gruß

Undoreal

OKAY, vielen Dank für eure Hilfe!

Gruss CVN