Trojaner-Board - TR/Agent.CS.1

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Agent.CS.1 (https://www.trojaner-board.de/17743-tr-agent-cs-1-a.html)

Hallo Leute ich brauche dringend hilfe
AntiVir kann folgenden Trojaner erkennen aber nicht löschen
TR/Agent.CS.1
Ich hab es auch schon mit anderen Virenprogrammen versucht aber leider ohne Erfolg.
Ich bin für jede hilfe dankbar das Ding ist mehr als lästig.
Gruß Jürgen

Wir müssen schon wissen, welche Dateien befallen sind. Deshalb:
escan

Genau nach Anleitung und dann das Log hier posten.

File C:\WINDOWS\fuck_you_bagle.txt infected by "Email-Worm.Win32.NetSky.y" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install[2].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.

Das scheint der zu sein:

Lösche im abgesicherten Modus:
alle Datein in
File C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp\
und
File C:\WINDOWS\fuck_you_bagle.txt
Vorher zur Sicherheit die Systemwiederherstellung deaktivieren.

@ Jürgen12

Bitte erstelle einen Log mittels Hijackthis.

Ausführliche Anleitung

und poste diesen hier

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!

Hallo ich hoffe das ich das so richtig gemacht habe
Logfile of HijackThis v1.99.1
Scan saved at 16:44:05, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Jürgen\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\assembly\basfax.dll
O20 - Winlogon Notify: basfax - C:\WINDOWS\assembly\basfax.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

Lass mal folgende Datei:

C:\WINDOWS\assembly\basfax.dll

Hier scannen:

http://virusscan.jotti.org/de/

Hallo Cronos
das geht leider nicht,
ich kann den Ordner Assembly öffnen aber die Datei
Basfax.dll ist nicht vorhanden!
Gruß Jürgen12

Kopiere einfach den oben genannten Adresspfad in das entsprechende Feld ein .

Ich erhalte die Meldung:
Sie haben nicht die Berechtigung diese Datei zu öffnen,fragen Sie den Besitzer
(würd ich gerne machen und dann aber :snyper: ...............)
Gruß Jürgen12

Was ist zu tun?

Wenn ich den PC im abgesicherten Modus starte,
sind nach kurzer Zeit (ca 1-2 min.) alle Icons verschwunden und ich habe nur noch einen schwarzen Bildschirm.