Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unkaputtbarer Trojaner --> Log File bitte auswerten (https://www.trojaner-board.de/41358-unkaputtbarer-trojaner-log-file-bitte-auswerten.html)

cutten throat 27.07.2007 03:28

Unkaputtbarer Trojaner --> Log File bitte auswerten
 
Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir wegen des Trojaners "TR/Agent.BYZ", der Programmpfad ist C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\CmdLineExt02.dll'. Dieses "CmdLineExt02.dll" bzw. der Trojaner kommt immer wieder, auch wenn ich ihn lösche.

Erst einmal habe ich versucht mich über diesen TR/Agent.BYZ schlau zu machen - nichts auf google. Mit dem CmdLineExt02.dll sieht es anders aus: Es ist eindeutig zweideutig: Entweder ist dieses Teil Teil des Kopieschutzes von Warcraft oder von einem Virus. Kann auch beides sein :pfui: .

Meine erste Befürchtung war übrigens, dass dieser "nette" Gesell die Tastenfolge überwacht, um Passwortklau durchzuführen (battle.net Account), ich schätze das stimmt nicht.

Ich habe es mit AdAware, AntiVir, Spybot und zig anderen weiter installierten Progs versucht, aber es ist nicht zu finden.

Könntet ihr bitte dieses Log auswerten?

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]




PS: Sry wegen dieser unnormalen Zeit ... -.-
PPS: Falls ich vergessen habe mich an Regeln zu halten oder so, bitte editiert das hier ... ich bin Jungblut hier ...

aldixx 27.07.2007 03:39

lol.........

agent sind meisten trojaner.......

sie beinhalten meisten

keyloger....steam pw ausleser....kompletter zugriff aufm pc..... und weiters

ausserdem kann man den trojaner auch bennen zb

der prozess könnte zb hdf.exe heißen oder C:\WINDOWS\SOUNDMAN.EXE

usw

cutten throat 27.07.2007 03:42

Und was heißt das für mich?

Ich meine ja nur ... mehr als vorher weiß ich nicht ...

EDIT: Naja, ich geh erstmal schlafen, tu du was an deiner Rechtschreibung ;)

aldixx 27.07.2007 04:35

Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir.........

des ist der 1 fehler.....
2 warum log ihr eure prozesse etc? wollt ihr den hackern sagen ihr ihr ihr BIN ich oder was? des forum ist puplic..........

3 wen ihr euch RECHTIG schutzen wollt musst ihr lernen zb ein trojaner/virus selber zu coden......

myrtille 27.07.2007 13:33

@cutten throat bitte ein neues den NUB entsprechendes Log erstellen (oder auch die Hinweise im großen roten Kasten, als du das Thema erstellt hast) und aldixx ignorieren, der hat keine Ahnung ;)

lg myrtille

Schnibra 27.07.2007 13:49

Hi an alle,

habe genau das gleiche Problem wie der Threadersteller.
Beim Starten von Warcraft 3 wird mir jedes Mal von Neuem der Trojaner TR/Agent.BYZ in der Programmbibliothek cmdlistext02.dll im Temp Ordner angezeigt (Antivir).:eek:

Google Suche ergab wie oben schon erwähnt kein Ergebnis, habe Antivir, Spybot Search and Destroy + Adaware schon drüberlaufen lassen und das trojanische Pferd schon über Antivir ohne Ergebnis gelöscht --> der Trojaner erstellt sich anscheins immer wieder von Neuem.

Da ich allerdings totaler Leihe bin, was die Entfernung dieser Schädlinge angeht, bin ich auf eure Hilfe angewiesen und würde mich über eine rasche Antwort freuen.

Weiß nicht, ob es was zur Problemfindung beiträgt, aber ich habe erst vor einigen Tagen Zone Alarm deinstalliert, da ein Freund meinte, die hardwareseitige Firewall des Routers reiche aus...

Gruß und Danke schon im Voraus Schnibra

Sunny 27.07.2007 15:51

@Schnibra

Bitte eröffnne einen eigenen Beitrag, sonst wird es hier noch unübersichtlicher. :rolleyes:

Gruß :daumenhoc
Sunny

cutten throat 28.07.2007 13:09

Habe ich mir irgendwie gedacht, solche Zuvorkommenheit ^^.

Habe da übrigens was von Antivir gefunden ... anscheinend ein beknackter Fehlalarm.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:29, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171046414656
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7359 bytes

Ich hoffe es ist so richtig.

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

Das Ding mag ich net ^^.

Ihr seid übrigens meine letzte Rettung ^^. Bisher konnte keiner den Scheiß erklären.

myrtille 28.07.2007 13:40

Hi,
der von dir angegebene Link ist ja schon sehr erschöpfend. :) :daumenhoc Hast du MD5 der Datei mal mit dem deiner Datei verglichen? Ist es derselbe?
Meldet Antivir immernoch den Trojaner in der Datei?

Ansonsten kannst du die Datei auch mal bei virustotal hochladen, sollte es kein Fehlalarm sein, müssten noch andere Virenscanner den Bösewicht finden.

Der von dir bemängelte Eintrag ist von Spybot, du kannst ihn aber einfach löschen, da er eh nicht funktional ist. :)

Ansonsten sieht dein Log soweit clean aus. :daumenhoc

lg myrtille

cutten throat 28.07.2007 17:17

Also MD5 haben die doch da verglichen?! Ist nichts haben die gesagt ^^.

Hmm, Virustotal gibt einfach wieder das von AntiVir Tr/... . BIZ und ein paar sehen das als verdächtig aber sonst ... naja, ich mach den Guard immer vorm Start von Wc3 an und wenn es richtig läuft aus.

Ansonsten sauber? Sicher? Find ich gut ^^. Naja hast bestimmt die "Schutzschilder" gesehen ^^.

myrtille 28.07.2007 17:41

Ein HJT-Logfile deckt leider nur einen Teil der Stellen ab an dem sich Mallware verstecken kann, deswegen würde ich nicht von einem sauberen Log auf einen sauberen Rechner schließen wollen.
(Das ein Rechner sauber ist lässt sich auch eigentlich gar nicht zeigen, weil man nie weiß ob nicht doch irgendwo irgendwas übersehen wurde. ;))
Aber da in deinem Fall wahrscheinlich keine Kompromittierung vorliegt, solltest du dich nicht nervös machen lassen, ein sauberes Logfile ist immer schon der erste Schritt zu einem sauberen Rechner. :daumenhoc

MD5 wollte ich auch nur sehen, damit du sicher sein kannst, das es sich tatsächlich um dieselbe Datei handelt, wie die die im Thread beschrieben wird. ;) Es könnte ja trotz des Fehlalarms von Antivir noch einen Trojaner geben der sich so nennt, wenn aber bei Virustotal kein anderer Scanner anspringt, dann dürfte die Datei sauber sein. :)

lg myrtille

cutten throat 28.07.2007 18:06

Geil!
 
Anti Vir meldet den Virus nicht mehr! :daumenhoc :Boogie:

Danke für die Hilfe :p


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19