|
Unkaputtbarer Trojaner --> Log File bitte auswerten Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir wegen des Trojaners "TR/Agent.BYZ", der Programmpfad ist C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\CmdLineExt02.dll'. Dieses "CmdLineExt02.dll" bzw. der Trojaner kommt immer wieder, auch wenn ich ihn lösche. Erst einmal habe ich versucht mich über diesen TR/Agent.BYZ schlau zu machen - nichts auf google. Mit dem CmdLineExt02.dll sieht es anders aus: Es ist eindeutig zweideutig: Entweder ist dieses Teil Teil des Kopieschutzes von Warcraft oder von einem Virus. Kann auch beides sein :pfui: . Meine erste Befürchtung war übrigens, dass dieser "nette" Gesell die Tastenfolge überwacht, um Passwortklau durchzuführen (battle.net Account), ich schätze das stimmt nicht. Ich habe es mit AdAware, AntiVir, Spybot und zig anderen weiter installierten Progs versucht, aber es ist nicht zu finden. Könntet ihr bitte dieses Log auswerten? Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] PS: Sry wegen dieser unnormalen Zeit ... -.- PPS: Falls ich vergessen habe mich an Regeln zu halten oder so, bitte editiert das hier ... ich bin Jungblut hier ... |
lol......... agent sind meisten trojaner....... sie beinhalten meisten keyloger....steam pw ausleser....kompletter zugriff aufm pc..... und weiters ausserdem kann man den trojaner auch bennen zb der prozess könnte zb hdf.exe heißen oder C:\WINDOWS\SOUNDMAN.EXE usw |
Und was heißt das für mich? Ich meine ja nur ... mehr als vorher weiß ich nicht ... EDIT: Naja, ich geh erstmal schlafen, tu du was an deiner Rechtschreibung ;) |
Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir......... des ist der 1 fehler..... 2 warum log ihr eure prozesse etc? wollt ihr den hackern sagen ihr ihr ihr BIN ich oder was? des forum ist puplic.......... 3 wen ihr euch RECHTIG schutzen wollt musst ihr lernen zb ein trojaner/virus selber zu coden...... |
@cutten throat bitte ein neues den NUB entsprechendes Log erstellen (oder auch die Hinweise im großen roten Kasten, als du das Thema erstellt hast) und aldixx ignorieren, der hat keine Ahnung ;) lg myrtille |
Hi an alle, habe genau das gleiche Problem wie der Threadersteller. Beim Starten von Warcraft 3 wird mir jedes Mal von Neuem der Trojaner TR/Agent.BYZ in der Programmbibliothek cmdlistext02.dll im Temp Ordner angezeigt (Antivir).:eek: Google Suche ergab wie oben schon erwähnt kein Ergebnis, habe Antivir, Spybot Search and Destroy + Adaware schon drüberlaufen lassen und das trojanische Pferd schon über Antivir ohne Ergebnis gelöscht --> der Trojaner erstellt sich anscheins immer wieder von Neuem. Da ich allerdings totaler Leihe bin, was die Entfernung dieser Schädlinge angeht, bin ich auf eure Hilfe angewiesen und würde mich über eine rasche Antwort freuen. Weiß nicht, ob es was zur Problemfindung beiträgt, aber ich habe erst vor einigen Tagen Zone Alarm deinstalliert, da ein Freund meinte, die hardwareseitige Firewall des Routers reiche aus... Gruß und Danke schon im Voraus Schnibra |
@Schnibra Bitte eröffnne einen eigenen Beitrag, sonst wird es hier noch unübersichtlicher. :rolleyes: Gruß :daumenhoc Sunny |
Habe ich mir irgendwie gedacht, solche Zuvorkommenheit ^^. Habe da übrigens was von Antivir gefunden ... anscheinend ein beknackter Fehlalarm. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:29, on 28.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ULI5289\ALi5289.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\MSMSGS.EXE C:\WINDOWS\system32\ctfmon.exe C:\programme\steam\steam.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171046414656 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7359 bytes Ich hoffe es ist so richtig. O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) Das Ding mag ich net ^^. Ihr seid übrigens meine letzte Rettung ^^. Bisher konnte keiner den Scheiß erklären. |
Hi, der von dir angegebene Link ist ja schon sehr erschöpfend. :) :daumenhoc Hast du MD5 der Datei mal mit dem deiner Datei verglichen? Ist es derselbe? Meldet Antivir immernoch den Trojaner in der Datei? Ansonsten kannst du die Datei auch mal bei virustotal hochladen, sollte es kein Fehlalarm sein, müssten noch andere Virenscanner den Bösewicht finden. Der von dir bemängelte Eintrag ist von Spybot, du kannst ihn aber einfach löschen, da er eh nicht funktional ist. :) Ansonsten sieht dein Log soweit clean aus. :daumenhoc lg myrtille |
Also MD5 haben die doch da verglichen?! Ist nichts haben die gesagt ^^. Hmm, Virustotal gibt einfach wieder das von AntiVir Tr/... . BIZ und ein paar sehen das als verdächtig aber sonst ... naja, ich mach den Guard immer vorm Start von Wc3 an und wenn es richtig läuft aus. Ansonsten sauber? Sicher? Find ich gut ^^. Naja hast bestimmt die "Schutzschilder" gesehen ^^. |
Ein HJT-Logfile deckt leider nur einen Teil der Stellen ab an dem sich Mallware verstecken kann, deswegen würde ich nicht von einem sauberen Log auf einen sauberen Rechner schließen wollen. (Das ein Rechner sauber ist lässt sich auch eigentlich gar nicht zeigen, weil man nie weiß ob nicht doch irgendwo irgendwas übersehen wurde. ;)) Aber da in deinem Fall wahrscheinlich keine Kompromittierung vorliegt, solltest du dich nicht nervös machen lassen, ein sauberes Logfile ist immer schon der erste Schritt zu einem sauberen Rechner. :daumenhoc MD5 wollte ich auch nur sehen, damit du sicher sein kannst, das es sich tatsächlich um dieselbe Datei handelt, wie die die im Thread beschrieben wird. ;) Es könnte ja trotz des Fehlalarms von Antivir noch einen Trojaner geben der sich so nennt, wenn aber bei Virustotal kein anderer Scanner anspringt, dann dürfte die Datei sauber sein. :) lg myrtille |
Geil! Anti Vir meldet den Virus nicht mehr! :daumenhoc :Boogie: Danke für die Hilfe :p |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board