Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Unkaputtbarer Trojaner --> Log File bitte auswerten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.07.2007, 03:28   #1
cutten throat
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir wegen des Trojaners "TR/Agent.BYZ", der Programmpfad ist C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\CmdLineExt02.dll'. Dieses "CmdLineExt02.dll" bzw. der Trojaner kommt immer wieder, auch wenn ich ihn lösche.

Erst einmal habe ich versucht mich über diesen TR/Agent.BYZ schlau zu machen - nichts auf google. Mit dem CmdLineExt02.dll sieht es anders aus: Es ist eindeutig zweideutig: Entweder ist dieses Teil Teil des Kopieschutzes von Warcraft oder von einem Virus. Kann auch beides sein .

Meine erste Befürchtung war übrigens, dass dieser "nette" Gesell die Tastenfolge überwacht, um Passwortklau durchzuführen (battle.net Account), ich schätze das stimmt nicht.

Ich habe es mit AdAware, AntiVir, Spybot und zig anderen weiter installierten Progs versucht, aber es ist nicht zu finden.

Könntet ihr bitte dieses Log auswerten?

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]




PS: Sry wegen dieser unnormalen Zeit ... -.-
PPS: Falls ich vergessen habe mich an Regeln zu halten oder so, bitte editiert das hier ... ich bin Jungblut hier ...

Geändert von cutten throat (27.07.2007 um 03:33 Uhr)

Alt 27.07.2007, 03:39   #2
aldixx
Gesperrt
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



lol.........

agent sind meisten trojaner.......

sie beinhalten meisten

keyloger....steam pw ausleser....kompletter zugriff aufm pc..... und weiters

ausserdem kann man den trojaner auch bennen zb

der prozess könnte zb hdf.exe heißen oder C:\WINDOWS\SOUNDMAN.EXE

usw
__________________


Alt 27.07.2007, 03:42   #3
cutten throat
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Und was heißt das für mich?

Ich meine ja nur ... mehr als vorher weiß ich nicht ...

EDIT: Naja, ich geh erstmal schlafen, tu du was an deiner Rechtschreibung
__________________

Geändert von cutten throat (27.07.2007 um 03:47 Uhr)

Alt 27.07.2007, 04:35   #4
aldixx
Gesperrt
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir.........

des ist der 1 fehler.....
2 warum log ihr eure prozesse etc? wollt ihr den hackern sagen ihr ihr ihr BIN ich oder was? des forum ist puplic..........

3 wen ihr euch RECHTIG schutzen wollt musst ihr lernen zb ein trojaner/virus selber zu coden......

Alt 27.07.2007, 13:33   #5
myrtille
/// TB-Ausbilder
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



@cutten throat bitte ein neues den NUB entsprechendes Log erstellen (oder auch die Hinweise im großen roten Kasten, als du das Thema erstellt hast) und aldixx ignorieren, der hat keine Ahnung

lg myrtille


Alt 27.07.2007, 13:49   #6
Schnibra
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Unglücklich

Unkaputtbarer Trojaner --> Log File bitte auswerten



Hi an alle,

habe genau das gleiche Problem wie der Threadersteller.
Beim Starten von Warcraft 3 wird mir jedes Mal von Neuem der Trojaner TR/Agent.BYZ in der Programmbibliothek cmdlistext02.dll im Temp Ordner angezeigt (Antivir).

Google Suche ergab wie oben schon erwähnt kein Ergebnis, habe Antivir, Spybot Search and Destroy + Adaware schon drüberlaufen lassen und das trojanische Pferd schon über Antivir ohne Ergebnis gelöscht --> der Trojaner erstellt sich anscheins immer wieder von Neuem.

Da ich allerdings totaler Leihe bin, was die Entfernung dieser Schädlinge angeht, bin ich auf eure Hilfe angewiesen und würde mich über eine rasche Antwort freuen.

Weiß nicht, ob es was zur Problemfindung beiträgt, aber ich habe erst vor einigen Tagen Zone Alarm deinstalliert, da ein Freund meinte, die hardwareseitige Firewall des Routers reiche aus...

Gruß und Danke schon im Voraus Schnibra

Alt 27.07.2007, 15:51   #7
Sunny
Administrator
> Competence Manager
 

Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



@Schnibra

Bitte eröffnne einen eigenen Beitrag, sonst wird es hier noch unübersichtlicher.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 28.07.2007, 13:09   #8
cutten throat
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Beitrag

Unkaputtbarer Trojaner --> Log File bitte auswerten



Habe ich mir irgendwie gedacht, solche Zuvorkommenheit ^^.

Habe da übrigens was von Antivir gefunden ... anscheinend ein beknackter Fehlalarm.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:29, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ULI5289\ALi5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171046414656
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7359 bytes

Ich hoffe es ist so richtig.

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

Das Ding mag ich net ^^.

Ihr seid übrigens meine letzte Rettung ^^. Bisher konnte keiner den Scheiß erklären.

Alt 28.07.2007, 13:40   #9
myrtille
/// TB-Ausbilder
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Hi,
der von dir angegebene Link ist ja schon sehr erschöpfend. Hast du MD5 der Datei mal mit dem deiner Datei verglichen? Ist es derselbe?
Meldet Antivir immernoch den Trojaner in der Datei?

Ansonsten kannst du die Datei auch mal bei virustotal hochladen, sollte es kein Fehlalarm sein, müssten noch andere Virenscanner den Bösewicht finden.

Der von dir bemängelte Eintrag ist von Spybot, du kannst ihn aber einfach löschen, da er eh nicht funktional ist.

Ansonsten sieht dein Log soweit clean aus.

lg myrtille

Alt 28.07.2007, 17:17   #10
cutten throat
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Also MD5 haben die doch da verglichen?! Ist nichts haben die gesagt ^^.

Hmm, Virustotal gibt einfach wieder das von AntiVir Tr/... . BIZ und ein paar sehen das als verdächtig aber sonst ... naja, ich mach den Guard immer vorm Start von Wc3 an und wenn es richtig läuft aus.

Ansonsten sauber? Sicher? Find ich gut ^^. Naja hast bestimmt die "Schutzschilder" gesehen ^^.

Alt 28.07.2007, 17:41   #11
myrtille
/// TB-Ausbilder
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Standard

Unkaputtbarer Trojaner --> Log File bitte auswerten



Ein HJT-Logfile deckt leider nur einen Teil der Stellen ab an dem sich Mallware verstecken kann, deswegen würde ich nicht von einem sauberen Log auf einen sauberen Rechner schließen wollen.
(Das ein Rechner sauber ist lässt sich auch eigentlich gar nicht zeigen, weil man nie weiß ob nicht doch irgendwo irgendwas übersehen wurde. )
Aber da in deinem Fall wahrscheinlich keine Kompromittierung vorliegt, solltest du dich nicht nervös machen lassen, ein sauberes Logfile ist immer schon der erste Schritt zu einem sauberen Rechner.

MD5 wollte ich auch nur sehen, damit du sicher sein kannst, das es sich tatsächlich um dieselbe Datei handelt, wie die die im Thread beschrieben wird. Es könnte ja trotz des Fehlalarms von Antivir noch einen Trojaner geben der sich so nennt, wenn aber bei Virustotal kein anderer Scanner anspringt, dann dürfte die Datei sauber sein.

lg myrtille

Alt 28.07.2007, 18:06   #12
cutten throat
 
Unkaputtbarer Trojaner --> Log File bitte auswerten - Reden

Geil!



Anti Vir meldet den Virus nicht mehr!

Danke für die Hilfe

Antwort

Themen zu Unkaputtbarer Trojaner --> Log File bitte auswerten
.dll, account, adaware, anderen, antivir, auswerten, bat, battle.net, bitte auswerten, einstellungen, file, folge, hijack, hijackthis, immer wieder, kommt immer wieder, links, log, log auswerten, log file, lokale, micro, nichts, progs, regeln, spybot, temp, trend, trend micro, trojaner



Ähnliche Themen: Unkaputtbarer Trojaner --> Log File bitte auswerten


  1. Bitte auswerten. Trojaner? (File missing)
    Log-Analyse und Auswertung - 19.09.2009 (5)
  2. Bitte Log-File auswerten
    Mülltonne - 21.05.2008 (1)
  3. bitte log file auswerten !!
    Mülltonne - 28.03.2008 (0)
  4. Bitte HiJack Log-File Auswerten
    Log-Analyse und Auswertung - 27.03.2008 (2)
  5. BITTE HJT.log FILE auswerten!
    Log-Analyse und Auswertung - 28.11.2007 (0)
  6. Bitte Log-File auswerten
    Mülltonne - 20.11.2007 (0)
  7. HJT Log-File bitte auswerten!
    Mülltonne - 16.06.2007 (1)
  8. BITTE HiJackThis Log-File Auswerten!
    Log-Analyse und Auswertung - 23.02.2007 (18)
  9. Kann mal bitte wer das Log-File auswerten???
    Mülltonne - 31.12.2006 (1)
  10. HiJackThis Log-File bitte auswerten!
    Log-Analyse und Auswertung - 07.11.2006 (7)
  11. Bitte Log-File auswerten
    Log-Analyse und Auswertung - 05.10.2006 (1)
  12. Bitte Log-File Auswerten
    Log-Analyse und Auswertung - 17.07.2006 (2)
  13. Log-File bitte auswerten
    Log-Analyse und Auswertung - 03.11.2005 (4)
  14. Bitte log-file auswerten
    Log-Analyse und Auswertung - 27.10.2005 (3)
  15. HJT log file - bitte noch mal auswerten
    Log-Analyse und Auswertung - 18.04.2005 (1)
  16. LOG-File bitte auswerten
    Log-Analyse und Auswertung - 07.02.2005 (4)
  17. bitte HT log-file auswerten :)
    Log-Analyse und Auswertung - 30.09.2004 (3)

Zum Thema Unkaputtbarer Trojaner --> Log File bitte auswerten - Immer wenn ich Warcraft 3 starte, alarmiert mich mein AntiVir wegen des Trojaners "TR/Agent.BYZ", der Programmpfad ist C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\CmdLineExt02.dll'. Dieses "CmdLineExt02.dll" bzw. der Trojaner kommt immer wieder, auch - Unkaputtbarer Trojaner --> Log File bitte auswerten...
Archiv
Du betrachtest: Unkaputtbarer Trojaner --> Log File bitte auswerten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.