Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Tr/Agent.BYZ

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2007, 11:43   #1
Keratos
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



Huhu,seit ich gestern von einer Lan kam und Wc3 Tft starte,bekomm ich bei jedem Start eine Fundmeldung vom Antivir Guard in eine Temp File namens CmdLineExt02.dll.
Diese lösche ich beende das Spiel...nach dem Neustart des Games,bekomme ich jedesmal wieder die selbe Meldung.


Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:59, on 27.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\Warcraft III\Frozen Throne.exe
h:\programme\warcraft iii\war3.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Keratos\Desktop\HiJackThis202.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 5223 bytes

Alt 27.07.2007, 12:53   #2
Win32/Jeefo
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



In deinem Log ist nichts auffälliges zu sehen. Ich vermute aber When.U.Save.Now, eine Adware Variante auf deinem PC. Ich habe nachgeschaut und das kostenlose Programm Spybot Search and Destroy erkennt diesen Schädling. Lade es dir herunter.

-> Installieren
-> "Update"
-> "Nach Updates suchen"
-> "Alle markieren"
-> "Markierte Updates laden"

danach:

-> "Überprüfen"
-> Alles rote löschen mit dem Button <Markierte Probleme beheben>.


Wenn etwas gefunden wurde, was kein Cookie ist ( Auf das Pluszeichen vor den Problemen klicken ) Nocheinmal durchlaufen lassen.

Hier posten, ob etwas gefunden wurde, was und ob das Problem noch besteht.


Edit: Downloadlink in meiner Signatur.
__________________

__________________

Alt 27.07.2007, 13:13   #3
Keratos
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



Huhu,ich habe keine Viren,Spyware,Trojaner etc. gefunden....
Bekomme aber trotzdem immer noch beim starten die Befundsmeldung
__________________

Alt 28.07.2007, 13:29   #4
Und4d0g
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



Hi!

Es handelt sich um keinen gefährlichen Trojaner, das Problem tritt bei sehr vielen
Leuten auf, die Wc3, UT usw. spielen.
Liegt an einem Update von AntiVir. Die besagte dll - Datei gibt es nur temporär, also solange man Wc3 am laufen hat. Hängt glaub mit nem Brennschutz zusammen und AntiVir findet nach einem neueren Update da halt nen Trojaner, aber eigentlich ist die Datei clean!
Ich würde auf die nächsten Updates warten, des wird sicherlich bald gefixxt!
Wird auch im Warcraftforum diskutiert: http://forum.ingame.de/warcraft/showthread.php?threadid=158278

Gruß Und4d0g

Alt 28.07.2007, 14:19   #5
G.B.Wolf
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



HI, ich hab auch das gleiche Problem wie Keratos. Jedesmal wenn ich Wc3 Tft starte kommt die Meldung dass ein Trojanisches Pferd gefunden wurde, CmdLineExt02.dll.

Danke Und4d0g für den Hinweis, ich hoffe es stimmt.

weil ich hab jetzt auch schon bei Google nachgeschaut und hab auch auf der Seite CmdLineExt02.dll: Identifying, Explaining, Removing etwas gefunden.

Nun hab ich alle diese Dateien entfernt. Die CmdLineExt02.dll. find ich jetzt zwar auch nicht mehr auf meinem PC und allerdings bekomme ich immernoch diese Fehlermeldung!


Geändert von G.B.Wolf (28.07.2007 um 14:29 Uhr)

Alt 28.07.2007, 14:33   #6
myrtille
/// TB-Ausbilder
 
Tr/Agent.BYZ - Standard

Tr/Agent.BYZ



Hi,
ja es ist ziemlich sicher, dass es sich um einen Fehlalarm handelt. So beschreibt es zumindest dieses Thema das cutten throat rausgesucht hat.

Hat eure Datei dieselbe MD5 , wie die im Thread erwähnt Datei sollte es nur noch eine Frage der Zeit sein, bis Antivir das Problem behoben hat.

lg myrtille

EDIT: Und hier noch ein Thema aus unserm eigenen Board in dem festgestellt wurde, dass es kein Trojaner ist: klick

Antwort

Themen zu Tr/Agent.BYZ
adobe, antivir, antivir guard, avg, avira, bho, desktop, einstellungen, explorer, firefox, fundmeldung, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, neustart, object, pdf, pop-up-blocker, s-1-5-18, shockwave, software, spyware, system, temp, trend micro, windows, windows xp



Ähnliche Themen: Tr/Agent.BYZ


  1. Avira Funde: TR/Spy.Agent.1246416 und TR/Spy.Agent.1793892
    Plagegeister aller Art und deren Bekämpfung - 09.10.2015 (17)
  2. Sefnit-HU, Agent-ASEB, Agent-ARQX von Avast gefunden...
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (23)
  3. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  4. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  5. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  6. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  7. pc friert ein- malware (TR/Spy.Zbot, TR/Agent.282624.k , BDS.Hupigon, JS/Agent.30510, )
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (3)
  8. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  9. offenes system? TR/Agent.bfpp HTML/Ydergda.B TR/Riner.ZK TR/Riern.H.7 JAVA/Agent.BH
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  10. RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (25)
  11. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  12. Verseuchter Rechner mit TR/Click.Agent.AC, TR/Dlder.Mediket.A, ADSPY/Agent.L usw.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (23)
  13. Trojanerr Epidemie- Agent.AN260, 261, 262, Agent.dyur, Bubnix.S
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (25)
  14. TR/Agent.RUO.3 in der Datei 'C:\Windows\System32\wineon.dll' und DR/Agent.ruo ...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (6)
  15. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  16. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  17. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)

Zum Thema Tr/Agent.BYZ - Huhu,seit ich gestern von einer Lan kam und Wc3 Tft starte,bekomm ich bei jedem Start eine Fundmeldung vom Antivir Guard in eine Temp File namens CmdLineExt02.dll. Diese lösche ich beende - Tr/Agent.BYZ...
Archiv
Du betrachtest: Tr/Agent.BYZ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.