Forum
Tipps
News
Menu-Icon

Trojaner?!

Hi,
als ich vorhin Wacraft III von CD aus starten wollte, meldete AntiVir mir folgende Fehlemeldung:

C:\....\CmdLineExt02.dll ist das Trojanische Pferd TR/Agent.BYZ

So, hierauf habe ich versucht, mich im Internet umzuschauen, was dass den für ein Trojaner sei, aber Google spuckt dazu eigentlich nix aus, außer zu einer ähnlichen Bezeichnung, wo ich dann gelesen habe, dass das ein CD-Schutzprogramm sei, aber die Meldung kommt erst seit gerade eben, was etwas verwunderlich ist und was ich auch nicht glaube.
Hier ist auf jeden Fall mal ein Logfile
Und Entschuldigung: Mein Beitrag ist wahrscheinlich in Expertenaugen recht amateurhaft geschrieben, aber das bin ich in solchen Dingen leider echt. Ein Amateur ;)

Logfile of HijackThis v1.99.1
Scan saved at 22:41:53, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\LevelOne\LevelOne Wireless LAN Card\Installer\WINXP\RaUI.exe
C:\Programme\Miranda\miranda32.exe
e:\spiele\warcraft iii\war3.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Consti\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Wäre sehr cool, wenn sich das jmd mal anschauen könnte.
Gruß Poisondwarf



Antworten zu Trojaner?!:

@Poisondwarf

1. Lösche bitte AntiVir oder AVG7,
denn es darf immer nur ein Virenscanner aktiv auf dem Rechner installiert sein!

2. Bitte gebe den genau und vollständigen Pfad wo die Datei
CmdLineExt02.dll gespeichert ist.

3. Aktualisiere AntiVir - Update ausführen !

4. Teste die verdächtige Datei einfach hiermit mit auf Malware.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/
Beide kostenlose Dienste verbinden einen Scan mit verschiedene Programme der Antivirushersteller. Wird dabei Malware gefunden, dann poste das Ergebnis hier.

5. Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Hallo!

Da ich heute die gleiche Meldung hatte, allerdings nach einem normalen Scan ohne Meldung, dann das Update und dann kam erst durch den Guard die Meldung, hier mal der Pfad, dürfte bei meinem Vorredner vielleicht identisch sein:

...Dokumente und Einstellungen/Lokale Einstellungen/Temp/CmdLineEst02.dll

Habe in Quarantäne geschoben und gelöscht, danach neuer Scan, auch Onlinescan und Ad-Aware drüberlaufen gelassen, und nichts mehr gefunden, allerdings würde mich auch interesieren ob es eine Fehlmeldung war oder nicht.

Sry, am Schluss heisst es Ext02, nicht Est, nochmal korrigierter Pfad

..Dokumente und Einstellungen/Lokale Einstellungen/Temp/CmdLineExt02.dll

Da das Problem heute schon öfter aufgetreten ist,
ist davon auszugehen, das AntiVir hier einen Fehlalarm produziert.
Dafür spricht auch, dass die Malware TR/Agent.BYZ schon ein paar Tage länger von Antivir erkannt wird und die Heuristik vor kurzem geändert wurde.

Aber wenn möglich, bitte Datei hier überprüfen lassen:
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/ 

hab das selbe problem kann mir jemand sagen wie ich diese langen listen mache bzw. wie ich den mist einfach weg kriege hab alle gemacht formatiert windowws neu installiert durchsucht ohne ende aber wenn ich warcraft 3 starte kommt jedesmal von antivir alarm  ich brauch dringend hilfe!!!! danke im vorraus

und wie erfahre ich überhaupt den kompletten namen also wo die datei ist.... da steht immer c:\ ...cmdl......02

falls es euch was bringt die hijacklog ...


Logfile of HijackThis v1.99.1
Scan saved at 22:09:40, on 27.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\MK12\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [KB926239] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bon Soir zusammen!
Ich war (als absoluter Computeramateur) eben auch recht paranoid, als ich diese Meldung bekommen hab.
Und ... Ich wollte eigentlich gerade was andres zocken, hab aber das "böse" Warcraft III ebenfalls aufm Computer.

Ich hab den Fund einfach gelöscht, inklusive aller Temporary Internet Files.

Und nun zock ich Diablo II ;)

Vielen Dank für eure Hilfe im Voraus  [love]

wannwqollt ihr mir endlich helfn :P??^^

Hallo zusammen!

Habe ebenfalls gestern Abend ein Antivir Update gemacht und seitdem erhalte ich bei jedem Start von Warcraft3 oben genannte Meldung. Die Datei befindet sich bei mir im Folder C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp (@MK12: das kannst du sehen, wenn du das Antivir Hauptprogramm startest und die Ereignisse durchblätterst!) -- wobei sie scheinbar nur dann erzeugt wird, wenn ich WC3 starte und gelöscht, sobald ich es schließe.

Heißt sofern WC3 nicht läuft, ist die Datei gar nicht vorhanden und kann somit auch nicht von Antivir erkannt werden. (CompleteScan war demnach erfolglos)

Habe bei google leider bisher nichts gefunden, ausser, dass diese Meldung seit dem neusten Antivir Update wohl bei vielen WC3 Spielern auftaucht.

Hoffe einfach vorerst mal, dass es sich um einen Fehlalarm handelt und werde in ein paar Tagen nochmal versuchen etwas neues herauszufinden, sofern die Meldung nicht nach dem nächsten Antivir Update wieder verschwindet.

Ich habe das gleiche prob. ich habe formatiert und dachte
dammit bin ich es los aber nein es ist imer noch da

TR/Agent.BYZ


C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\CmdLineExt02.dll

das ich doch erleichternt für mich aber kann man das auf antivir setzen oder hmmm naja ich weiß auch nich auf jedenfall seitzt er in:

c:\dokumente und einstellungen\mk12\lokale einstellungen\temp\cmdlineext02.dll 


ist es irgendwie möglich die datei zu kriegen ich komm an die nich ran weil wenn ich bei laufwerk c suche da gehts schon los das ich den ordner lokale einstellungen nich finde also hilfe wird weiterhin benötigt

beeinträchtigt das spiel oder nicht manche schreiben das die cpu auslastung hoch geht bei mir nicht aber bei mir ist 1 mal der pc gefreezt
 

@ALL

Mittlerweile spricht alles für einen Fehlalarm.
Inoffiziell geht zur Zeit selbst Antivir davon aus, dass die Datei "CmdLineExt02.dll" sauber ist. Leider hat AntiVir bis jetzt nicht seine Hausaufgaben erledigt, auf Kosten der  Anwender und deren Nerven.

Tipp:
Die Datei "CmdLineExt02.dll" einfach vorübergehend in die Ausnahmeliste des Guard`s aufnehmen, bis AntiVir das Problem gelöst hat.

ok bin zwar beruhigt aber selbst wenn ich daten löschn will zeigt der andauernd das ding also alarm hauptsache  es kommt n update ^^
 

Hello, sorry for my english but i also got this trojan and i also get it only when i launch WC3 i also use Antivir now my german is not one of the best and all the forums i looked on this trojan are german...

but could anyone translate it into english for me if this trojan is a real one or just a false alarm by a antivir update

Thanks in advance,

Riathy.

yes we think its a bug from antivir because the c...dll is sometink from wc3 and its not dangouras.

O Thanks a lot! you saved my ass i got scared :)

Hallo Leute,
ich mach' mich auch noch verrückt, wegen dieser "cmdlineExt02" Datei bei Start von Warcraft III.
- Ich hab' mein Backup wieder zurückgespielt
- Weil "alte" Antivir-Virensignatur, war die Meldung nicht da
- Nach dem AntiVir-Update, war sofort die Meldung da

Ergebnis: Es muss neu sein. Es hängt wohl nur mit Warcraft III zusammen.

Ich hoffe, dass die das von AntiVir ändern. Das nervt tierisch.   

Die Leute, die angeblich ein Problem mit der CPU-Auslastung im Zusammenhang mit der Datei haben, sollten das nochmal näher erläutern.

Ich hab' erstmal bei AntiVir unter "Ignore" die Datei aufgenommen. 

« Letzte Änderung: 28.07.07, 12:06:10 von Nordfriesenstamm »

Es könnte ja mal einer überprüfen der das prob nicht hatt ob sich die c..dll immer erstellt beim wc3 start und das erbgebnis uns mitteilen der pfad steht oben

Joa ich hab das Problem zwar auch aber ich weiß 100% das die Datei sich immer beim start von Warcraft neu erstellt und beim beenden auch weiter besteht. Beim erneuten start von warcraft wird die Datei neu erstellt und erstetzt die alte... Also würde ich mal sagen ein 99.999999%tige Chance das es ein Fehlalarm von dem neusten Update von Antivir ist.

UPDATE KLÄRT BEI MIR IST ES WECK 

@ALL
Am Samstagnachmittag hat Avira für AntiVir eine neue VDF Datei veröffentlich. Mit der iVDF Version 6.39.00.195
wurde das Problem mit dem Fehlalarm beseitigt.
Also wer jetzt noch vom dem Problem betroffen ist muss noch das Update ausführen.
 

VERDAMMTE sch...E .... BIN HIER FAST AMOK GELAUFEN. Rechner neu installiert, Videobearbeitung umsonst gemacht, TS neu installiert und und und ....

JA, DAS UPDATE[/url] VON ANTIVIR HAT ALLES GELÖST. [/b]

Das sowas passieren kann. Danke für die Forumbeiträge. Das hatte mir sehr geholfen, sonst hätte ich - glaube ich - den Rechner aus dem Fenster geworfen (hatte noch nie Viren).   :-[  

Ich habe das gleiche Problem...
Aber nicht mit AntiVir, sonder mit F-Prot...

Ist das trotzdem nur ein Bug?

Ja,
beide Programme benutzen die gleiche Engine,daher auch gleiche "false positive" 8)


« großeß problemWindows Bootet nicht. Weisser strich »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...