Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.03.2010, 23:07   #1
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Ausrufezeichen

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Ach ja, jetzt hats mich auch erwischt, mich stört der Trojaner zwar schon seit 4 Tagen aber bis jetzt dachte ich es handle sich um ein Fehlallarm.
Nun will ich ihn aber wirklich los werden. Zu verfügung habe ich AntiVir10, Spybot - Search & Destroy und Hijack This.

Sorry das ich zu der Flut an Meldungen zu dem Nervtöter jetzt auch noch beisteuern muss
Danke schon mal im Vorraus, ihr leistet wirklich super Arbeit !

Hab grade mit OSAM ein log file erstellt:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:52:54 on 30.03.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - D:\SICHER~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - D:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys
"Atheros Wireless Network Adapter Service(TP-LINK)" (arusb(TP-LINK)) - "TP-LINK TECHNOLOGIES CO., LTD." - C:\WINDOWS\System32\DRIVERS\arusb.sys
"avgio" (avgio) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"aya82iel" (aya82iel) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\aya82iel.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ElbyDelay" (ElbyDelay) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyDelay.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys (File found, but it contains no detailed information)
"sysawlc" (sysawlc) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\sysawlc.sys
"vsdatant" (vsdatant) - "Check Point Software Technologies LTD" - C:\WINDOWS\System32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - D:\Programme\Audible\Audible\Bin\AudibleExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{653DCCC2-13DB-45B2-A389-427885776CFE} "Activities Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplact.dll
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - D:\Programme\Audible\Audible\Bin\AudibleExt.dll
{01DEF77C-F716-45D3-8FFC-7AB832FB333D} "AVIInfoTip Object" - "Alexander A. Sorkin" - D:\Programme\abcAVI\abcAVIIT.dll
{124597D8-850A-41AE-849C-017A4FA99CA2} "Buttons Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{3BEABCC1-BF31-42df-88D9-A2955D6B8528} "IntelliPoint Sensitivity Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplsens.dll
{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} "IntelliType Pro Key Settings Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplkey.dll
{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} "IntelliType Pro Scrolling Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll
{A2569D1F-4E06-43EC-9825-0088B471BE47} "IntelliType Pro Wireless Control Panel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwir.dll
{97FA8AA2-EE77-4FF2-9449-424D8924EF21} "IntelliType Pro Zooming Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplzm.dll
{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8} "JetFlExt Class" - "COWON America" - D:\Programme\JetAudio\JetFlExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - D:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - D:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE} "Wheel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\Programme\WinRAR\rarext.dll
{20082881-FC36-4E47-9A7A-644C95FF749F} "Wireless Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplwir.dll

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "get_atlcom Class" - "NOS Microsystems Ltd." - C:\WINDOWS\Downloaded Program Files\gp.ocx / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
AutorunsDisabled "AutorunsDisabled" - ? - (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Tim\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Copy Handler" - " " - D:\Programme\Copy Handler\ch.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "D:\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" /min
"IntelliPoint" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
"type32" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliType Pro\type32.exe"
"ZoneAlarm Client" - "Check Point Software Technologies LTD" - "D:\Sicherheit\ZoneAlarm\zlclient.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\sched.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_Helper.dll
"NMSAccessU" (NMSAccessU) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"TrueVector Internet Monitor" (vsmon) - "Check Point Software Technologies LTD" - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"UIHost" - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 31.03.2010, 11:20   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



hallo und

Code:
ATTFilter
[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"sysawlc" (sysawlc) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\sysawlc.sys
         
Bitte mit OSAM deaktivieren (siehe Anleitung zu OSAM). Poste danach ein neues Log von OSAM
__________________

__________________

Alt 31.03.2010, 21:05   #3
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Danke für die schnelle Hilfe.
Also hab die Datei mit OSAM deaktiviert (nicht gelöscht) und nochmal ein Log erstellt.

Log:


Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:01:23 on 31.03.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - D:\SICHER~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - D:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys
"Atheros Wireless Network Adapter Service(TP-LINK)" (arusb(TP-LINK)) - "TP-LINK TECHNOLOGIES CO., LTD." - C:\WINDOWS\System32\DRIVERS\arusb.sys
"avgio" (avgio) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avl0bxpj" (avl0bxpj) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\avl0bxpj.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ElbyDelay" (ElbyDelay) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyDelay.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys (File found, but it contains no detailed information)
"vsdatant" (vsdatant) - "Check Point Software Technologies LTD" - C:\WINDOWS\System32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)
(Disabled) "sysawlc" (sysawlc) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\sysawlc.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - D:\Programme\Audible\Audible\Bin\AudibleExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{653DCCC2-13DB-45B2-A389-427885776CFE} "Activities Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplact.dll
{16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - D:\Programme\Audible\Audible\Bin\AudibleExt.dll
{01DEF77C-F716-45D3-8FFC-7AB832FB333D} "AVIInfoTip Object" - "Alexander A. Sorkin" - D:\Programme\abcAVI\abcAVIIT.dll
{124597D8-850A-41AE-849C-017A4FA99CA2} "Buttons Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{3BEABCC1-BF31-42df-88D9-A2955D6B8528} "IntelliPoint Sensitivity Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplsens.dll
{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} "IntelliType Pro Key Settings Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplkey.dll
{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} "IntelliType Pro Scrolling Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll
{A2569D1F-4E06-43EC-9825-0088B471BE47} "IntelliType Pro Wireless Control Panel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplwir.dll
{97FA8AA2-EE77-4FF2-9449-424D8924EF21} "IntelliType Pro Zooming Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliType Pro\itcplzm.dll
{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8} "JetFlExt Class" - "COWON America" - D:\Programme\JetAudio\JetFlExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - D:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - D:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE} "Wheel Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\Programme\WinRAR\rarext.dll
{20082881-FC36-4E47-9A7A-644C95FF749F} "Wireless Property Page" - "Microsoft Corporation" - C:\Programme\Microsoft IntelliPoint\ipcplwir.dll

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "get_atlcom Class" - "NOS Microsystems Ltd." - C:\WINDOWS\Downloaded Program Files\gp.ocx / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
AutorunsDisabled "AutorunsDisabled" - ? - (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Tim\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Copy Handler" - " " - D:\Programme\Copy Handler\ch.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "D:\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" /min
"IntelliPoint" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
"type32" - "Microsoft Corporation" - "C:\Programme\Microsoft IntelliType Pro\type32.exe"
"ZoneAlarm Client" - "Check Point Software Technologies LTD" - "D:\Sicherheit\ZoneAlarm\zlclient.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - D:\Sicherheit\Avira\AntiVir Desktop\sched.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_Helper.dll
"NMSAccessU" (NMSAccessU) - ? - D:\Programme\CDBurnerXP\NMSAccessU.exe (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"TrueVector Internet Monitor" (vsmon) - "Check Point Software Technologies LTD" - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"UIHost" - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
__________________

Alt 01.04.2010, 09:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Gut, dann diese Datei
Zitat:
C:\WINDOWS\system32\drivers\sysawlc.sys
bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Mach danach Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.04.2010, 10:19   #5
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Hier ist der Log von Malwarebytes.
Hab die Einträge dann auch mit Malwarebytes entfernt.
Der Scann mit SUPERAntiSpyware läuft noch und könnte eine Weile dauern, ich poste den Log sobald ich ihn habe.


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3940

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.04.2010 11:34:08
mbam-log-2010-04-01 (11-34-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 101985
Laufzeit: 2 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ntnhzrr.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\sysawlc.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Geändert von Fishfutter (01.04.2010 um 10:56 Uhr)

Alt 01.04.2010, 15:05   #6
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



So, jetzt ist auch endlich SUPERAntiSpyware mit dem Scann durch : )

Hier ist der Log:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 04/01/2010 at 03:53 PM

Application Version : 4.35.1000

Core Rules Database Version : 4756
Trace Rules Database Version: 2568

Scan type : Complete Scan
Total Scan Time : 04:01:59

Memory items scanned : 422
Memory threats detected : 0
Registry items scanned : 5754
Registry threats detected : 0
File items scanned : 345510
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Tim\Cookies\tim@traffictrack[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@advertising[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@revsci[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@ad.adition[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@www.etracker[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@server431.files.youporn[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@creatives.commindo-media[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@unitymedia[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@zanox[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@cdn5.specificclick[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@ads.ad4game[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@specificclick[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@collective-media[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@adtech[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@server.cpmstar[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@pointroll[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@tacoda[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@at.atwola[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@smartadserver[1].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Tim\Cookies\tim@himedia.individuad[1].txt

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F382CB1F-44D7-4B1D-B3DE-AB1CB923D042}\RP137\A0019215.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F382CB1F-44D7-4B1D-B3DE-AB1CB923D042}\RP137\A0019216.SYS

Rogue.Agent/Gen-Nullo[EXE]
C:\WINDOWS\SYSTEM32\CTFMON.EXE

Adware.Vundo/Variant-MSFake
J:\SOFTWARE\WINDOWS\AIO RUNTIME\SVCPACK\NEUER ORDNER\NET\3.0\XPSEPSC.EXE
J:\SOFTWARE\WINDOWS\AIO RUNTIME\SVCPACK\NEUER ORDNER\OTHER\ADOBEFLASH-HOTFIX.EXE

Alt 01.04.2010, 15:13   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Zitat:
C:\WINDOWS\system32\drivers\sysawlc.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Kannst Du die aus der Qurantäne mal wiederherstellen und zB auf dem Desktop verschieben? Wenn das klappt, die Datei bei uns hochladen > http://www.trojaner-board.de/54791-a...ner-board.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.04.2010, 15:34   #8
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Hatte ich schon hochgeladen : )

Alt 01.04.2010, 18:23   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Hattest Du schon?
Wann das denn? Hab ich was verpasst? Es knirscht gerad bei mir im Oberstübchen

Edit: Au man ich bin echt doof
Ich hab Dich ja schon angewiesen die Dateo hochzuladen

Wie ist es eigentlich jetzt um Deinen Rechner bestellt? Noch Fehler oder Meldungen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.04.2010, 18:28   #10
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Ich hab ja mit SUPER gescannt aber noch nicht gelöscht, soll ich die sachen die er gefunden hat löschen ?

Alt 01.04.2010, 18:30   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Ja, das kannste alles löschen lassen.
Ich meinte mit weiteren Funden eigentlich ob AntiVir in der Zwischenzeit wieder gequakt hat. Und ich wollte mich erkundigen ob das System wieder normal läuft
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.04.2010, 18:41   #12
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Soll ich auch die CTFMON.EXE löschen ? weil ich dachte das sei eine system datei ?

Oh ja AntiVir hat grade volgendes gemeldet:

Die Datei 'C:\System Volume Information\_restore{F382CB1F-44D7-4B1D-B3DE-AB1CB923D042}\RP136\A0019072.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.RUO.4' [trojan].

Alt 01.04.2010, 18:45   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Äh sry, hab ich übersehen
ctfmon.exe sollte eigentlich kein Schädling sein > ctfmon.exe Windows Prozess - Was ist das?
Bitte nochmal die Datei gegenchecken bei Virustotal.com und den Ergebnislink posten.

Zitat:
Oh ja AntiVir hat grade volgendes gemeldet:
Ist nur im Ordner der Systemwiederherstellung (SWH).
Deaktiviere die SWH, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Falls Du sie brauchst, kannst Du sie nach dem alle Punkte gelöscht wurden reaktivieren. Ich finde die SWH aber ziemlich unbrauchbar und lasse sie immer aus.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.04.2010, 18:55   #14
Fishfutter
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



CTFMON.EXE ist laut VirusTotal sauber, lass noch mal nen scann durchlaufen und sag bescheid wenn sich noch was regt das geplättet werden muss ^^
Aber schon mal ein RIESEN danke Arne !!!

gibt es inzwischein eigentlich schon irgendwelche anhaltspunkt woher der TR/Agent.ruo kommt ? ich kann es mir einfach nicht erklären wie/wo ich mir den eingefangen haben soll, bin da eher vorsichtig.

Alt 01.04.2010, 19:23   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Standard

Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'



Zitat:
gibt es inzwischein eigentlich schon irgendwelche anhaltspunkt woher der TR/Agent.ruo kommt ?
nein, das ist ja das Dumme.
Seit Avira den erkennt, sind wir hier im TB dicht. Ich vermute der kommt durch irgendwelche Sicherheitslücken in Anwendungen, gibt ja genug die mit altem Java, AdobeReader und Flashplayer herumwurschteln... äußerst günstige Bedingungen für die Schädliche, da die meisten auch mit Adminrechten unterwegs sind
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'
antivir, antivir guard, autorun, avgnt.exe, avira, bonjour, browser, c:\windows\system32\rundll32.exe, cdburnerxp, components, desktop, desktop.ini, document, einstellungen, firefox, fontcache, helper, hijack, internet, internet explorer, log file, logfile, malware, mozilla, nt.dll, ntnhzrr.dll, pdfcreator, registry, registry key, rundll, sicherheit, software, sptd.sys, staropen, super, system, tr/agent.ruo, trojaner, windows, windows xp



Ähnliche Themen: Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'


  1. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  2. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  3. AVG erkennt andauernd potentielle Bedrohungen. z.B. C:\Windows\System32\Drivers\spgc.sys";"Infiziert"
    Plagegeister aller Art und deren Bekämpfung - 16.10.2013 (13)
  4. "Pers. Einst. einrichten für: C:\WINDOWS\system32\win32up.exe"
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (2)
  5. "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (39)
  6. (Trojaner) pc startet nicht mehr "C:\WINDOWS\system32\sshnas21.dll"
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (0)
  7. (Trojan.Agent) in "C:\Dokumente und Einstellungen...\SYSTEM32.dll" gefunden !
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (13)
  8. Trojaner "TR/Agent.ruo" in 'C:\Windows\System32\wineagm.dll
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (1)
  9. "TR/Agent.ruo" in "C:\Windows\System32\wineoam.dll.VIR"
    Plagegeister aller Art und deren Bekämpfung - 28.03.2010 (1)
  10. TR/Agent.ruo in Datei "C:/Windows/system32/winelm.dll"
    Plagegeister aller Art und deren Bekämpfung - 28.03.2010 (5)
  11. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  12. "Fehler beim Laden von C:\Windows\system32\sshnas21.dll" bei Systemstart
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (0)
  13. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  14. Trojaner "Agent.422888" in "giljabiunis.exe" ?
    Plagegeister aller Art und deren Bekämpfung - 28.07.2009 (13)
  15. Trojaner "TR/Agent.imh" in C:\Windows\xvvutjp.inf
    Log-Analyse und Auswertung - 13.05.2009 (8)
  16. Trojaner "TR/Crypt.ZPACK.Gen" in C:\Windows\System32\
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  17. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)

Zum Thema Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' - Ach ja, jetzt hats mich auch erwischt, mich stört der Trojaner zwar schon seit 4 Tagen aber bis jetzt dachte ich es handle sich um ein Fehlallarm. Nun will ich - Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'...
Archiv
Du betrachtest: Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.