Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner agent.ruo - wie entfernt man ihn?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.04.2010, 09:15   #1
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Hallo zusammen,

Antivir hat mir erzählt, ich hätte mir den Trojaner agent.ruo eingefangen :-|

Leider bin ich nicht unbedingt firm in solchen Dingen, wie man vielleicht an meinem Benutzernamen ablesen kann ;-) Aber ich hoffe sehr, dass ich hier geduldige Helfer finde.

Wie fängt man sich so ein Ding überhaupt ein, und was macht es? Ich war eigentlich nicht auf kritischen Seiten unterwegs. Nun ja, erst mal muss das Vieh jetzt von meinem Rechner runter.

Osam-logfile kommt im nächsten Beitrag... ich bedanke mich schon mal bei allen, sich sich meines Problems annehmen!

Alt 07.04.2010, 09:20   #2
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 10:02:30 on 07.04.2010

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.5.8

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\Windows\system32\lsdelete.exe (File found, but it contains no detailed information)

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Gamma" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a4svtyhg" (a4svtyhg) - "Microsoft Corporation" - C:\Windows\system32\drivers\a4svtyhg.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\Windows\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\Windows\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\Windows\System32\DRIVERS\tifsfilt.sys
"Acronis Try&Decide and Restore Points filter" (tdrpman) - "Acronis" - C:\Windows\System32\DRIVERS\tdrpman.sys
"ASPI32" (ASPI32) - "Adaptec" - C:\Windows\system32\drivers\ASPI32.sys
"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"cvintdrv" (cvintdrv) - ? - C:\Windows\system32\drivers\cvintdrv.sys (File found, but it contains no detailed information)
"CyberLink InstantBurn UDF Filesystem" (CLBUDF) - "CyberLink Corporation." - C:\Windows\system32\drivers\CLBUDF.sys
"GPIB Board Class Driver" (gpibclsb) - ? - C:\Windows\System32\Drivers\gpibclsb.sys (File not found)
"GPIB Device Class Driver" (gpibclsd) - ? - C:\Windows\System32\Drivers\gpibclsd.sys (File not found)
"InstantBurn Storage Helper Driver" (CLBStor) - "Cyberlink Co.,Ltd." - C:\Windows\system32\drivers\CLBStor.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys (File not found)
"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information)
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"sysayg" (sysayg) - ? - C:\Windows\system32\drivers\sysayg.sys (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? - (File not found | COM-object registry key not found)
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Program Files\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Program Files\Acronis\TrueImageHome\tishell.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? - (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? - (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - E:\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - E:\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - E:\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - E:\Java\jre6\bin\jp2ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\Windows\system32\relog_ap.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"Adobe Gamma.lnk" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists)
"backspace.ahk.ahk" - ? - C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\backspace.ahk.ahk
"desktop.ini" - ? - C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
"DAEMON Tools" - "DT Soft Ltd." - "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
"Power2GoExpress" - ? - NA (File not found)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
"AcronisTimounterMonitor" - "Acronis" - C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"InstantBurn" - "CyberLink Corporation." - C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
"LanguageShortcut" - ? - "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NeroFilterCheck" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
"RemoteControl" - "Cyberlink Corp." - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "E:\Java\jre6\bin\jusched.exe"
"TrueImageMonitor.exe" - "Acronis" - C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
"Acronis Try And Decide Service" (TryAndDecideService) - ? - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe (File found, but it contains no detailed information)
"Ad-Aware 2007 Service" (aawservice) - "Lavasoft AB" - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"OpcEnum" (OpcEnum) - ? - C:\Windows\system32\OpcEnum.exe (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
__________________


Alt 07.04.2010, 09:34   #3
Chris4You
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Hi,

disable mit OSAM folgende Treiber/Dienste:
Code:
ATTFilter
"a4svtyhg" (a4svtyhg) - "Microsoft Corporation" - C:\Windows\system32\drivers\a4svtyhg.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"sysayg" (sysayg) - ? - C:\Windows\system32\drivers\sysayg.sys (File not found)
         
Lass die Trebier dann bitte bei virustotal.com überprüfen und poste die Logs...
(D. h. nach dem Reboot erstmal nicht löschen lassen!)

chris
__________________
__________________

Alt 07.04.2010, 09:50   #4
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Hi Chris, erstmal danke für die extrem schnelle Antwort!!

Ich habe die beiden Einträge bei Osam deaktiviert und dann den Rechner neu gestartet. Antivir hat sich seit dem Neustart noch nicht gemeldet *juchuh!!* Das heisst, das Ding ist schon runter?
Bei virustotal habe ich leider nicht herausfinden können, was ich da machen muss - die dll-files die ich da wohl hochladen soll finde ich auf meinem Rechner nicht (hab in system32 gesucht).

Sorry dass ich mich so blöd anstelle :-(

Alt 07.04.2010, 09:55   #5
Chris4You
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Hi,

benutze diese Pfade:

C:\Windows\system32\drivers\a4svtyhg.sys
C:\Windows\system32\drivers\sysayg.sy

direkt reinkopieren...
Kann sein, dass ein Treiber nicht zu finden ist, der ist anscheinend rein "virtuell"...

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Danach noch
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.04.2010, 12:49   #6
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Diese beiden Treiber waren nicht zu finden, auch nicht in dem von dir angegebenen Verzeichnis... aber das ist wohl nicht so schlimm.
Die Antivir- und Malwarebytes-Scans poste ich in den nächsten beiden Beiträgen.

(Bisher übrigens immer noch keine neue Meldung von Antivir *jubel*)

Alt 07.04.2010, 12:52   #7
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 7. April 2010 11:02

Es wird nach 1963907 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ****

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 20:09:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:09:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:09:10
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:36:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:34:40
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:08:21
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 10:08:21
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 10:08:21
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 10:08:22
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 10:08:22
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 10:08:22
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 10:08:22
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 10:08:55
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 10:08:55
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 19:42:14
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 19:47:01
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 22:30:47
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 23:12:09
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 23:12:09
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 09:19:59
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 11:27:24
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 09:27:02
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 09:27:02
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 09:59:39
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 09:59:40
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 08:33:33
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 17:46:03
VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 17:46:03
VBASE027.VDF : 7.10.6.19 2048 Bytes 01.04.2010 17:46:03
VBASE028.VDF : 7.10.6.20 2048 Bytes 01.04.2010 17:46:03
VBASE029.VDF : 7.10.6.21 2048 Bytes 01.04.2010 17:46:03
VBASE030.VDF : 7.10.6.22 2048 Bytes 01.04.2010 17:46:04
VBASE031.VDF : 7.10.6.31 136192 Bytes 06.04.2010 17:46:04
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 18:55:12
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 06.04.2010 17:46:07
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 07:34:24
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 23:12:19
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 23:12:17
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 11:27:27
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 23:12:16
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 28.03.2010 08:33:37
AEHELP.DLL : 8.1.11.3 242039 Bytes 06.04.2010 17:46:06
AEGEN.DLL : 8.1.3.6 373108 Bytes 06.04.2010 17:46:05
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 11:12:08
AECORE.DLL : 8.1.13.1 188790 Bytes 06.04.2010 17:46:04
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 19:15:05
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 22:25:05
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 30.05.2009 10:12:06
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10.06.2009 19:30:35
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 20:09:10

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 7. April 2010 11:02

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '103109' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AutoHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IBurn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '63' Prozesse mit '63' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WIN>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Games>
Beginne mit der Suche in 'E:\' <Data>
E:\Programs\Origin\Originlab Origin Pro v7.5E RORiSO 10.01.04.rar
[0] Archivtyp: RAR
--> 01.10.04.ORIGINLAB.ORIGINPRO.V7.5-RORiSO\roroop75.r16
[1] Archivtyp: RAR
--> origin.cue
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
E:\Programs\Origin\01.10.04.ORIGINLAB.ORIGINPRO.V7.5-RORiSO\roroop75.r16
[0] Archivtyp: RAR
--> origin.cue
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <backup>


Ende des Suchlaufs: Mittwoch, 7. April 2010 12:16
Benötigte Zeit: 1:13:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

28481 Verzeichnisse wurden überprüft
568355 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
568352 Dateien ohne Befall
7297 Archive wurden durchsucht
6 Warnungen
2 Hinweise
103109 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 07.04.2010, 12:53   #8
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3962

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07.04.2010 13:42:52
mbam-log-2010-04-07 (13-42-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 298708
Laufzeit: 1 Stunde(n), 14 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\****\AppData\Roaming\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

Alt 07.04.2010, 12:53   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



*kurzeinmisch*

Dieser hier => C:\Windows\system32\drivers\a4svtyhg.sys <= ist ok, wurde von den Daemontools angelegt. Nur so als Info
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.04.2010, 19:09   #10
Chris4You
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Hi Arne,

Danke!

@Noob314:
Prüfen ob Daemontools noch laufen..., sonst '"nachinstallieren"...

Sonst sieht es eigentlich gut aus...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.04.2010, 08:40   #11
Noob314
 
Trojaner agent.ruo - wie entfernt man ihn? - Standard

Trojaner agent.ruo - wie entfernt man ihn?



Daemontools brauch ich sowieso nie, daher ist es egal ob das noch funktioniert oder nicht
Tausend Dank für die superschnelle Hilfe!!!

Antwort

Themen zu Trojaner agent.ruo - wie entfernt man ihn?
agent.ruo, bedingt, benutzer, benutzername, benutzernamen, dinge, eingefangen, entfern, entfernt, fängt, gefangen, hallo zusammen, helfer, hoffe, kritische, problems, rechner, seite, seiten, troja, trojaner, unbedingt, überhaupt, zusammen




Ähnliche Themen: Trojaner agent.ruo - wie entfernt man ihn?


  1. trojan.agent entdeckt, vermeintlich entfernt - Internet tot
    Plagegeister aller Art und deren Bekämpfung - 08.02.2015 (23)
  2. Trojan.Agent.VBS | Misused.Legit.AI | .vbs und .exe Dateien - sicher entfernt?
    Plagegeister aller Art und deren Bekämpfung - 22.03.2014 (13)
  3. Trojaner - TR/Agent.qoud kann nicht entfernt werden.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (9)
  4. Anti-Maleware - Trojan.Agent kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (13)
  5. PUM.UserWLoad und Trojan.Agent kann nicht entfernt werden :(
    Plagegeister aller Art und deren Bekämpfung - 04.12.2012 (9)
  6. Pud.Adware.Agent entfernt oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (2)
  7. Trojan.Banker und Backdoor.Agent mit Malwarebytes entfernt - weitere Schritte nötig?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (3)
  8. [doppelt] JAVA/Agent.LB und EXP/CVE-2008-5353.AG habe ich ihn entfernt?
    Mülltonne - 30.12.2011 (1)
  9. RKIT/Agent.biiu entfernt oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (1)
  10. Trojaner userinit (Trojan.Agent) kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  11. Trojan.Agent MSIVXcount kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (1)
  12. Win32/Rootkit.Agent.Odg entfernt - Überprüfung des HJT-Logs
    Log-Analyse und Auswertung - 05.07.2009 (1)
  13. TR/Agent.ahze kann nicht mit Avira entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (8)
  14. Trojan.Downloader.Agent.ZOQ - richtig entfernt?
    Log-Analyse und Auswertung - 03.09.2008 (1)
  15. Trojan-Downloader.win32.agent.sdl entfernt
    Plagegeister aller Art und deren Bekämpfung - 19.08.2008 (8)
  16. agent 894276 mit avira antivir entfernt - ist er wirklich weg?
    Log-Analyse und Auswertung - 23.03.2008 (2)
  17. Trojaner drop.agent erfolgreich entfernt? Hijack Logfile
    Log-Analyse und Auswertung - 08.05.2005 (7)

Zum Thema Trojaner agent.ruo - wie entfernt man ihn? - Hallo zusammen, Antivir hat mir erzählt, ich hätte mir den Trojaner agent.ruo eingefangen :-| Leider bin ich nicht unbedingt firm in solchen Dingen, wie man vielleicht an meinem Benutzernamen ablesen - Trojaner agent.ruo - wie entfernt man ihn?...
Archiv
Du betrachtest: Trojaner agent.ruo - wie entfernt man ihn? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.