|
Plagegeister aller Art und deren Bekämpfung: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.08.2009, 00:13 | #16 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanCode:
ATTFilter Datei bhjlxduuwq.exe empfangen 2009.08.05 23:09:55 (UTC) Status: Beendet Ergebnis: 18/41 (43.91%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.05 Packed.Win32.Krap!IK AhnLab-V3 5.0.0.2 2009.08.05 Win-Trojan/Runner.31488 AntiVir 7.9.0.240 2009.08.05 TR/Runner.PX Antiy-AVL 2.0.3.7 2009.08.05 Trojan/Win32.Runner.gen Authentium 5.1.2.4 2009.08.05 - Avast 4.8.1335.0 2009.08.05 Win32:Spyware-gen AVG 8.5.0.406 2009.08.05 Win32/Cryptor BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.05 - ClamAV 0.94.1 2009.08.05 - Comodo 1879 2009.08.06 - DrWeb 5.0.0.12182 2009.08.05 - eSafe 7.0.17.0 2009.08.05 Suspicious File eTrust-Vet 31.6.6660 2009.08.05 - F-Prot 4.4.4.56 2009.08.05 - F-Secure 8.0.14470.0 2009.08.05 - Fortinet 3.120.0.0 2009.08.05 - GData 19 2009.08.06 Win32:Spyware-gen Ikarus T3.1.1.64.0 2009.08.05 Packed.Win32.Krap Jiangmin 11.0.800 2009.08.05 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 Packed.Win32.Krap.s McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 Artemis!5B7AF02CED03 McAfee-GW-Edition 6.8.5 2009.08.06 Trojan.Runner.PX Microsoft 1.4903 2009.08.04 TrojanSpy:Win32/Bebloh.A NOD32 4310 2009.08.05 - Norman 6.01.09 2009.08.05 - nProtect 2009.1.8.0 2009.08.05 - Panda 10.0.0.14 2009.08.05 Suspicious file PCTools 4.4.2.0 2009.08.05 - Prevx 3.0 2009.08.06 High Risk Cloaked Malware Rising 21.41.24.00 2009.08.05 - Sophos 4.44.0 2009.08.05 Mal/EncPk-JO Sunbelt 3.2.1858.2 2009.08.05 Bulk Trojan Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.05 - VBA32 3.12.10.9 2009.08.05 - ViRobot 2009.8.5.1869 2009.08.05 - VirusBuster 4.6.5.0 2009.08.05 Trojan.Runner.EY weitere Informationen File size: 31488 bytes MD5...: 5b7af02ced03ed2f0cb358a3fb1a248d SHA1..: 48e6ee56984df873b5dbdafa29486cb2e6a841bd SHA256: e9e3b84787bae717b8890805e2fac13ccc57c65898179b5d80bfcae2e8e5c90e ssdeep: 768:6IHp0HsfWxj7d1vHp0QDltlCmBawjLmoIB6ZgksowQsALK:r0MfWdDpT5tAw 3m7M3Ps+K PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ 4.x (85.8%) Win32 Executable Generic (5.4%) Win32 Dynamic Link Library (generic) (4.8%) Win16/32 Executable Delphi generic (1.3%) Generic Win/DOS Executable (1.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x66d8 timedatestamp.....: 0x47d7b1a6 (Wed Mar 12 10:34:14 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5bd8 0x5c00 7.94 85686c5d3b82907422d1341f967e0072 .rdata 0x7000 0x9dd 0xa00 6.55 842c1c66147fe5d01faa4b477fbcd90a .data 0x8000 0x1d523 0x800 5.81 1cda33900ccdc8fb9a5fe2ffff671813 .reloc 0x26000 0x79e 0x800 6.51 3a7c10e794a4297cfe5ab77c2c90a630 ( 2 imports ) > KERNEL32.dll: GetModuleHandleA, GetLastError, GetCommandLineA, ExitProcess, GetModuleFileNameA, LoadLibraryA, GetVersion, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, SetTermsrvAppInstallMode > MSVCRT.dll: strtoul, _getcwd, memcmp, _splitpath, _wfullpath, realloc, wcsncat, strcpy, fclose, _access, __mb_cur_max, _beginthread, srand ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4</a> packers (Antiy-AVL): Armadillo 1.71 Code:
ATTFilter Datei msxm192z.dll empfangen 2009.08.05 23:18:53 (UTC) Status: Beendet Ergebnis: 15/41 (36.59%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.05 - AhnLab-V3 5.0.0.2 2009.08.05 - AntiVir 7.9.0.240 2009.08.05 TR/Agent.Bongler.B Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.05 W32/Bongler-based!Maximus Avast 4.8.1335.0 2009.08.05 - AVG 8.5.0.406 2009.08.05 - BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.05 - ClamAV 0.94.1 2009.08.05 - Comodo 1879 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 Trojan.NtRootKit.origin eSafe 7.0.17.0 2009.08.05 - eTrust-Vet 31.6.6660 2009.08.05 - F-Prot 4.4.4.56 2009.08.05 W32/Bongler-based!Maximus F-Secure 8.0.14470.0 2009.08.05 Trojan-GameThief.Win32.OnLineGames.bmoi Fortinet 3.120.0.0 2009.08.05 PossibleThreat GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.05 - Jiangmin 11.0.800 2009.08.05 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 Trojan-GameThief.Win32.OnLineGames.bmoi McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 Artemis!62367F4BDB91 McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Trojan.Agent.Bongler.P Microsoft 1.4903 2009.08.04 - NOD32 4310 2009.08.05 - Norman 6.01.09 2009.08.05 - nProtect 2009.1.8.0 2009.08.05 Trojan/W32.Agent.28672.WT Panda 10.0.0.14 2009.08.05 Suspicious file PCTools 4.4.2.0 2009.08.05 - Prevx 3.0 2009.08.06 Medium Risk Malware Rising 21.41.24.00 2009.08.05 - Sophos 4.44.0 2009.08.05 Mal/Behav-170 Sunbelt 3.2.1858.2 2009.08.05 Bulk Trojan Symantec 1.4.4.12 2009.08.06 Trojan Horse TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.05 - VBA32 3.12.10.9 2009.08.05 - ViRobot 2009.8.5.1869 2009.08.05 - VirusBuster 4.6.5.0 2009.08.05 - weitere Informationen File size: 28672 bytes MD5...: 62367f4bdb91484922fa68e71aa0faf0 SHA1..: fd7a7216637abc19747844bf5a24a2dd450c54c5 SHA256: 13b0e58d943a285ea02aabbede23094e088850535a594e0a802e442221c50d5d ssdeep: 192:igeTC+SRnvgu+lGXhGc/1L4qIvLHZ6qmbqN11IOHO+kKpOYfyCyd:igeTzSR noat/1NqLgq1NblkKMYqC PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2d5d timedatestamp.....: 0x4a70f454 (Thu Jul 30 01:16:04 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1e46 0x2000 6.33 50d70248fe66e1358fba153ef4c59b33 .rdata 0x3000 0x53e 0x1000 2.05 719c95acc2d120fa6f852de848b415d6 .data 0x4000 0x297c 0x1000 0.70 bfd86f6a11db6626b01ccfc964d72fdf .rsrc 0x7000 0x360 0x1000 0.89 fe6ce800a07b99c2dc4d0fbac860a475 .reloc 0x8000 0x20e 0x1000 0.92 9b9074a30d65916f49ae4a3970497892 ( 5 imports ) > KERNEL32.dll: CloseHandle, GetCurrentProcess, CreateThread, GetSystemInfo, GetTempPathA, Sleep, lstrcmpiA, GetVersionExA, GetModuleHandleA, GetProcAddress, GetModuleFileNameA > USER32.dll: GetSystemMetrics, CallNextHookEx, DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, wsprintfA, CharLowerA > ADVAPI32.dll: RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey > MSVCRT.dll: _initterm, _adjust_fdiv, _stricmp, _splitpath, malloc, free, sprintf, atoi, strchr, strncmp, _except_handler3, strstr > WS2_32.dll: -, -, -, -, -, -, -, -, - ( 3 exports ) AR, GetVer, w PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2</a> ciao, andreas Edit: Das hier würde ich ganz schnell aus den Favoriten verschwinden lassen: Zitat:
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? Geändert von john.doe (06.08.2009 um 00:18 Uhr) |
06.08.2009, 01:29 | #17 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan diesmal hat panda fertiggescannt (komplett)
__________________weitergeleitet zur zusammenfassung die war kurz da (mit dem mehr oder weniger lustigen bruce-gesicht) und dann hat sich firefox verabschiedet =) die seite mit den ergebnissen krieg ich nicht wiederhergestellt :/ 3 1/2 std hat er nun gebraucht ich hau mich hin, auch ne eule braucht schlaf ;> p.s. wie krieg ich die leecher nun endgültig vom rechner? die zeigen sich beide recht reproduktionsfreudig... :S lg Addy |
06.08.2009, 13:12 | #18 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan hab jetzt nochmal versucht panda durchlaufen zu lassen.
__________________Hat komplett gescannt und dann firefox aufgehängt hab mich bei der seite aber mal registriert und dass hat sie sich von dem scann gestern nacht noch gemerkt ... h*tp://img146.imageshack.us/i/pandac.jpg/ damit weiß ich wenigstens dass ich nichts weiß =) Gruß Addy |
06.08.2009, 16:18 | #19 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan der Firefox absturz über den panda scann nach beendigen desselben ist problemlos reproduzierbar... |
06.08.2009, 16:37 | #20 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Das 19 gefunden wurden ist schön und gut, ich brauche aber Namen und Pfade. Hast du denn zumindest den Pfad, bei dem Panda abstürzt? Dann kopiere den Ordner auf einen externen Datenträger und lösche den Ordner. Oder teste das Ganze mit dem MSIE, dafür ist er ja zu Gebrauchen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
06.08.2009, 22:17 | #21 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan er stürzt erst ab wenn er den scann beendet hat d.h. 100% -> weiterleitung zur zusammenfassung *bum* ie werd ich asap ausprobieren hab heute aber keine 3 1/2 std mehr |
06.08.2009, 22:22 | #22 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Dann halt morgen, bin aber erst abends wieder on. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 15:07 | #23 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Hat mit dem IE geklappt log ist im anhang. Jetzt nerft noch svchost.exe 06.08.2009 11:16:39 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026875.exe a variant of Win32/Injector.TW trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe. msxm192z.dll mein toller keylogger und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden. Gruß Addy p.s. Prevx findet nur noch meinen Keylogger (will den aber ohne lizenz aber auch nicht entfernen ) |
07.08.2009, 16:53 | #24 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
Die meisten Funde sind in der Systemwiederherstellung. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 2.) Deinstalliere Panda Active Scan. 3.) Start => Ausführen => combofix /u => OK 4.) Lade dir ein neues ComboFix auf deinen Desktop. 5.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: File:: C:\WINDOWS\system32\msxm192z.dll C:\WINDOWS\system32\RENA699.tmp c:\windows\system32\zllictbl.dat c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rapidbolt.com.dll D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rs.dr.ag.0.dll D:\Basics\Programme\CryptLoad_1.1.4\ocr\rapidshare.com\asmCaptcha\test.exe D:\Basics\Programme\CryptLoad_1.1.4\ocr\netload.in\asmCaptcha\test.exe C:\Dokumente und Einstellungen\Addy\Desktop\avenger.zip C:\Dokumente und Einstellungen\Addy\Desktop\avenger\avenger.exe c:\avenger.txt Folder:: c:\avenger C:\rsit
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 17:47 | #25 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Hier das log Das Cofi gerne meinem mail programm auf den zeiger geht und auch sonst viel löscht habe ich ja bereits gemerkt ;> aber ist es normal dass das programm die anzeige der dateierweiterungen deaktiviert? ! (hat es ja bisher nicht gemacht + !kann ich gar nicht leiden! ) Grüßle Addy |
07.08.2009, 18:02 | #26 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Tja, da musst du nun durch. Mir gefällt das auch nicht. Da sind neue Einträge aufgetaucht. Hast du irgendetwas installiert? 1.) Deinstalliere:
Code:
ATTFilter KILLALL:: File:: c:\windows\system32\drivers\cvldiuhr.sys Driver:: XVU VGUKHFYH evwekv Registry:: [-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk] [-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] [-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=- Folder:: c:\dokume~1\Addy\LOKALE~1\Temp
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? Geändert von john.doe (07.08.2009 um 18:13 Uhr) |
07.08.2009, 18:35 | #27 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Ich habe heute lediglich Bilder ausgemistet und einen großteil gelöscht. Das einzige was ich heute mit ausführbarem code installiert bzw deinstalliert habe war ein animierter bildschirmschoner. Dessen überreste sind allerdings bereits im virtuellen nirvana verschwunden (abgesehen von deinen anweisungen ;>) Gruß Addy p.s. Habe die wichtigsten einstellungen (dateiendungen, versteckte dateien, systemordner anzeigen) wiederhergestellt wurde diesesmal auch nichts wieder verändert (zumindest dass was ich überprüft habe) |
07.08.2009, 19:39 | #28 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Nachtrag Ich lass den rechner seitdem das passwort flöten gegangen ist "unangetastet". Wenn überhaupt merze ich alten kram aus =) Deinstalliere überflüssiges "Uniblue und Stardock gelumpe" hatte genug damit zu tun von nem sauberen system aus sämtliche passwörter zu verändern Infektionsdatum nicht bestimmbar - beschde ! is aber zum glück nichts weiter weggekommen und geändert hab ich nun auch alle ;> ergo nein installiert wurde nichts aber deinstalliert :> Addy |
07.08.2009, 19:45 | #29 | |||
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
Zitat:
Zitat:
Ich brauche nochmal frische RSIT-Logs, damit ich auf dem laufenden bin. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 20:09 | #30 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Sagt dir "AdvertisingCenter" etwas? War in meiner software liste und wurde schon gelöscht. Allerdings hab ich das (bewusst) nie installiert ... Rsit logs im anhang |
Themen zu win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan |
aktive, ccleaner, cleaning, empfehlung, ergebnisse, eset, forum, gelöscht, gmer, löscht, lösung, neustarten, programme, remover, rootkit, rsit, scan, scanner, schädling, suche, system32, virenscan, virenscanner, win, zuviel |