|
Plagegeister aller Art und deren Bekämpfung: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2009, 20:19 | #31 | ||
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
Zitat:
Je mehr Rechner infiziert werden, desto mehr Geld bekommen sie. Einige fallen auf Scareware und Rogue herein und bezahlen für nichts. So läuft das Geschäft. Solange ich Logs lese, kannst du weiterscannen. Mir gefällt dein AVP überhaupt nicht, es erkennt ja so gut wie gar nichts. Mir wäre es lieb, wenn du das zeitweise deinstallierst und stattdessen damit scannst => http://www.trojaner-board.de/54192-a...tellungen.html Kannst danach wieder installieren. Dann noch 1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) http://www.trojaner-board.de/59299-a...eb-cureit.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 21:19 | #32 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan dachte mehr so daran ob dir das installierte insofern was sagt dass du wüsstest was es macht ;>
__________________bin ja leider nicht dein erster fall scanne immo mit Avira "fullscann" cureit habe ich vorbereitet mit dem kaspersky online scanner hab ich immo noch nen problem der will dass ich die activeX elemente für ALLE benutzer installiere (ergo Administrator) ich weiß nicht wie ich dass hinbekommen könnte ohne im abgesicherten modus zu starten - und dann hab ich ja selbst im "mit netzwerktreibern" Modus kein Internet um da irgendwas runterzuladen Als Administrator starten hilft nicht (also den prozess) ... ka sry ;> Gruß Addy |
07.08.2009, 21:34 | #33 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Dann lasse Kaspersky weg, der macht häufiger Ärger und bei den TDSS-Varianten hängt er eh immer zurück. Habe gerade wieder eine Analyse, achte auf Kaspersky und NOD.
__________________Code:
ATTFilter Datei UACymophqiafd.dll.vir empfangen 2009.08.07 20:38:35 (UTC) Status: Beendet Ergebnis: 18/41 (43.91%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.07 Trojan.Win32.FakeCog!IK AhnLab-V3 5.0.0.2 2009.08.07 Win-Trojan/Alureon.20480.B AntiVir 7.9.0.248 2009.08.07 TR/Alureon.20480C.1 Antiy-AVL 2.0.3.7 2009.08.07 - Authentium 5.1.2.4 2009.08.07 - Avast 4.8.1335.0 2009.08.07 Win32:Fasec AVG 8.5.0.406 2009.08.07 - BitDefender 7.2 2009.08.07 - CAT-QuickHeal 10.00 2009.08.07 - ClamAV 0.94.1 2009.08.07 - Comodo 1901 2009.08.07 - DrWeb 5.0.0.12182 2009.08.07 - eSafe 7.0.17.0 2009.08.06 Win32.Metajuan eTrust-Vet 31.6.6665 2009.08.07 Win32/Alureon.AEU F-Prot 4.4.4.56 2009.08.07 - F-Secure 8.0.14470.0 2009.08.07 - Fortinet 3.120.0.0 2009.08.07 - GData 19 2009.08.07 Win32:Fasec Ikarus T3.1.1.64.0 2009.08.07 Trojan.Win32.FakeCog Jiangmin 11.0.800 2009.08.07 - K7AntiVirus 7.10.813 2009.08.07 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.08.07 - McAfee 5701 2009.08.07 - McAfee+Artemis 5701 2009.08.07 Artemis!B91C01DC687B McAfee-GW-Edition 6.8.5 2009.08.07 Trojan.Alureon.20480C.1 Microsoft 1.4903 2009.08.07 Trojan:Win32/Alureon.gen!C NOD32 4316 2009.08.07 - Norman 6.01.09 2009.08.07 - nProtect 2009.1.8.0 2009.08.07 - Panda 10.0.0.14 2009.08.07 Generic Trojan PCTools 4.4.2.0 2009.08.07 - Prevx 3.0 2009.08.07 High Risk Rootkit Rising 21.41.44.00 2009.08.07 - Sophos 4.44.0 2009.08.07 Mal/TDSSPack-A Sunbelt 3.2.1858.2 2009.08.07 FraudTool.Win32.Antivirus2010 (v) Symantec 1.4.4.12 2009.08.07 Trojan.Metajuan TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.07 - VBA32 3.12.10.9 2009.08.07 - ViRobot 2009.8.7.1873 2009.08.07 - VirusBuster 4.6.5.0 2009.08.07 Trojan.Alureon.GHE weitere Informationen File size: 20480 bytes MD5...: b91c01dc687b2984ef4e4f1515ae3ee7 SHA1..: 3bd74815fd9c35977e61f8baa97b04fdf090d9f4 SHA256: a9122a3910802b1ead8d6f00a297f87e6b959550e7424dd86ececdb1184ff57e ssdeep: 384:gzcC4OhnJJM5GkJRGNEsBjYofnUUNWKnY8Kdb4:gzgOhJG5b3GNEslTcLOY8 w4 PEiD..: - TrID..: File type identification Win32 Executable Generic (38.5%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x144b timedatestamp.....: 0x4a6dac34 (Mon Jul 27 13:31:32 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .itext 0x1000 0x5000 0x1000 3.28 7746f36f01baba7e72648d162ba891a0 .lrq1lr 0x6000 0x4000 0x3000 7.89 c4db749f1c034691ee7595a2a682ecb0 .idata 0xa000 0x13f4 0x800 1.36 4be6a1429a8a3ac0bfb4c767d8e9444d .rsrc 0xc000 0x1000 0x400 4.90 c62ad4659b964cb29d7f78d3d13fb291 ( 2 imports ) > kernel32.dll: GetProcAddress, GetProcessVersion, CopyFileA, VirtualProtectEx, ExitProcess > user32.dll: CharUpperA, CheckMenuItem, EmptyClipboard, DeferWindowPos ( 4 exports ) GetAqjmuji, ReadWluwlgj, CloseSgkleair, Nhdhvqrsnxg PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2BEE27F7000A34735027002DDDE82A0039E4E287' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2BEE27F7000A34735027002DDDE82A0039E4E287</a>
__________________ |
07.08.2009, 21:44 | #34 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan ... :S könnte man ja auch einfach irgend nen script laufen lassen das ram für sich beansprucht ;> ich lass ma avira fertig scannen und entscheide dann ob ich "vorsicht scann kann mehrere stunden dauern" noch n paar std im abgesicherten modus verbringe wenn du lustig bist kannst du mir auch gerne sagen mit welchen Virenscannern du (besonders) positive erfahrungen gemacht hast. Um Werbeflames vorzubeugen gerne auch als pm dauerhaft zu wechseln wäre nichts vor dem ich zurückschrecke eher davor selber die scanner zu vergleichen ... zu undurchsichtige werbung zu wenig offener quellcode zu wenig erfahrung :S Gruß Addy |
07.08.2009, 21:54 | #35 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
http://www.trojaner-board.de/453090-post29.html http://www.trojaner-board.de/450548-post5.html http://www.trojaner-board.de/75833-w...erleitung.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 22:18 | #36 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan brain.exe ... was hast du eigentlich alles für scheiß links? und ich hab auch noch fast geglaubt ... man man man http://www.pcfreunde.de/forum/t24886/woher-bekomme-ich-brain-exe/ göttlich lg Addy |
07.08.2009, 22:34 | #37 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
Brain.exe hätte gereicht, aber das läuft irgendwie nicht bei jedem so richtig. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 22:55 | #38 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan Avira hat fertig ... ich habe mir erlaubt die offensichtlichen false positives wiederherzustellen D:\Basics\Programme\CryptLoad_1.1.4\router\FRITZ!Box\nc.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaa9f32.qua' verschoben! Kryptload = Programm um anonym posten / hochladen zu können C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\****\Desktop\avenger\avenger.exe.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae19f3f.qua' verschoben! Avenger hab ich da gelasssen wo er is ... brauch ich atm nicht ;> logfile im anhang /edit dann mal ab in den abgesicherten ... wenns zu lange geht mach ichs morgen (fertig) Gruß Addy Geändert von Genotron (07.08.2009 um 22:57 Uhr) Grund: imbaness ... |
07.08.2009, 23:04 | #39 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 2.) Start => Ausführen => combofix /u => OK ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
08.08.2009, 11:21 | #40 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan naja CureIT braucht wohl noch pi mal daumen 4-5 std zumindest wenns mit der geschwindigkeit weiterscannt ;> bin hier übern sauberes system drin und wollt mal schaun was es neues gibt (zuviel zeit um anderes zu tun) Gruß Addy |
08.08.2009, 12:55 | #41 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan 1.) Lade dir den Anhang auf deinen Desktop => doppelklicke auf Genotron.reg => klicke auf Ja => lösche Genotron.reg. 2.) Lösche die Ordner Code:
ATTFilter C:\rsit C:\WINDOWS\isRS-000.tmp C:\Programme\Desktop Butterflies 3D Screensaver C:\Programme\Panda Security Code:
ATTFilter C:\ComboFix.txt C:\WINDOWS\system32\svchost.exee Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~0 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~1 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~2
Code:
ATTFilter C:\WINDOWS\system32\drivers\anarpokw.sys ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
08.08.2009, 17:21 | #42 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan 1. Gemacht 2. C:\WINDOWS\isRS-000.tmp existiert nicht ich + suche Findet nichts - alle dateien inkl systemdateien werden bereits angezeigt 3. Gemacht 4. Inwiefern kontrollieren? 5. Gemacht 6. Datei existiert nicht curit log im anhang ... 7 lange stunden p.s. Systemwiederherstellung wurde erst Nach dem scann deaktiviert /edit combofix deinstalliert Gruß Addy |
08.08.2009, 17:23 | #43 | |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanZitat:
Deinstalliere DrWeb. Lösche danach den Ordner von DrWeb. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
08.08.2009, 17:42 | #44 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojanCode:
ATTFilter Datenträger in Laufwerk C: ist Lokaler Datenträger Volumeseriennummer: ******** Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 08.08.2009 18:36 <DIR> . 08.08.2009 18:36 <DIR> .. 07.06.2009 23:39 <DIR> {5CB3B214-2971-41B4-93F5-3344A403F942} 07.06.2009 19:04 <DIR> Acronis (true image scripte) 07.08.2009 21:56 <DIR> Avira (viel avira kram ...) 02.07.2009 23:22 <DIR> Installations (teile der software um mein handy mit dem pc zu verbinden) 18.07.2009 09:49 <DIR> Malwarebytes (...) 27.06.2009 20:59 <DIR> Microsoft (viel windows kram ...) 12.07.2009 13:54 <DIR> Microsoft Help (dito) 02.07.2009 23:23 <DIR> Nokia (noch mehr fürs handy) 05.08.2009 19:55 <DIR> Skype (skype profilbilder) 07.06.2009 23:16 <DIR> Windows Genuine Advantage (windows) 08.08.2009 18:36 30 Dateiliste.bat mein script 07.06.2009 19:26 62 desktop.ini 08.08.2009 18:36 0 dateiliste.txt deine datei 3 Datei(en) 92 Bytes 13 Verzeichnis(se), 28.458.983.424 Bytes frei Gruß Addy |
08.08.2009, 17:46 | #45 |
| win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan dr web gelöscht inkl ordner Systemwiederherstellung ist bereits deaktiviert war nu während dem web scann noch an =) Gruß addy |
Themen zu win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan |
aktive, ccleaner, cleaning, empfehlung, ergebnisse, eset, forum, gelöscht, gmer, löscht, lösung, neustarten, programme, remover, rootkit, rsit, scan, scanner, schädling, suche, system32, virenscan, virenscanner, win, zuviel |