win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan

john.doe · 08.08.2009, 17:55

Es ging nur um die Ordner ~0, ~1 und ~2, aber das waren wohl nur temporäre.

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O8 und O22-Einträge
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

=> Fix checked => Neustart => Neues HJT-Log posten

ciao, andreas

Genotron · 08.08.2009, 18:11

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:03, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3579 bytes

Gruß Addy

john.doe · 08.08.2009, 18:51

Hast du WindowsBlinds deinstalliert?

Start => Ausführen => cmd => OK

Code:

ATTFilter

sc stop JavaQuickStarterService [Enter]
sc delete JavaQuickStarterService [Enter]
exit [Enter]

ciao, andreas

Genotron · 08.08.2009, 19:03

nein aber deaktiviert

cmd done

Gruß Addy

john.doe · 08.08.2009, 19:09

Welches AVP möchtest du denn nun behalten? Für eins musst du dich entscheiden und das andere deinstallieren. Anschliessend Neustart und neues HJT-Log posten.

ciao, andreas

Genotron · 08.08.2009, 19:44

eset ist bereits deinstalliert ...

dass es sich nicht vollständig entfernt hat habe ich bemerkt und verssucht zu beheben.

um registry u.so. zu editieren habe ich aber nicht genügend know how ;>

/edit

toll vorhin wars dann aus der software liste draußen jetzt isses wieder drin

/edit 2

glaub diesesmal hats alles gelöscht /shutdown

Gruß Addy

john.doe · 08.08.2009, 19:48

Zitat:

blubb

NOD32 SUPPORT FAQs - How do I remove NOD32?

ciao, andreas

Genotron · 08.08.2009, 20:02

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:28, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3561 bytes

glaube habs selber hingebogen

gehörte mehr zu fraktion die probleme damit hatte über "Software" das ding loswerden

btw

blubb = bitte lass uns bumsen baby ;>

also nicht zuoft benutzen

Gruß addy

/edit jht vergessen

btw dateien von eset sind keine mehr da alles weg ... soll ich die Services raus hijacken?
(missing file ... da is auch nichts mehr )

john.doe · 08.08.2009, 20:08

Zitat:

soll ich die Services raus hijacken?

Ja. Danach Neustart und neues HJT-Log.

ciao, andreas

Genotron · 08.08.2009, 20:18

Und abgeschossen =)

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:41, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Gruß Addy

john.doe · 08.08.2009, 20:38

Das Log ist sauber. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen? Hast du die Bezahlversion von Malwarebytes?

Irgendwie habe ich bei der Kiste ein schlechtes Gefühl. Poste bitte noch das Log von Gmer => http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

Genotron · 08.08.2009, 21:12

Ja habe ich (mir für das problem von meinem Besten Freund geliehen)
da ich mit dem programm bei der letzten kontamination gute erfahrungen gemacht hatte.
werde ich nach abschluss der behandlung wieder downgraden

Auffälligkeiten? ja ! läuft deutlich besser, schneller, lagfreier =)

hoffe dein Gefühl trügt dich ;>

Gruß Addy

/edit wasn aw4bhtnv.SYS ?

john.doe · 08.08.2009, 21:22

Start => Ausführen => c:\windows\gmer_uninstall.cmd => OK

Zitat:

wasn aw4bhtnv.SYS ?

Ein Rootkit, hast du dir aber selber installiert. Gehört zu Daemon Tools, Alcohol und ähnlichen Konsorten.

Zitat:

mir für das problem von meinem Besten Freund geliehen

Auch wenn sich das widersprüchlich anhört, die ist schlechter als die frei erhältliche. Die installiert einen Wächter, der völlig nutzlos ist, aber Unmengen an Ressourcen verbrät.

Da kannst du dir genauso gut das Stardock- und Unibluegelumpe installieren. Hat den selben Effekt, Rechner wird lahm.

Zitat:

Auffälligkeiten? ja ! läuft deutlich besser, schneller, lagfreier =)

Du bist entlassen.

ciao, andreas

Genotron · 08.08.2009, 21:37

Wüsste garnicht wie ich dir danken kann =)

gehr warscheinlich auch garnicht

gib mir noch hierrauf ne antwort und ich bin glücklich ;>

http://www.trojaner-board.de/75447-kann-man-sich-einfach-bedanken.html

oder verlink wieder auf 20 andere threads in denen das alles schonmal jmd gefragt hat

Gruß Addy

john.doe · 08.08.2009, 21:47

Nope, du bist der erste.

Zitat:

Was treibt euch an ?

Altruismus, Spaß am Schädlinge erkunden und killen, Spaß am Lehren und ab und zu gibt es sogar Leute, die sich bedanken.

Zitat:

Üben, damit man eine eventuelle eigene Infektion möglichst gut übersteht?

Dann wären wir hier falsch. Klicke auf die letzten beiden Links in meiner Signatur. Der Trick ist, das Zeug erst gar nicht auf den Rechner zu lassen. Selbst wenn man es auf dem Rechner hat, ist es erst dann gefährlich, wenn es gestartet wird.

Trotz Ablehnung der breiten "wissenden" Masse geht das auch ohne jedes "Sicherheitsprogramm". Man muss sich nur strikt an die Regeln halten.

Und falls ich mich absichtlich infizieren muss, dann spiele ich halt mein Image zurück. Das dauert weniger als 2 Minuten, anschliessend ein paar Programme neu installieren ist in weniger als einer Stunde gemacht.

ciao, andreas

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan

Plagegeister aller Art und deren Bekämpfung: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan