Servus erstmal ;>

Das rootkit sitzt im Arbeitsspeicher und der andere schädling unter globalroot\...
mittlerweile bemerkt die beiden auch mein Virenscanner ESET32
darauf gestoßen bin ich leider erst dadurch dass jmd zuviel eins meiner passworte kannte :S

leider zeigen sich auch beide recht resistent gegen behandlungsmaßnahmen
wobei ich leider auch zugeben muss dass ich nicht mal den hauch einer ahnung habe wie ich etwas im Arbeitsspeicher "killen" könnte :>

aber dafür gibts ja euch :)

04.08.2009 Startup scanner operating memory Operating memory Win32/Rootkit.Agent.ODG trojan unable to clean ***\***

04.08.2009 Startup scanner file \\?\globalroot\systemroot\system32\hjgruivjgkiplh.dll Win32/Olmarik.JU trojan error while cleaning ***\***

genug der einleitung - fakten =)

Suchfunktion
Die meißten "brauchbaren" ergebnisse laufen auf eine MAM empfehlung hinaus
win32/olmarik.ju.trojan findet MAM auch löscht ihn und dann isser nach dem neustarten wieder da =)
win32/rootkit.agent.odg.trojan wird nichtmal aufgespürt
Ansonsten versagt noch
Loaris Trojan remover und Eset32.

was ich jetzt für euch gemacht habe ist
1. CCleaner durchlaufen lassen
2. Einen weiteren MAM scann (wieder gefunden gelöscht und wieder da ^^)
3. Rsit durchgejagt
4. GMER scann gemacht da es in vielen anderen Threads hier im Forum dem Moderator geholfen hat die lösung zu finden :>

alle scanns wurden ohne aktive programme gemacht ;>
zensiert habe ich alles was ich finden konnte ;>
logs gibts im anhang... :daumenhoc

Viel spaß beim suchen ;>
Und ein DICKES Danke im vorraus

Grüßle Addy

"/edit" nur 4 anhänge a 90kb? z z z

dritter teil des gesplitteten GMER logs ;>

Grüßle Addy

Hallo und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix.

Es fehlt noch die info.txt von RSIT.

Start => Ausführen => c:\rsit\info.txt => OK

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ich habe mich fürs reparieren entschieden und nach anleitung nochmal CCleaner laufen lassen.
Anschließend dann "cofi"

sieht auf jedenfall gleich freundlicher aus ohne viren meldungen beim hochfahren :aplaus:
;>

und abgesehen von den beiden plagegeistern bei denen cofi ordentlich dateien gelöscht hat, hat das programm noch etwas suspektes aus meinen firefox plugins gelöscht.

Der gute junge startet auch wieder schneller (wobei das bei mir 4-5 sec sind ^^)

Logs sind wieder im anhang

p.s. Ich habe versucht euch die sache so einfach wie möglich zu machen
(also nach tutorial http://www.trojaner-board.de/69886-a...-beachten.html)
allerdings hat mich RSIT nur auf das logfile hingewiesen.
Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen ;>


Grüße Addy


/edit und Hey verdammt schnelle antworten gibts hier =)

Zitat:

Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen

• Wenn der Scan beendet ist, werden zwei Logfiles in C:\rsit erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und >>> C:\rsit\info.txt <<< (wird in die Taskleiste minimiert) in Deinen Thread.

Zitat:

Acronis*True*Image*Home

Warum spielst du nicht einfach ein sauberes Image zurück, ist Minutensache oder läuft es nur um den Rechner auszubremsen.

Zitat:

C:\Programme\TypingMaster\quickphrase\quickphrase.exe

Was'n'das?

1.) Deinstalliere:

• Loaris Trojan Remover 1.1
• Skype™ 3.2
• SuperAntiSpyware
• ThreatExpert Memory Scanner 1.0
• Vuze (Virenschleuder)
• ZoneAlarm Pro

Das Uniblue- und Stardockgelumpe ist mir auch ein Dorn im Auge.

2.) Installiere:

• Die offizielle Skype-Website ? Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe

3.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\svchost.exee
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html
Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
vqaabafw
vsmon
AcrSch2SvcAlerter
ZJPFCH

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Malwarebytes' Anti-Malware"=-
"ZoneAlarm Client"=-
"MSConfig"=-
"MSxmlHpr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"QuickPhrase"=C:\Programme\TypingMaster\quickphrase\quickphrase.exe [2007-08-03 638992]
"Loaris Trojan Remover"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSxmlHpr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Services]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Vuze\Azureus.exe"=-
"C:\WINDOWS\system32\rundll32.exe"=-
""=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
C:\rsit
C:\Programme\Loaris Trojan Remover
C:\Programme\ThreatExpert Memory Scanner
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\Azureus

Files::
C:\WINDOWS\system32\RENA699.tmp
c:\windows\system32\zllictbl.dat
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

DirLook::
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\UseNeXT

FileLook::
c:\windows\GPCIDrv.sys
c:\windows\system32\drivers\GVTDrv.sys
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Den Wald vor lauter Bäu... egal

True Image is wirklich ne gute sache - leider hatte ich die letzten monate Abi Prüfungsstress und dementsprechend alt sind leider auch meine sicherungen.
Hab meinen Pc schwer vernachlässigen müssen

Quickphrase is der rattenschwanz von TypingMaster
Ich mache quickphrase immer dann an wenn ich irgend nen Text in word o.ä. schreibe und wenn ich fertig bin analysiert das programm das ganze und gibt mir dann tipps wie ich meine 10 finger noch schneller bewegen kann.

welche tasten treffe ich überdurchschnittlich oft falsch usw.
ergo
TypingMaster = Programm zum erlernen oder trainieren des 10 Finger systems
Quickphrase = Keyboard monitor



1.) Deinstalliere:

* Loaris Trojan Remover 1.1
* Skype™ 3.2
* SuperAntiSpyware
* ThreatExpert Memory Scanner 1.0
* Vuze (Virenschleuder)
* ZoneAlarm Pro

Gemacht

Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet

Stardock zeugs auf das eingeschränkt was ich benutze

2.) Skype Installiert

3. ) svchost.exee hochgeladen

4.) cofi script vorbereitet ergebniss wird asap gepostet


Gruß Addy =)