Hallo zusammen,

Nachdem sich auf unserem Computer (Windows XP SP3, inzwischen mit Eset NOD32 bestückt, s.u.) einige Probleme angehäuft haben (IE crasht, versch. Programme funktionieren nicht mehr) und zuletzt auch noch Antivir nichtmehr startete, haben wir zwei Aktionen gestartet:

1. c't-Security-CD eingeschmissen, gebootet und versucht mit 3 Virenscannern hintereiander zu prüfen - wieder versagte Antivir den dienst.
Ergebnis: 0 Viren o.ä. gefunden

2. Auf dem System Eset NOD32 installiert und SOFORT den "Win32/Olmarik Trojaner" im Arbeitsspeicher gefunden: "Säubern nicht möglich".

Also im Internet gesucht und auf Eure Seite gestossen (alle anderen waren eher dubioser Natur, scheinbar automatisch übersetzt oder Foreneinträge, in denen die Antworten nicht unbedingt auf Expertise in Sachen Trojaner schließen ließen ("..wie, nur im Arbeitsspeicher? - dann starte doch den Rechner neu, dann isser weg...").

Bei Euch haben wir den Post von xcision vom 7.1.10 gefunden und Hoffnung geschöpft.

Sind Eurer Anleitung gefolgt:
1. CClean ausgeführt
2. Anti-Malware ließ sich nicht installieren - Installerprozess war im Task-Manager sichtbar, aber tat nix (0 byte geschrieben, 0 gelesen... 0,0% CPU)
3. AVZ installiert und 2 Logs genau nach Eurer Anleitung erstellt (siehe Anhang).

Hmm... ob wir jetzt auch so ein schickes Skript wie xcision bekommen *liebschau*?

Würden uns sehr über jegliche Hilfe freuen.

Vielen Dank schon mal und schöne Grüße,
woelfelma

Hallo und

Unser AVZ-Spezi undoreal kann die AVZ-Logs nur auswerten, Du kannst auf ihn warten oder wir machen das mit anderen Tools. Wenn Du Dich für die anderen Tools entscheidest, dann bitte RSIT ausführen und die Logs posten.

Hallo cosinus,

Danke erstmal für die Antwort.
Ja, eigentlich wollten wir nach deinem Post auf undoreal warten weil wir eben die AVZ-Logs schon hatten, wissen aber natürlich nicht, wann undoreal wieder online ist.

Jetzt versuchen wir halt doch mal RSIT zu installieren und dann posten wir die Logs auch noch mal.

Falls zwischenzeitlich undoreal wieder online ist, wären wir natürlich trotzdem für ein Skript von Ihm dankbar :-)

In diesem Sinne bis dann und vielen Dank nochmal,
woelfelma

Hallo,
anbei die Logs von RSIT.
Vielen Dank und hoffentlich viel Erfolg
mfg woelfelma

... so, nun haben wir doch noch ein paar Dinge selbst probiert:
Wir hatten ja diese c't Security-CD rumliegen und haben von dieser noch den "Rootkit Hook Analyzer" und den "Sophos Anti-Rootkit" installiert und laufen lassen.


Ersterer war erfolglos: keine Hooks gefunden, aber der Sophos hat jede Menge "unknown hidden files" gefunden, von denen einige namensmäßig verdächtig ähnlich waren... Habe dann mal nach H8SRT im Internet gesucht und: voila das klingt nach Rootkit. --> Also alles derartige löschen lassen / neu booten.
Erster Erfolg: ESET NOD32 hat nach dem Start keinen Trojaner Olmarik mehr im Speicher finden können.
Dann nochmal Sophos Anti-Rootkit laufen lassen und noch auf 2 Dateien im Systemwiederherstllungsberehc gestoßen, die Sophos wieder als "unknown hidden file" bezeichnet hat, bei deren scan parallel dazu der Echzeit-Virenschutz von ESET NOD32 sofort angeschlagen und wieder irgendwelche Olmariks gefunden hat - diesmal aber gleich "gelöscht und in Quarantäne verschoben"

Nach einem weiteren Lauf und der Löschung aller Windows-Update-Sicherungen (Windows\$NtUpdate....) war dann entgültig alles sauber - zumindest, von dem was wir so beurteilen können.

Anbei nochmal zwei Logs von RSIT zur Sicherheit - könntet Ihr die trotzdem nochmal ansehen, ob jetzt wirklich Ruhe zu sein scheint?

Vielen Dank schon mal und schöne Grüße,
woelfelma

PS: anbei auch noch ein Screenshot von den Sophos-Findings zu der H8SRT-Verseuchung.

Das H8SRT-Rootkit ist bekannt dafür, Virenscanner zu blockieren. Wir hätten den H8SRT aber auch mit nem kleinen Tool (Avenger) wegbekommen.

Nun sollte sich Malwarebytes auch nutzen lassen. Starte Malwarebytes und aktualisiere es, danach einen Vollscan mahcen und alle Funde entfernen.

Zitat:

Zitat von Shirin1001

Hallo Leute ich möchte euch ungern stören doch ich habe ein unendlich großes problem.
ich kenne mich null mit pc´s aus. innerhalb von 2 tagen hatte ich 2 schlimme vieren auf meinen computern einmal auf meinem laptop(der geht nicht mal mehr an) und jetzt auf meinem pc.
auf meinem pc befindet sich ein "win32/olmarik trojaner" habe jetzt versucht einigermasen aus dem was ihr schreibt schlau zu werden.
habe es soweit geschaft, dass ich 2 avz "skripte" habe.
ic mache das jetzt. hoffentlich funktioniert das jetzt auch und wenigstens ist mein pc wieder funktionstüchtig.
ist das virus gefährlich? kann es private dateien oder passwörter entnehmen oder vielleicht schlimmeres?
wie ihr sehen könnt habe ich wirklich keine ahnung - wäre nett wenn mir jemand weiterhelfen könnte.
vielen dank im voraus.
mfg shirin

Halli hallo. Eröffne bitte einen eigenen Thread bzw. lass dich in einen verschieben.. Das wahrt die Übersicht!