Trojaner-Board - win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan (https://www.trojaner-board.de/76082-win32-olmarik-ju-trojan-win32-rootkit-agent-odg-trojan.html)

Code:

Datei bhjlxduuwq.exe empfangen 2009.08.05 23:09:55 (UTC)

Status:    Beendet 

Ergebnis: 18/41 (43.91%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.24        2009.08.05        Packed.Win32.Krap!IK

AhnLab-V3        5.0.0.2        2009.08.05        Win-Trojan/Runner.31488

AntiVir        7.9.0.240        2009.08.05        TR/Runner.PX

Antiy-AVL        2.0.3.7        2009.08.05        Trojan/Win32.Runner.gen

Authentium        5.1.2.4        2009.08.05        -

Avast        4.8.1335.0        2009.08.05        Win32:Spyware-gen

AVG        8.5.0.406        2009.08.05        Win32/Cryptor

BitDefender        7.2        2009.08.06        -

CAT-QuickHeal        10.00        2009.08.05        -

ClamAV        0.94.1        2009.08.05        -

Comodo        1879        2009.08.06        -

DrWeb        5.0.0.12182        2009.08.05        -

eSafe        7.0.17.0        2009.08.05        Suspicious File

eTrust-Vet        31.6.6660        2009.08.05        -

F-Prot        4.4.4.56        2009.08.05        -

F-Secure        8.0.14470.0        2009.08.05        -

Fortinet        3.120.0.0        2009.08.05        -

GData        19        2009.08.06        Win32:Spyware-gen 

Ikarus        T3.1.1.64.0        2009.08.05        Packed.Win32.Krap

Jiangmin        11.0.800        2009.08.05        -

K7AntiVirus        7.10.811        2009.08.05        -

Kaspersky        7.0.0.125        2009.08.06        Packed.Win32.Krap.s

McAfee        5699        2009.08.05        -

McAfee+Artemis        5699        2009.08.05        Artemis!5B7AF02CED03

McAfee-GW-Edition        6.8.5        2009.08.06        Trojan.Runner.PX

Microsoft        1.4903        2009.08.04        TrojanSpy:Win32/Bebloh.A

NOD32        4310        2009.08.05        -

Norman        6.01.09        2009.08.05        -

nProtect        2009.1.8.0        2009.08.05        -

Panda        10.0.0.14        2009.08.05        Suspicious file

PCTools        4.4.2.0        2009.08.05        -

Prevx        3.0        2009.08.06        High Risk Cloaked Malware

Rising        21.41.24.00        2009.08.05        -

Sophos        4.44.0        2009.08.05        Mal/EncPk-JO

Sunbelt        3.2.1858.2        2009.08.05        Bulk Trojan

Symantec        1.4.4.12        2009.08.06        -

TheHacker        6.3.4.3.377        2009.08.05        -

TrendMicro        8.950.0.1094        2009.08.05        -

VBA32        3.12.10.9        2009.08.05        -

ViRobot        2009.8.5.1869        2009.08.05        -

VirusBuster        4.6.5.0        2009.08.05        Trojan.Runner.EY

weitere Informationen

File size: 31488 bytes

MD5...: 5b7af02ced03ed2f0cb358a3fb1a248d

SHA1..: 48e6ee56984df873b5dbdafa29486cb2e6a841bd

SHA256: e9e3b84787bae717b8890805e2fac13ccc57c65898179b5d80bfcae2e8e5c90e

ssdeep: 768:6IHp0HsfWxj7d1vHp0QDltlCmBawjLmoIB6ZgksowQsALK:r0MfWdDpT5tAw

3m7M3Ps+K

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable MS Visual C++ 4.x (85.8%)

Win32 Executable Generic (5.4%)

Win32 Dynamic Link Library (generic) (4.8%)

Win16/32 Executable Delphi generic (1.3%)

Generic Win/DOS Executable (1.2%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x66d8

timedatestamp.....: 0x47d7b1a6 (Wed Mar 12 10:34:14 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5bd8 0x5c00 7.94 85686c5d3b82907422d1341f967e0072

.rdata 0x7000 0x9dd 0xa00 6.55 842c1c66147fe5d01faa4b477fbcd90a

.data 0x8000 0x1d523 0x800 5.81 1cda33900ccdc8fb9a5fe2ffff671813

.reloc 0x26000 0x79e 0x800 6.51 3a7c10e794a4297cfe5ab77c2c90a630
 

( 2 imports ) 

> KERNEL32.dll: GetModuleHandleA, GetLastError, GetCommandLineA, ExitProcess, GetModuleFileNameA, LoadLibraryA, GetVersion, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, SetTermsrvAppInstallMode

> MSVCRT.dll: strtoul, _getcwd, memcmp, _splitpath, _wfullpath, realloc, wcsncat, strcpy, fclose, _access, __mb_cur_max, _beginthread, srand
 

( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set

-

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4</a>

packers (Antiy-AVL): Armadillo 1.71

Da hast du deinen Passwortstehler:

Code:

Datei msxm192z.dll empfangen 2009.08.05 23:18:53 (UTC)

Status:    Beendet 

Ergebnis: 15/41 (36.59%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.24        2009.08.05        -

AhnLab-V3        5.0.0.2        2009.08.05        -

AntiVir        7.9.0.240        2009.08.05        TR/Agent.Bongler.B

Antiy-AVL        2.0.3.7        2009.08.05        -

Authentium        5.1.2.4        2009.08.05        W32/Bongler-based!Maximus

Avast        4.8.1335.0        2009.08.05        -

AVG        8.5.0.406        2009.08.05        -

BitDefender        7.2        2009.08.06        -

CAT-QuickHeal        10.00        2009.08.05        -

ClamAV        0.94.1        2009.08.05        -

Comodo        1879        2009.08.06        -

DrWeb        5.0.0.12182        2009.08.06        Trojan.NtRootKit.origin

eSafe        7.0.17.0        2009.08.05        -

eTrust-Vet        31.6.6660        2009.08.05        -

F-Prot        4.4.4.56        2009.08.05        W32/Bongler-based!Maximus

F-Secure        8.0.14470.0        2009.08.05        Trojan-GameThief.Win32.OnLineGames.bmoi

Fortinet        3.120.0.0        2009.08.05        PossibleThreat

GData        19        2009.08.06        -

Ikarus        T3.1.1.64.0        2009.08.05        -

Jiangmin        11.0.800        2009.08.05        -

K7AntiVirus        7.10.811        2009.08.05        -

Kaspersky        7.0.0.125        2009.08.06        Trojan-GameThief.Win32.OnLineGames.bmoi

McAfee        5699        2009.08.05        -

McAfee+Artemis        5699        2009.08.05        Artemis!62367F4BDB91

McAfee-GW-Edition        6.8.5        2009.08.06        Heuristic.LooksLike.Trojan.Agent.Bongler.P

Microsoft        1.4903        2009.08.04        -

NOD32        4310        2009.08.05        -

Norman        6.01.09        2009.08.05        -

nProtect        2009.1.8.0        2009.08.05        Trojan/W32.Agent.28672.WT

Panda        10.0.0.14        2009.08.05        Suspicious file

PCTools        4.4.2.0        2009.08.05        -

Prevx        3.0        2009.08.06        Medium Risk Malware

Rising        21.41.24.00        2009.08.05        -

Sophos        4.44.0        2009.08.05        Mal/Behav-170

Sunbelt        3.2.1858.2        2009.08.05        Bulk Trojan

Symantec        1.4.4.12        2009.08.06        Trojan Horse

TheHacker        6.3.4.3.377        2009.08.05        -

TrendMicro        8.950.0.1094        2009.08.05        -

VBA32        3.12.10.9        2009.08.05        -

ViRobot        2009.8.5.1869        2009.08.05        -

VirusBuster        4.6.5.0        2009.08.05        -

weitere Informationen

File size: 28672 bytes

MD5...: 62367f4bdb91484922fa68e71aa0faf0

SHA1..: fd7a7216637abc19747844bf5a24a2dd450c54c5

SHA256: 13b0e58d943a285ea02aabbede23094e088850535a594e0a802e442221c50d5d

ssdeep: 192:igeTC+SRnvgu+lGXhGc/1L4qIvLHZ6qmbqN11IOHO+kKpOYfyCyd:igeTzSR

noat/1NqLgq1NblkKMYqC

PEiD..: Armadillo v1.xx - v2.xx

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x2d5d

timedatestamp.....: 0x4a70f454 (Thu Jul 30 01:16:04 2009)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1e46 0x2000 6.33 50d70248fe66e1358fba153ef4c59b33

.rdata 0x3000 0x53e 0x1000 2.05 719c95acc2d120fa6f852de848b415d6

.data 0x4000 0x297c 0x1000 0.70 bfd86f6a11db6626b01ccfc964d72fdf

.rsrc 0x7000 0x360 0x1000 0.89 fe6ce800a07b99c2dc4d0fbac860a475

.reloc 0x8000 0x20e 0x1000 0.92 9b9074a30d65916f49ae4a3970497892
 

( 5 imports ) 

> KERNEL32.dll: CloseHandle, GetCurrentProcess, CreateThread, GetSystemInfo, GetTempPathA, Sleep, lstrcmpiA, GetVersionExA, GetModuleHandleA, GetProcAddress, GetModuleFileNameA

> USER32.dll: GetSystemMetrics, CallNextHookEx, DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, wsprintfA, CharLowerA

> ADVAPI32.dll: RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey

> MSVCRT.dll: _initterm, _adjust_fdiv, _stricmp, _splitpath, malloc, free, sprintf, atoi, strchr, strncmp, _except_handler3, strstr

> WS2_32.dll: -, -, -, -, -, -, -, -, -
 

( 3 exports ) 

AR, GetVer, w

PDFiD.: -

RDS...: NSRL Reference Data Set

-

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2</a>

Die haben ein gefälschtes Datum, die verstecken sich zwischen den Installationsdateien und sind im Filelisting so gut wie nicht auszumachen. Zudem lässt sich nicht ermitteln, wann genau die Infektion stattgefunden hat. :(

ciao, andreas

Edit:
Das hier würde ich ganz schnell aus den Favoriten verschwinden lassen:

Zitat:

Verzeichnis von C:\Dokumente und Einstellungen\Addy\Favoriten
14.07.2009 10:58 122 Serials & keys - unlocks the world.URL

diesmal hat panda fertiggescannt (komplett)

weitergeleitet zur zusammenfassung
die war kurz da (mit dem mehr oder weniger lustigen bruce-gesicht)
und dann hat sich firefox verabschiedet =)

die seite mit den ergebnissen krieg ich nicht wiederhergestellt :/

3 1/2 std hat er nun gebraucht

ich hau mich hin, auch ne eule braucht schlaf ;>

p.s. wie krieg ich die leecher nun endgültig vom rechner?
die zeigen sich beide recht reproduktionsfreudig... :S

lg Addy

hab jetzt nochmal versucht panda durchlaufen zu lassen.
Hat komplett gescannt und dann firefox aufgehängt

hab mich bei der seite aber mal registriert
und dass hat sie sich von dem scann gestern nacht noch gemerkt ...
h*tp://img146.imageshack.us/i/pandac.jpg/
damit weiß ich wenigstens dass ich nichts weiß =)

Gruß Addy

der Firefox absturz über den panda scann nach beendigen desselben ist problemlos reproduzierbar...

Das 19 gefunden wurden ist schön und gut, ich brauche aber Namen und Pfade. :(

Hast du denn zumindest den Pfad, bei dem Panda abstürzt? Dann kopiere den Ordner auf einen externen Datenträger und lösche den Ordner.

Oder teste das Ganze mit dem MSIE, dafür ist er ja zu Gebrauchen.

ciao, andreas

er stürzt erst ab wenn er den scann beendet hat

d.h. 100% -> weiterleitung zur zusammenfassung *bum*

ie werd ich asap ausprobieren

hab heute aber keine 3 1/2 std mehr :D

Dann halt morgen, bin aber erst abends wieder on.

ciao, andreas

Hat mit dem IE geklappt log ist im anhang.

Jetzt nerft noch svchost.exe

06.08.2009 11:16:39 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026875.exe a variant of Win32/Injector.TW trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

msxm192z.dll mein toller keylogger

und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden.

Gruß Addy

p.s. Prevx findet nur noch meinen Keylogger (will den aber ohne lizenz aber auch nicht entfernen :D)

Zitat:

und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden.

Das sind kleine Textdateien, die völlig ungefährlich sind und nur Surfverhalten protokollieren. Simple Datenträgerbereinigung oder entsprechende Browsereinstellungen löschen die automatisch.

Die meisten Funde sind in der Systemwiederherstellung.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere Panda Active Scan.

3.) Start => Ausführen => combofix /u => OK

4.) Lade dir ein neues ComboFix auf deinen Desktop.

5.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

File::

C:\WINDOWS\system32\msxm192z.dll

C:\WINDOWS\system32\RENA699.tmp

c:\windows\system32\zllictbl.dat

c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rapidbolt.com.dll

D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rs.dr.ag.0.dll  

D:\Basics\Programme\CryptLoad_1.1.4\ocr\rapidshare.com\asmCaptcha\test.exe

D:\Basics\Programme\CryptLoad_1.1.4\ocr\netload.in\asmCaptcha\test.exe

C:\Dokumente und Einstellungen\Addy\Desktop\avenger.zip

C:\Dokumente und Einstellungen\Addy\Desktop\avenger\avenger.exe

c:\avenger.txt
 

Folder::

c:\avenger

C:\rsit

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier das log :)

Das Cofi gerne meinem mail programm auf den zeiger geht und auch sonst viel löscht habe ich ja bereits gemerkt ;>

aber ist es normal dass das programm die anzeige der dateierweiterungen deaktiviert? !
(hat es ja bisher nicht gemacht + !kann ich gar nicht leiden! :D)

Grüßle Addy

Tja, da musst du nun durch. Mir gefällt das auch nicht. Da sind neue Einträge aufgetaucht. Hast du irgendetwas installiert?

1.) Deinstalliere:

PrevxCSI
Panda Online Scan

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

File::

c:\windows\system32\drivers\cvldiuhr.sys
 

Driver::

XVU

VGUKHFYH

evwekv
 

Registry::

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-
 

Folder::

c:\dokume~1\Addy\LOKALE~1\Temp

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Ich habe heute lediglich Bilder ausgemistet und einen großteil gelöscht.

Das einzige was ich heute mit ausführbarem code installiert bzw deinstalliert habe war ein animierter bildschirmschoner.
Dessen überreste sind allerdings bereits im virtuellen nirvana verschwunden

(abgesehen von deinen anweisungen ;>)

Gruß Addy

p.s. Habe die wichtigsten einstellungen (dateiendungen, versteckte dateien, systemordner anzeigen) wiederhergestellt

wurde diesesmal auch nichts wieder verändert
(zumindest dass was ich überprüft habe)

Nachtrag

Ich lass den rechner seitdem das passwort flöten gegangen ist "unangetastet".

Wenn überhaupt merze ich alten kram aus =)
Deinstalliere überflüssiges
"Uniblue und Stardock gelumpe" :)

hatte genug damit zu tun von nem sauberen system aus sämtliche passwörter zu verändern :)
Infektionsdatum nicht bestimmbar - beschde ! :D
is aber zum glück nichts weiter weggekommen und geändert hab ich nun auch alle ;>

ergo nein installiert wurde nichts aber deinstalliert :>

Addy

Zitat:

Deinstalliere überflüssiges "Uniblue und Stardock gelumpe"

Jede Wette, der Rechner ist jetzt deutlich schneller.

Zitat:

Infektionsdatum nicht bestimmbar - beschde !

Spielt eh keine Rolle, die arbeiten mit gefälschten Daten, ein Filelisting ist nutzlos.

Zitat:

ergo nein installiert wurde nichts aber deinstalliert

OK, das erklärt dann einiges.

Ich brauche nochmal frische RSIT-Logs, damit ich auf dem laufenden bin.

ciao, andreas

Sagt dir "AdvertisingCenter" etwas?

War in meiner software liste und wurde schon gelöscht.
Allerdings hab ich das (bewusst) nie installiert ...

Rsit logs im anhang