Trojaner-Board
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan (https://www.trojaner-board.de/76082-win32-olmarik-ju-trojan-win32-rootkit-agent-odg-trojan.html)

john.doe 08.08.2009 17:55
Es ging nur um die Ordner ~0, ~1 und ~2, aber das waren wohl nur temporäre.

Starte HJT => Do a system scan only => Markiere:
Code:
Alle R0, R1, O8 und O22-Einträge
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
=> Fix checked => Neustart => Neues HJT-Log posten

ciao, andreas

Genotron 08.08.2009 18:11
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:03, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3579 bytes
Gruß Addy

john.doe 08.08.2009 18:51
Hast du WindowsBlinds deinstalliert?

Start => Ausführen => cmd => OK
Code:
sc stop JavaQuickStarterService [Enter]
sc delete JavaQuickStarterService [Enter]
exit [Enter]
ciao, andreas

Genotron 08.08.2009 19:03
nein aber deaktiviert

cmd done

Gruß Addy

john.doe 08.08.2009 19:09
Welches AVP möchtest du denn nun behalten? Für eins musst du dich entscheiden und das andere deinstallieren. Anschliessend Neustart und neues HJT-Log posten.

ciao, andreas

Genotron 08.08.2009 19:44
eset ist bereits deinstalliert ...

dass es sich nicht vollständig entfernt hat habe ich bemerkt und verssucht zu beheben.

um registry u.so. zu editieren habe ich aber nicht genügend know how ;>

/edit

toll vorhin wars dann aus der software liste draußen jetzt isses wieder drin

/edit 2

glaub diesesmal hats alles gelöscht /shutdown


Gruß Addy

john.doe 08.08.2009 19:48
Zitat:
blubb
:D

NOD32 SUPPORT FAQs - How do I remove NOD32?

ciao, andreas

Genotron 08.08.2009 20:02
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:28, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3561 bytes

glaube habs selber hingebogen

gehörte mehr zu fraktion die probleme damit hatte über "Software" das ding loswerden


btw

blubb = bitte lass uns bumsen baby ;>

also nicht zuoft benutzen :D


Gruß addy

/edit jht vergessen

btw dateien von eset sind keine mehr da alles weg ... soll ich die Services raus hijacken?
(missing file ... da is auch nichts mehr )

john.doe 08.08.2009 20:08
Zitat:
soll ich die Services raus hijacken?
Ja. Danach Neustart und neues HJT-Log.

ciao, andreas

Genotron 08.08.2009 20:18
Und abgeschossen =)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:41, on 08.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Addy\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Gruß Addy

john.doe 08.08.2009 20:38
Das Log ist sauber. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen? Hast du die Bezahlversion von Malwarebytes?

Irgendwie habe ich bei der Kiste ein schlechtes Gefühl. Poste bitte noch das Log von Gmer => http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

Genotron 08.08.2009 21:12
Ja habe ich (mir für das problem von meinem Besten Freund geliehen)
da ich mit dem programm bei der letzten kontamination gute erfahrungen gemacht hatte.
werde ich nach abschluss der behandlung wieder downgraden :)


Auffälligkeiten? ja ! läuft deutlich besser, schneller, lagfreier =)

hoffe dein Gefühl trügt dich ;>


Gruß Addy


/edit wasn aw4bhtnv.SYS ?

john.doe 08.08.2009 21:22
Start => Ausführen => c:\windows\gmer_uninstall.cmd => OK
Zitat:
wasn aw4bhtnv.SYS ?
Ein Rootkit, hast du dir aber selber installiert. Gehört zu Daemon Tools, Alcohol und ähnlichen Konsorten.
Zitat:
mir für das problem von meinem Besten Freund geliehen
Auch wenn sich das widersprüchlich anhört, die ist schlechter als die frei erhältliche. Die installiert einen Wächter, der völlig nutzlos ist, aber Unmengen an Ressourcen verbrät. :) Da kannst du dir genauso gut das Stardock- und Unibluegelumpe installieren. Hat den selben Effekt, Rechner wird lahm. :D
Zitat:
Auffälligkeiten? ja ! läuft deutlich besser, schneller, lagfreier =)
Du bist entlassen. :)

ciao, andreas

Genotron 08.08.2009 21:37
Wüsste garnicht wie ich dir danken kann =)

gehr warscheinlich auch garnicht :D


gib mir noch hierrauf ne antwort und ich bin glücklich ;>

http://www.trojaner-board.de/75447-kann-man-sich-einfach-bedanken.html

oder verlink wieder auf 20 andere threads in denen das alles schonmal jmd gefragt hat :D


Gruß Addy

john.doe 08.08.2009 21:47
Nope, du bist der erste. :)
Zitat:
Was treibt euch an ?
Altruismus, Spaß am Schädlinge erkunden und killen, Spaß am Lehren und ab und zu gibt es sogar Leute, die sich bedanken. :)
Zitat:
Üben, damit man eine eventuelle eigene Infektion möglichst gut übersteht?
Dann wären wir hier falsch. Klicke auf die letzten beiden Links in meiner Signatur. Der Trick ist, das Zeug erst gar nicht auf den Rechner zu lassen. Selbst wenn man es auf dem Rechner hat, ist es erst dann gefährlich, wenn es gestartet wird. ;)

Trotz Ablehnung der breiten "wissenden" Masse geht das auch ohne jedes "Sicherheitsprogramm". Man muss sich nur strikt an die Regeln halten.

Und falls ich mich absichtlich infizieren muss, dann spiele ich halt mein Image zurück. Das dauert weniger als 2 Minuten, anschliessend ein paar Programme neu installieren ist in weniger als einer Stunde gemacht. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:09 Uhr.
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131