win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
 

Servus erstmal ;>

Das rootkit sitzt im Arbeitsspeicher und der andere schädling unter globalroot\...
mittlerweile bemerkt die beiden auch mein Virenscanner ESET32
darauf gestoßen bin ich leider erst dadurch dass jmd zuviel eins meiner passworte kannte :S

leider zeigen sich auch beide recht resistent gegen behandlungsmaßnahmen
wobei ich leider auch zugeben muss dass ich nicht mal den hauch einer ahnung habe wie ich etwas im Arbeitsspeicher "killen" könnte :>

aber dafür gibts ja euch :)

04.08.2009 Startup scanner operating memory Operating memory Win32/Rootkit.Agent.ODG trojan unable to clean ***\***

04.08.2009 Startup scanner file \\?\globalroot\systemroot\system32\hjgruivjgkiplh.dll Win32/Olmarik.JU trojan error while cleaning ***\***

genug der einleitung - fakten =)

Suchfunktion
Die meißten "brauchbaren" ergebnisse laufen auf eine MAM empfehlung hinaus
win32/olmarik.ju.trojan findet MAM auch löscht ihn und dann isser nach dem neustarten wieder da =)
win32/rootkit.agent.odg.trojan wird nichtmal aufgespürt
Ansonsten versagt noch
Loaris Trojan remover und Eset32.

was ich jetzt für euch gemacht habe ist
1. CCleaner durchlaufen lassen
2. Einen weiteren MAM scann (wieder gefunden gelöscht und wieder da ^^)
3. Rsit durchgejagt
4. GMER scann gemacht da es in vielen anderen Threads hier im Forum dem Moderator geholfen hat die lösung zu finden :>

alle scanns wurden ohne aktive programme gemacht ;>
zensiert habe ich alles was ich finden konnte ;>
logs gibts im anhang... :daumenhoc

Viel spaß beim suchen ;>
Und ein DICKES Danke im vorraus

Grüßle Addy

"/edit" nur 4 anhänge a 90kb? z z z

dritter teil des gesplitteten Gmer logs ;>

Grüßle Addy

Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix.

Es fehlt noch die info.txt von RSIT.

Start => Ausführen => c:\rsit\info.txt => OK

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ich habe mich fürs reparieren entschieden und nach anleitung nochmal CCleaner laufen lassen.
Anschließend dann "cofi"

sieht auf jedenfall gleich freundlicher aus ohne viren meldungen beim hochfahren :aplaus:
;>

und abgesehen von den beiden plagegeistern bei denen cofi ordentlich dateien gelöscht hat, hat das programm noch etwas suspektes aus meinen firefox plugins gelöscht.

Der gute junge startet auch wieder schneller (wobei das bei mir 4-5 sec sind ^^)

Logs sind wieder im anhang :)

p.s. Ich habe versucht euch die sache so einfach wie möglich zu machen
(also nach tutorial http://www.trojaner-board.de/69886-a...-beachten.html)
allerdings hat mich Rsit nur auf das logfile hingewiesen.
Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen ;>


Grüße Addy


/edit und Hey verdammt schnelle antworten gibts hier =)

• Wenn der Scan beendet ist, werden zwei Logfiles in C:\rsit erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und >>> C:\rsit\info.txt <<< (wird in die Taskleiste minimiert) in Deinen Thread.

Warum spielst du nicht einfach ein sauberes Image zurück, ist Minutensache oder läuft es nur um den Rechner auszubremsen. ;)
Was'n'das?

1.) Deinstalliere:

• Loaris Trojan Remover 1.1
• Skype™ 3.2
• SuperAntiSpyware
• ThreatExpert Memory Scanner 1.0
• Vuze (Virenschleuder)
• ZoneAlarm Pro

Das Uniblue- und Stardockgelumpe ist mir auch ein Dorn im Auge.

2.) Installiere:

• Die offizielle Skype-Website ? Skype jetzt kostenlos herunterladen für kostenlose Anrufe und Internetanrufe

3.) Lade die Datei
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html
Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Den Wald vor lauter Bäu... egal

True Image is wirklich ne gute sache - leider hatte ich die letzten monate Abi Prüfungsstress und dementsprechend alt sind leider auch meine sicherungen.
Hab meinen Pc schwer vernachlässigen müssen :(

Quickphrase is der rattenschwanz von TypingMaster
Ich mache quickphrase immer dann an wenn ich irgend nen Text in word o.ä. schreibe und wenn ich fertig bin analysiert das programm das ganze und gibt mir dann tipps wie ich meine 10 finger noch schneller bewegen kann.

welche tasten treffe ich überdurchschnittlich oft falsch usw.
ergo
TypingMaster = Programm zum erlernen oder trainieren des 10 Finger systems
Quickphrase = Keyboard monitor



1.) Deinstalliere:

* Loaris Trojan Remover 1.1
* Skype™ 3.2
* SuperAntiSpyware
* ThreatExpert Memory Scanner 1.0
* Vuze (Virenschleuder)
* ZoneAlarm Pro

Gemacht

Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet :confused:

Stardock zeugs auf das eingeschränkt was ich benutze

2.) Skype Installiert

3. ) svchost.exee hochgeladen

4.) cofi script vorbereitet ergebniss wird asap gepostet


Gruß Addy =)

Wie? Bei welcher Aktion genau?

ciao, andreas

Eine verlinkte Webseite (link durch dreiste popup werbung - "fake" schließen button) hat versucht 2 firefox plugins zu modifizieren

Zal hat mich drauf hingewiesen das die webseite das versucht und die aktion blockiert


glaub damals haben knapp ein drittel der benutzer dieses forums ihren pc neu aufgesetzt weil das ding anscheinend echt so bösartig war.
bzw das was firefox dann munter runtergeladen hat
habs selber aber nicht getestet =)

nu denn log ist im anhang.



lg Addy


/edit

btw jede ausführung löscht cofi alle anwendungsdateien für mein Mail Programm "The Bat" - is echt agressiv dieses combofix ^^

Ja. :D Der löscht gerne zuviel, genau wie ich. :) Wir können die Löschungen aber wieder rückgängig machen, falls es nötig ist. :daumenhoc

Das Schlimmste ist geschafft, die Rootkits sind tot. Jetzt müssen noch die Sachen, die nachgeladen wurden, entfernt werden, aber bei dir habe ich gar nicht soviel gesehen. Hast du dich frühzeitig gemeldet? Die ersten Schädlinge hatten das Datum von Gestern.

Bezgl. Zonealarm, ok, in dem Fall hat es dich tatsächlich geschützt, das ist aber die absolute Ausnahme. Lass ihn drauf oder installiere dir das zum Schluss wieder. Alternative wäre ein sicherer Browser wie Opera. Weil ihn wenige nutzen ist er nicht auf der Liste der Schädlingsprogrammierer. Lies aber, bevor du wieder installierst das hier.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Das die Zone Alarm Firewall keine wirewall an sich ist darüber bin ich informiert ;>

Meine Firewall ist in meiner Fritz box


was ich an Zal mag ist das er mir anzeigt welche programme z.b.
ins internet wollen
auf mein netzwerk zugreifen
sich in die bootliste eintragen wollen
sich selbsts verändert haben

usw =)


--------

hat die hochgeladene svchost.exee irgendwas verdächtiges gehabt?

weil seitdem das rootkit weg ist meldet eset dass hier

05.08.2009 8:58:46 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026866.exe Win32/PSW.Agent.NMH trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:20:03 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026537.dll a variant of Win32/Kryptik.YL trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:19:59 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026536.sys probably a variant of Win32/Kryptik.TV trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.


Der Panda scann läuft immo

lg Addy :>


/edit
Da ich eigentlich was die sicherheit meines rechners angeht recht besorgt bin und normalerweise mindestens jeden monat nen umfangreiches backup mache hat mich das rootkit jetzt echt auf nem kalten fuß erwischt.

Bin nicht der Fan von irgendwelchem Schweinskram free XXX passes usw
oder irgendwelcher torrents. Vuze z.b. habe ich nur benutzt um gesubte anime Serien herunterzuladen die zwar gut sind aber so unbekannt dass sie den spurng aus japan hier nach Deutschland warscheinlich nie schaffen werden :(
stammt aber alles vom subber meines vertrauens :>

ich habe wirklich keine Ahnung wie ich den ganzen scheiß (unbemerkt) bekommen habe.
Bisher habe ich immer wenn ich infiziert war gewusst dass ich infiziert bin und dementsprechend gegenmaßnahmen einleiten können :>

Aber diesesmal habe ich es nur dadurch bemerkt dass plötzlich jmd zuviel ein passwort kannte...


ich habe mich zwar zügig gemeldet allerding muss die schadsoftware welche mein pw geklaut hat bereits am 3 August(abends) aktiv gewesen sein. Ich habe dieses Passwort schon seit mehr als zwei Monaten(+) nicht mehr benötigt und nur am dritten August 1 mal eingegeben.

am vierten hab ichs dann gemerkt dass mein account hops ist und recherchen begonnen

mfg =)

Das schafft die Windowsfirewall auch.
Eben nicht, lies dir die Links in meinem Link durch.
Alleine der Name ist mehr als verdächtig. Hat sich aber als Textdatei mit dem Inhalt "blubb" herausgestellt. :) Lösche die Datei.
Ja, seitdem die Rootkits weg sind, können deine ganzen "Sicherheitsprogramme" wieder arbeiten.

Vor dem Rootkit hat dich weder NOD noch Zonealarm schützen können, denk mal drüber nach. :)

Solange das Rootkit aktiv war, konnten deine ganzen "Sicherheitsprogramme" überhaupt nicht arbeiten, die waren komplett stillgelegt und völlig wirkungslos.

Du hast dir nicht zufällig etwas heruntergeladen und gestartet, dass den Namen Keygen, Crack, Patch o.ä. hatte? :D

Lies das hier und denke auch da drüber nach. :)

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

Das ist ja in Ordnung. Wenn du verantwortungsvoll damit umgehst, kannst du die auch P2P-Software installieren, nur eben niemals Programme laden. Gegen Filme ist, bis auf Urheberrechtsverletzungen, nichts einzuwenden. Trotzdem würde ich immer zuerst DDL versuchen.
Passiert das häufiger? Dann machst du einen grundsätzlichen Fehler. Klicke auf die letzten beiden Links in meiner Signatur.

Alleine die Tatsache, dass du dich auf deine "Sicherheitsprogramme" verlässt, zeigt, dass du es noch nicht wirklich verstanden hast.

ciao, andreas

panda scann bis "kurz" vor schluss (500k dateien von ca 510k)

-> Systemabsturz

War gerade bei meinen Bildern welche auch noch die restlichen 10k dateien füllen

Ich schau mal obs reproduzierbar ist =)
Hat bis dahin auch verdächtige dateien gefunden
mehr wie prevx

ht*p://img411.imageshack.us/i/prevx.jpg/
beide dateien findet eset übrigens normal

anyway 100k hat panda schon wieder durchsucht ;>
wer sucht der findet - abwarten^^


lg Addy

/edit

häufig? definitionssache ^^ warn jetzt 2 mal in 5 jahren
+ die Zal geschichte

auf die Sicherheitsprogramme verlasse ich mich nicht.
Ich bin sogar der meinung das gegen einen gut programmierten Virus/trojaner/wurm etc der auf mein System zugeschnitten ist (z.b. Firefox user) mein Virenprogramm machtlos ist.
allerdings konnte mir bisher niemand sagen wie ich es effizient präventiv verhindern kann mir dementsprechendes einzufangen.
Ein Link zuviel in google angeklickt
einer mit ner infizierten tragbaren bei der letzten lan party
usw, gibt so viele eventualitäten
und

Bisher habs ich so gehalten dass ich mich von der ganzen Free flash game Free xxx movies Free whatever Seiten ferngehalten habe, bzw was open source Software angeht erst recherchiert dann installiert habe.
Und was risikofaktiren wie P2P software oder eines der zahllosen chat programme, emails versucht habe diese bewusst zu benutzen.
Was mir dabei zu gute kommt ist dass ich weis dass meine freunde endlose labertaschen sind. Und ich selbst relativ vorsichtig ;>
Nen link mit Hey Adi hier die Fotos von gestern nacht würde mir nie jmd schicken ^^

ergo versuche ich die Risiken zu minimieren und dabei aber trotzdem "auf meine kosten" zu kommen
ist für mich kein Rechner mit dem Geld bewegt wird, deshalb find ich das ganze eigentlich aktzeptabel
und für den fall das doch mal was ist habe ich eigentlich meine Backups
die ich die letzten monate wegen dem scheiß rl stress sträflich vernachlässigt habe
die quittung dafür sehe ich ja momentan vor mir :S

Deswegen bin ich dir auch super super unendlich dankbar wenn ich die letzten ~6 monate nicht verliere sondern du (wir) das ganze wieder in den griff kriegst :)


Bei dem ganzen gelaber hier fall ich übrigens aus allen wolken ...
so ziemlich genau als vor 3 tagen bin ich durch zufall direkt auf nen "komischen" link gegangen weil ich in diesem moment aus nem spiel rausgetabbt bin und trillian(mein chat programm) das fenster genau an dieser stelle unter meiner maus geöffnet hat.
Das könnte mein infektionsurprung sein - war so ne kettenbrief variante bei der man ne frau nackig machen kann ...
Ich depp manchmal vergess ich an die offensichtlichsten sachen zu denken :S
Achtung - verseuchte Url(?)
ht*p://mein-erstes-mal.net/?id=3172447


Grüße Addy

Da wird noch mehr sein. Die erste wird mit Sicherheit ein Schädling sein. Lade die Dateien bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Das Filelisting kannst du auch erstellen, solange Panda läuft. Versuche zu ermitteln, wo genau (Pfad) er abstürzt.

Erstelle ein Filelisting.

• Lade die Datei listing1.bat auf deinen Desktop
• Doppelklicke auf listing1.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Edit:
Die Edits nerven und sind schwer zu lesen. Lieber ein neues Post, kostet ausnahmsweise auch nichts extra. :)

Die Url ist nicht verseucht (zumindest nicht für Opera), das ist nur eine der üblichen Abzockerseiten.
Wie üblich, ganz klein und nur zu finden, wenn man danach sucht. :D

Beides Gemacht :)

http://www.materialordner.de/u16pzrR...5P1bOk6oE.html

panda sollte bald abstürzen (oder weitermachen :D)


Addy

/edit Ok meister =)

lg

Da hast du deinen Passwortstehler:
Die haben ein gefälschtes Datum, die verstecken sich zwischen den Installationsdateien und sind im Filelisting so gut wie nicht auszumachen. Zudem lässt sich nicht ermitteln, wann genau die Infektion stattgefunden hat. :(

ciao, andreas

Edit:
Das hier würde ich ganz schnell aus den Favoriten verschwinden lassen:

diesmal hat panda fertiggescannt (komplett)

weitergeleitet zur zusammenfassung
die war kurz da (mit dem mehr oder weniger lustigen bruce-gesicht)
und dann hat sich firefox verabschiedet =)

die seite mit den ergebnissen krieg ich nicht wiederhergestellt :/

3 1/2 std hat er nun gebraucht

ich hau mich hin, auch ne eule braucht schlaf ;>


p.s. wie krieg ich die leecher nun endgültig vom rechner?
die zeigen sich beide recht reproduktionsfreudig... :S



lg Addy

hab jetzt nochmal versucht panda durchlaufen zu lassen.
Hat komplett gescannt und dann firefox aufgehängt

hab mich bei der seite aber mal registriert
und dass hat sie sich von dem scann gestern nacht noch gemerkt ...
h*tp://img146.imageshack.us/i/pandac.jpg/
damit weiß ich wenigstens dass ich nichts weiß =)

Gruß Addy

der Firefox absturz über den panda scann nach beendigen desselben ist problemlos reproduzierbar...

Das 19 gefunden wurden ist schön und gut, ich brauche aber Namen und Pfade. :(

Hast du denn zumindest den Pfad, bei dem Panda abstürzt? Dann kopiere den Ordner auf einen externen Datenträger und lösche den Ordner.

Oder teste das Ganze mit dem MSIE, dafür ist er ja zu Gebrauchen.

ciao, andreas

er stürzt erst ab wenn er den scann beendet hat

d.h. 100% -> weiterleitung zur zusammenfassung *bum*

ie werd ich asap ausprobieren

hab heute aber keine 3 1/2 std mehr :D

Dann halt morgen, bin aber erst abends wieder on.

ciao, andreas

Hat mit dem IE geklappt log ist im anhang.

Jetzt nerft noch svchost.exe

06.08.2009 11:16:39 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026875.exe a variant of Win32/Injector.TW trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

msxm192z.dll mein toller keylogger

und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden.

Gruß Addy

p.s. Prevx findet nur noch meinen Keylogger (will den aber ohne lizenz aber auch nicht entfernen :D)

Das sind kleine Textdateien, die völlig ungefährlich sind und nur Surfverhalten protokollieren. Simple Datenträgerbereinigung oder entsprechende Browsereinstellungen löschen die automatisch.

Die meisten Funde sind in der Systemwiederherstellung.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere Panda Active Scan.

3.) Start => Ausführen => combofix /u => OK

4.) Lade dir ein neues ComboFix auf deinen Desktop.

5.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier das log :)

Das Cofi gerne meinem mail programm auf den zeiger geht und auch sonst viel löscht habe ich ja bereits gemerkt ;>

aber ist es normal dass das programm die anzeige der dateierweiterungen deaktiviert? !
(hat es ja bisher nicht gemacht + !kann ich gar nicht leiden! :D)


Grüßle Addy

Tja, da musst du nun durch. Mir gefällt das auch nicht. Da sind neue Einträge aufgetaucht. Hast du irgendetwas installiert?

1.) Deinstalliere:

• PrevxCSI
• Panda Online Scan

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ich habe heute lediglich Bilder ausgemistet und einen großteil gelöscht.

Das einzige was ich heute mit ausführbarem code installiert bzw deinstalliert habe war ein animierter bildschirmschoner.
Dessen überreste sind allerdings bereits im virtuellen nirvana verschwunden

(abgesehen von deinen anweisungen ;>)


Gruß Addy


p.s. Habe die wichtigsten einstellungen (dateiendungen, versteckte dateien, systemordner anzeigen) wiederhergestellt

wurde diesesmal auch nichts wieder verändert
(zumindest dass was ich überprüft habe)

Nachtrag

Ich lass den rechner seitdem das passwort flöten gegangen ist "unangetastet".

Wenn überhaupt merze ich alten kram aus =)
Deinstalliere überflüssiges
"Uniblue und Stardock gelumpe" :)

hatte genug damit zu tun von nem sauberen system aus sämtliche passwörter zu verändern :)
Infektionsdatum nicht bestimmbar - beschde ! :D
is aber zum glück nichts weiter weggekommen und geändert hab ich nun auch alle ;>


ergo nein installiert wurde nichts aber deinstalliert :>


Addy

Jede Wette, der Rechner ist jetzt deutlich schneller.
Spielt eh keine Rolle, die arbeiten mit gefälschten Daten, ein Filelisting ist nutzlos.
OK, das erklärt dann einiges.

Ich brauche nochmal frische RSIT-Logs, damit ich auf dem laufenden bin.

ciao, andreas

Sagt dir "AdvertisingCenter" etwas?

War in meiner software liste und wurde schon gelöscht.
Allerdings hab ich das (bewusst) nie installiert ...

Rsit logs im anhang

Ja.
Warst du auch nicht, das hat das Rootkit erledigt. Die verdienen Geld damit, ungefragt Rogue und Scareware zu installieren.

Je mehr Rechner infiziert werden, desto mehr Geld bekommen sie. Einige fallen auf Scareware und Rogue herein und bezahlen für nichts. So läuft das Geschäft.

Solange ich Logs lese, kannst du weiterscannen. Mir gefällt dein AVP überhaupt nicht, es erkennt ja so gut wie gar nichts. Mir wäre es lieb, wenn du das zeitweise deinstallierst und stattdessen damit scannst => http://www.trojaner-board.de/54192-a...tellungen.html

Kannst danach wieder installieren. Dann noch

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

dachte mehr so daran ob dir das installierte insofern was sagt dass du wüsstest was es macht ;>

bin ja leider nicht dein erster fall :)


scanne immo mit Avira "fullscann"

cureit habe ich vorbereitet

mit dem kaspersky online scanner hab ich immo noch nen problem
der will dass ich die activeX elemente für ALLE benutzer installiere (ergo Administrator)
ich weiß nicht wie ich dass hinbekommen könnte ohne im abgesicherten modus zu starten - und dann hab ich ja selbst im "mit netzwerktreibern" Modus kein Internet um da irgendwas runterzuladen

Als Administrator starten hilft nicht (also den prozess) ... ka sry ;>


Gruß Addy

Dann lasse Kaspersky weg, der macht häufiger Ärger und bei den TDSS-Varianten hängt er eh immer zurück. Habe gerade wieder eine Analyse, achte auf Kaspersky und NOD. :D
ciao, andreas

... :S

könnte man ja auch einfach irgend nen script laufen lassen das ram für sich beansprucht ;>


ich lass ma avira fertig scannen und entscheide dann ob ich
"vorsicht scann kann mehrere stunden dauern"
noch n paar std im abgesicherten modus verbringe :)


wenn du lustig bist kannst du mir auch gerne sagen mit welchen Virenscannern du (besonders) positive erfahrungen gemacht hast.
Um Werbeflames vorzubeugen gerne auch als pm :)

dauerhaft zu wechseln wäre nichts vor dem ich zurückschrecke
eher davor selber die scanner zu vergleichen ... zu undurchsichtige werbung
zu wenig offener quellcode :D
zu wenig erfahrung :S


Gruß Addy

Das werde ich laufend gefragt, dazu gibt es mindestens 1000 Threads.
http://www.trojaner-board.de/453090-post29.html
http://www.trojaner-board.de/450548-post5.html
http://www.trojaner-board.de/75833-w...erleitung.html

ciao, andreas

brain.exe ... was hast du eigentlich alles für scheiß links?

und ich hab auch noch fast geglaubt ...

man man man :)


http://www.pcfreunde.de/forum/t24886/woher-bekomme-ich-brain-exe/

göttlich :D


lg Addy

Ja, aber leider auch traurig, denn die Anzahl der Leute steigt, die ein AVP, dann noch Spybot, jetzt bin ich sicherer, ne, noch AdAware, dann bin ich noch sicherer, ne, noch ZoneAlarm, jetzt bin ich wirklich sicher, ne, da gibt es ja jetzt noch OnlineArmor, damit bin ich wirklich sicher und dann ein Keygen laden und sich wundern, warum denn nun der Rechner infiziert ist, bei soviel Sicherheit. :headbang:

Brain.exe hätte gereicht, aber das läuft irgendwie nicht bei jedem so richtig. :D

ciao, andreas

Avira hat fertig ...

ich habe mir erlaubt die offensichtlichen false positives wiederherzustellen


D:\Basics\Programme\CryptLoad_1.1.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aaa9f32.qua' verschoben!

Kryptload = Programm um anonym posten / hochladen zu können


C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\****\Desktop\avenger\avenger.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae19f3f.qua' verschoben!

Avenger hab ich da gelasssen wo er is ... brauch ich atm nicht ;>

logfile im anhang

/edit dann mal ab in den abgesicherten ... wenns zu lange geht mach ichs morgen (fertig)

Gruß Addy

Avenger kann weg bleiben, den brauchen wir nicht mehr und wenn doch, wird er wieder geladen. :)

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Start => Ausführen => combofix /u => OK

ciao, andreas

naja cureit braucht wohl noch pi mal daumen 4-5 std

zumindest wenns mit der geschwindigkeit weiterscannt ;>


bin hier übern sauberes system drin und wollt mal schaun was es neues gibt :)
(zuviel zeit um anderes zu tun)


Gruß Addy

1.) Lade dir den Anhang auf deinen Desktop => doppelklicke auf Genotron.reg => klicke auf Ja => lösche Genotron.reg.

2.) Lösche die Ordner
3.) Lösche die Dateien
4.) Stell sicher, daß Dir auch alle Dateien angezeigt werden und kontrolliere den Inhalt der Ordner
5.) Deinstalliere:

• Apple Software Update

6.) Lade die Datei
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

1. Gemacht

2. C:\WINDOWS\isRS-000.tmp existiert nicht

ich + suche Findet nichts - alle dateien inkl systemdateien werden bereits angezeigt

3. Gemacht

4. Inwiefern kontrollieren?

5. Gemacht

6. Datei existiert nicht


curit log im anhang ... 7 lange stunden :D


p.s. Systemwiederherstellung wurde erst Nach dem scann deaktiviert

/edit combofix deinstalliert


Gruß Addy

Gibt es Dateien, insbesondere ausführbare Programme in den Ordnern?

Deinstalliere DrWeb. Lösche danach den Ordner von DrWeb.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

jap is zeugs drinauch ausführbarer code

Gruß Addy

dr web gelöscht inkl ordner

Systemwiederherstellung ist bereits deaktiviert

war nu während dem web scann noch an =)

Gruß addy

Es ging nur um die Ordner ~0, ~1 und ~2, aber das waren wohl nur temporäre.

Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Neues HJT-Log posten

ciao, andreas

Gruß Addy

Hast du WindowsBlinds deinstalliert?

Start => Ausführen => cmd => OK
ciao, andreas

nein aber deaktiviert

cmd done

Gruß Addy

Welches AVP möchtest du denn nun behalten? Für eins musst du dich entscheiden und das andere deinstallieren. Anschliessend Neustart und neues HJT-Log posten.

ciao, andreas

eset ist bereits deinstalliert ...

dass es sich nicht vollständig entfernt hat habe ich bemerkt und verssucht zu beheben.

um registry u.so. zu editieren habe ich aber nicht genügend know how ;>

/edit

toll vorhin wars dann aus der software liste draußen jetzt isses wieder drin

/edit 2

glaub diesesmal hats alles gelöscht /shutdown


Gruß Addy

:D

NOD32 SUPPORT FAQs - How do I remove NOD32?

ciao, andreas

glaube habs selber hingebogen

gehörte mehr zu fraktion die probleme damit hatte über "Software" das ding loswerden


btw

blubb = bitte lass uns bumsen baby ;>

also nicht zuoft benutzen :D


Gruß addy

/edit jht vergessen

btw dateien von eset sind keine mehr da alles weg ... soll ich die Services raus hijacken?
(missing file ... da is auch nichts mehr )

Ja. Danach Neustart und neues HJT-Log.

ciao, andreas

Und abgeschossen =)


Gruß Addy

Das Log ist sauber. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen? Hast du die Bezahlversion von Malwarebytes?

Irgendwie habe ich bei der Kiste ein schlechtes Gefühl. Poste bitte noch das Log von Gmer => http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

Ja habe ich (mir für das problem von meinem Besten Freund geliehen)
da ich mit dem programm bei der letzten kontamination gute erfahrungen gemacht hatte.
werde ich nach abschluss der behandlung wieder downgraden :)


Auffälligkeiten? ja ! läuft deutlich besser, schneller, lagfreier =)

hoffe dein Gefühl trügt dich ;>


Gruß Addy


/edit wasn aw4bhtnv.SYS ?

Start => Ausführen => c:\windows\gmer_uninstall.cmd => OK
Ein Rootkit, hast du dir aber selber installiert. Gehört zu Daemon Tools, Alcohol und ähnlichen Konsorten.
Auch wenn sich das widersprüchlich anhört, die ist schlechter als die frei erhältliche. Die installiert einen Wächter, der völlig nutzlos ist, aber Unmengen an Ressourcen verbrät. :) Da kannst du dir genauso gut das Stardock- und Unibluegelumpe installieren. Hat den selben Effekt, Rechner wird lahm. :D
Du bist entlassen. :)

ciao, andreas

Wüsste garnicht wie ich dir danken kann =)

gehr warscheinlich auch garnicht :D


gib mir noch hierrauf ne antwort und ich bin glücklich ;>

http://www.trojaner-board.de/75447-kann-man-sich-einfach-bedanken.html

oder verlink wieder auf 20 andere threads in denen das alles schonmal jmd gefragt hat :D


Gruß Addy

Nope, du bist der erste. :)
Altruismus, Spaß am Schädlinge erkunden und killen, Spaß am Lehren und ab und zu gibt es sogar Leute, die sich bedanken. :)
Dann wären wir hier falsch. Klicke auf die letzten beiden Links in meiner Signatur. Der Trick ist, das Zeug erst gar nicht auf den Rechner zu lassen. Selbst wenn man es auf dem Rechner hat, ist es erst dann gefährlich, wenn es gestartet wird. ;)

Trotz Ablehnung der breiten "wissenden" Masse geht das auch ohne jedes "Sicherheitsprogramm". Man muss sich nur strikt an die Regeln halten.

Und falls ich mich absichtlich infizieren muss, dann spiele ich halt mein Image zurück. Das dauert weniger als 2 Minuten, anschliessend ein paar Programme neu installieren ist in weniger als einer Stunde gemacht. :)

ciao, andreas