Trojaner-Board - Win32/Olmarik Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32/Olmarik Trojaner (https://www.trojaner-board.de/81366-win32-olmarik-trojaner.html)

Win32/Olmarik Trojaner

Schönen guten Abend,

mein NOD32 hat heute zwei Bedrohungen im Arbeitsspeicher gefunden. Es handelt sich dabei um "Win32/olmarik Trojaner", der nicht gesäubert werden kann. Desweiteren lässt sich Anti-Malware nicht starten. CCleaner hab ich drüber laufen lassen.
Jetzt meine Frage: Wie kann ich den Trojaner am besten löschen?

Vielen Dank für Lösungen.

MfG

Halli hallo.

Poste bitte zwei AVZ logs.

Hier bitteschön :-)

Führe bitte folgendes Skript mit AVZ aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DeleteFile('\\?\globalroot\systemroot\system32\H8SRTwkoscfoyqm.dll');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_Activate;
RebootWindows(true);
end.

Du hast Spybot installiert oder?
Mache bitte alle "Immunisierungen" die du damit durchgeführt hast rückgängig und deinstalliere es hinterher.

Räume mit dem cCleaner auf und poste zwei frische AVZ logs.

Spybot lässt sich nicht starten. soll ich es dennoch deinstallieren?

Erst AVZ Skript ausführen, neustarten und danach sollte Spybot eigentlich wieder starten. Oder nicht?

Wenn nicht dann poste bitte zwei frische AVZ logs und mache mit Spybot erstmal garnichts.

Habe das script ausgeführt und Spybot gestartet, Immunisierung aufgehoben und deinstalliert.

angehängt sind die neuen Logs

schonmal danke!

Da ist was schief gelaufen bein erstellen der neuen logs. Da laufen nur 3 prozesse. Das kann nicht sein.
Hat der Rechner beim Ausführen des Skripts neugestartet?

Starte den Rechner bitte neu und poste zwei frische AVZ logs.

Wie verhält sich der Rechner? Funktioniert alles?

Ok, dann werd ich das nochmal neu machen.

Ja der PC läuft sehr gut und auch MAM läuft wieder. Desweiteren erkennt NOD32 im Arbeitsspeicher keine Trojaner mehr.

im anhang befinden sich die neuen Logs. Ich hoffe es hat jetzt funktioniert!

danke :-)

Bei dem einen log hat es funktioniert bei dem anderen nicht. Startest du immer brav als Administrator? =)

Egal.

Führe bitte folgendes Skript aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('jjtka.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Scanne danach bitte mit Malwarebytes und poste das log.

also erstmal hier der MAM-Log:

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

08.01.2010 01:05:51
mbam-log-2010-01-08 (01-05-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 238774
Laufzeit: 1 hour(s), 11 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache(2)\f_0002fd (HackTool.Proxy) -> Quarantined and deleted successfully.
C:\cofi\Combo-Fix.sys (Malware.Trace) -> Quarantined and deleted successfully.

ich hoffe der hilft
MfG

Das sieht schonmal ganz gut aus.

Jetzt mache einen Vollscan mit NOD32.