Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.08.2009, 20:11   #1
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Beitrag

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Servus erstmal ;>

Das rootkit sitzt im Arbeitsspeicher und der andere schädling unter globalroot\...
mittlerweile bemerkt die beiden auch mein Virenscanner ESET32
darauf gestoßen bin ich leider erst dadurch dass jmd zuviel eins meiner passworte kannte :S

leider zeigen sich auch beide recht resistent gegen behandlungsmaßnahmen
wobei ich leider auch zugeben muss dass ich nicht mal den hauch einer ahnung habe wie ich etwas im Arbeitsspeicher "killen" könnte :>

aber dafür gibts ja euch :)

04.08.2009 Startup scanner operating memory Operating memory Win32/Rootkit.Agent.ODG trojan unable to clean ***\***

04.08.2009 Startup scanner file \\?\globalroot\systemroot\system32\hjgruivjgkiplh.dll Win32/Olmarik.JU trojan error while cleaning ***\***

genug der einleitung - fakten =)

Suchfunktion
Die meißten "brauchbaren" ergebnisse laufen auf eine MAM empfehlung hinaus
win32/olmarik.ju.trojan findet MAM auch löscht ihn und dann isser nach dem neustarten wieder da =)
win32/rootkit.agent.odg.trojan wird nichtmal aufgespürt
Ansonsten versagt noch
Loaris Trojan remover und Eset32.

was ich jetzt für euch gemacht habe ist
1. CCleaner durchlaufen lassen
2. Einen weiteren MAM scann (wieder gefunden gelöscht und wieder da ^^)
3. Rsit durchgejagt
4. GMER scann gemacht da es in vielen anderen Threads hier im Forum dem Moderator geholfen hat die lösung zu finden :>

alle scanns wurden ohne aktive programme gemacht ;>
zensiert habe ich alles was ich finden konnte ;>
logs gibts im anhang... :daumenhoc

Viel spaß beim suchen ;>
Und ein DICKES Danke im vorraus

Grüßle Addy
Angehängte Dateien
Dateityp: txt Genotron mbam-log-2009-08-04 (18-20-56).txt (1,1 KB, 325x aufgerufen)
Dateityp: txt Genotron Rsit Logdatei (4 August2009).txt (31,1 KB, 444x aufgerufen)
Dateityp: txt Genotron Gmer Logdatei (4August 2009)1von3.txt (53,5 KB, 341x aufgerufen)
Dateityp: txt Genotron Gmer Logdatei (4August 2009)2von3.txt (89,2 KB, 272x aufgerufen)

Alt 04.08.2009, 20:13   #2
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



"/edit" nur 4 anhänge a 90kb? z z z

dritter teil des gesplitteten GMER logs ;>

Grüßle Addy
Angehängte Dateien
Dateityp: txt Genotron Gmer Logdatei (4August 2009)3von3.txt (89,6 KB, 258x aufgerufen)
__________________


Alt 05.08.2009, 00:13   #3
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Hallo und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix.

Es fehlt noch die info.txt von RSIT.

Start => Ausführen => c:\rsit\info.txt => OK

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
__________________

Alt 05.08.2009, 11:25   #4
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Icon26

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Ich habe mich fürs reparieren entschieden und nach anleitung nochmal CCleaner laufen lassen.
Anschließend dann "cofi"

sieht auf jedenfall gleich freundlicher aus ohne viren meldungen beim hochfahren :aplaus:
;>

und abgesehen von den beiden plagegeistern bei denen cofi ordentlich dateien gelöscht hat, hat das programm noch etwas suspektes aus meinen firefox plugins gelöscht.

Der gute junge startet auch wieder schneller (wobei das bei mir 4-5 sec sind ^^)

Logs sind wieder im anhang

p.s. Ich habe versucht euch die sache so einfach wie möglich zu machen
(also nach tutorial http://www.trojaner-board.de/69886-a...-beachten.html)
allerdings hat mich RSIT nur auf das logfile hingewiesen.
Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen ;>


Grüße Addy


/edit und Hey verdammt schnelle antworten gibts hier =)
Angehängte Dateien
Dateityp: txt Genotron Cofi log (5 August 2009).txt (28,9 KB, 374x aufgerufen)
Dateityp: txt info.txt (23,8 KB, 482x aufgerufen)

Geändert von Genotron (05.08.2009 um 11:52 Uhr) Grund: blubb

Alt 05.08.2009, 17:20   #5
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Zitat:
Wäre vielleicht ne überlegung wert auf das info.txt file im Tutorial hinzuweisen
  • Wenn der Scan beendet ist, werden zwei Logfiles in C:\rsit erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und >>> C:\rsit\info.txt <<< (wird in die Taskleiste minimiert) in Deinen Thread.

Zitat:
Acronis*True*Image*Home
Warum spielst du nicht einfach ein sauberes Image zurück, ist Minutensache oder läuft es nur um den Rechner auszubremsen.
Zitat:
C:\Programme\TypingMaster\quickphrase\quickphrase.exe
Was'n'das?

1.) Deinstalliere:
  • Loaris Trojan Remover 1.1
  • Skype™ 3.2
  • SuperAntiSpyware
  • ThreatExpert Memory Scanner 1.0
  • Vuze (Virenschleuder)
  • ZoneAlarm Pro
Das Uniblue- und Stardockgelumpe ist mir auch ein Dorn im Auge.

2.) Installiere:3.) Lade die Datei
Code:
ATTFilter
C:\WINDOWS\system32\svchost.exee
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html
Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

4.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
vqaabafw
vsmon
AcrSch2SvcAlerter
ZJPFCH

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Malwarebytes' Anti-Malware"=-
"ZoneAlarm Client"=-
"MSConfig"=-
"MSxmlHpr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"QuickPhrase"=C:\Programme\TypingMaster\quickphrase\quickphrase.exe [2007-08-03 638992]
"Loaris Trojan Remover"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSxmlHpr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Services]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Vuze\Azureus.exe"=-
"C:\WINDOWS\system32\rundll32.exe"=-
""=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
C:\rsit
C:\Programme\Loaris Trojan Remover
C:\Programme\ThreatExpert Memory Scanner
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\Azureus

Files::
C:\WINDOWS\system32\RENA699.tmp
c:\windows\system32\zllictbl.dat
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

DirLook::
C:\Dokumente und Einstellungen\Addy\Anwendungsdaten\UseNeXT

FileLook::
c:\windows\GPCIDrv.sys
c:\windows\system32\drivers\GVTDrv.sys
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.08.2009, 19:17   #6
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Icon30

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Den Wald vor lauter Bäu... egal

True Image is wirklich ne gute sache - leider hatte ich die letzten monate Abi Prüfungsstress und dementsprechend alt sind leider auch meine sicherungen.
Hab meinen Pc schwer vernachlässigen müssen

Quickphrase is der rattenschwanz von TypingMaster
Ich mache quickphrase immer dann an wenn ich irgend nen Text in word o.ä. schreibe und wenn ich fertig bin analysiert das programm das ganze und gibt mir dann tipps wie ich meine 10 finger noch schneller bewegen kann.

welche tasten treffe ich überdurchschnittlich oft falsch usw.
ergo
TypingMaster = Programm zum erlernen oder trainieren des 10 Finger systems
Quickphrase = Keyboard monitor



1.) Deinstalliere:

* Loaris Trojan Remover 1.1
* Skype™ 3.2
* SuperAntiSpyware
* ThreatExpert Memory Scanner 1.0
* Vuze (Virenschleuder)
* ZoneAlarm Pro

Gemacht

Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet

Stardock zeugs auf das eingeschränkt was ich benutze

2.) Skype Installiert

3. ) svchost.exee hochgeladen

4.) cofi script vorbereitet ergebniss wird asap gepostet


Gruß Addy =)

Alt 05.08.2009, 19:28   #7
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Zitat:
Aber warum Zone Alarm??? das programm hat mir schon mal den arsch gerettet
Wie? Bei welcher Aktion genau?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.08.2009, 20:03   #8
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Eine verlinkte Webseite (link durch dreiste popup werbung - "fake" schließen button) hat versucht 2 firefox plugins zu modifizieren

Zal hat mich drauf hingewiesen das die webseite das versucht und die aktion blockiert


glaub damals haben knapp ein drittel der benutzer dieses forums ihren pc neu aufgesetzt weil das ding anscheinend echt so bösartig war.
bzw das was firefox dann munter runtergeladen hat
habs selber aber nicht getestet =)

nu denn log ist im anhang.



lg Addy


/edit

btw jede ausführung löscht cofi alle anwendungsdateien für mein Mail Programm "The Bat" - is echt agressiv dieses combofix ^^
Angehängte Dateien
Dateityp: txt Genotron Cofi log (5 August 2009)Nr 2.txt (42,4 KB, 401x aufgerufen)

Alt 05.08.2009, 20:40   #9
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Zitat:
jede ausführung löscht cofi alle anwendungsdateien für mein Mail Programm "The Bat" - is echt agressiv dieses combofix
Ja. Der löscht gerne zuviel, genau wie ich. Wir können die Löschungen aber wieder rückgängig machen, falls es nötig ist.

Das Schlimmste ist geschafft, die Rootkits sind tot. Jetzt müssen noch die Sachen, die nachgeladen wurden, entfernt werden, aber bei dir habe ich gar nicht soviel gesehen. Hast du dich frühzeitig gemeldet? Die ersten Schädlinge hatten das Datum von Gestern.

Bezgl. Zonealarm, ok, in dem Fall hat es dich tatsächlich geschützt, das ist aber die absolute Ausnahme. Lass ihn drauf oder installiere dir das zum Schluss wieder. Alternative wäre ein sicherer Browser wie Opera. Weil ihn wenige nutzen ist er nicht auf der Liste der Schädlingsprogrammierer. Lies aber, bevor du wieder installierst das hier.

1.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.08.2009, 21:10   #10
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Icon31

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Das die Zone Alarm Firewall keine wirewall an sich ist darüber bin ich informiert ;>

Meine Firewall ist in meiner Fritz box


was ich an Zal mag ist das er mir anzeigt welche programme z.b.
ins internet wollen
auf mein netzwerk zugreifen
sich in die bootliste eintragen wollen
sich selbsts verändert haben

usw =)


--------

hat die hochgeladene svchost.exee irgendwas verdächtiges gehabt?

weil seitdem das rootkit weg ist meldet eset dass hier

05.08.2009 8:58:46 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026866.exe Win32/PSW.Agent.NMH trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:20:03 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026537.dll a variant of Win32/Kryptik.YL trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

05.08.2009 7:19:59 PM Real-time file system protection file C:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026536.sys probably a variant of Win32/Kryptik.TV trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.


Der Panda scann läuft immo

lg Addy :>


/edit
Da ich eigentlich was die sicherheit meines rechners angeht recht besorgt bin und normalerweise mindestens jeden monat nen umfangreiches backup mache hat mich das rootkit jetzt echt auf nem kalten fuß erwischt.

Bin nicht der Fan von irgendwelchem Schweinskram free XXX passes usw
oder irgendwelcher torrents. Vuze z.b. habe ich nur benutzt um gesubte anime Serien herunterzuladen die zwar gut sind aber so unbekannt dass sie den spurng aus japan hier nach Deutschland warscheinlich nie schaffen werden
stammt aber alles vom subber meines vertrauens :>

ich habe wirklich keine Ahnung wie ich den ganzen scheiß (unbemerkt) bekommen habe.
Bisher habe ich immer wenn ich infiziert war gewusst dass ich infiziert bin und dementsprechend gegenmaßnahmen einleiten können :>

Aber diesesmal habe ich es nur dadurch bemerkt dass plötzlich jmd zuviel ein passwort kannte...


ich habe mich zwar zügig gemeldet allerding muss die schadsoftware welche mein pw geklaut hat bereits am 3 August(abends) aktiv gewesen sein. Ich habe dieses Passwort schon seit mehr als zwei Monaten(+) nicht mehr benötigt und nur am dritten August 1 mal eingegeben.

am vierten hab ichs dann gemerkt dass mein account hops ist und recherchen begonnen

mfg =)

Geändert von Genotron (05.08.2009 um 21:24 Uhr) Grund: langer text ^^

Alt 05.08.2009, 21:28   #11
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Zitat:
was ich an Zal mag ist das er mir anzeigt welche programme z.b.
ins internet wollen
Das schafft die Windowsfirewall auch.
Zitat:
auf mein netzwerk zugreifen
Eben nicht, lies dir die Links in meinem Link durch.
Zitat:
hat die hochgeladene svchost.exee irgendwas verdächtiges gehabt?
Alleine der Name ist mehr als verdächtig. Hat sich aber als Textdatei mit dem Inhalt "blubb" herausgestellt. Lösche die Datei.
Zitat:
weil seitdem das rootkit weg ist meldet eset dass hier
Ja, seitdem die Rootkits weg sind, können deine ganzen "Sicherheitsprogramme" wieder arbeiten.

Vor dem Rootkit hat dich weder NOD noch Zonealarm schützen können, denk mal drüber nach.

Solange das Rootkit aktiv war, konnten deine ganzen "Sicherheitsprogramme" überhaupt nicht arbeiten, die waren komplett stillgelegt und völlig wirkungslos.

Du hast dir nicht zufällig etwas heruntergeladen und gestartet, dass den Namen Keygen, Crack, Patch o.ä. hatte?

Lies das hier und denke auch da drüber nach.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.08.2009, 23:21   #12
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Zitat:
die zwar gut sind aber so unbekannt dass sie den spurng aus japan hier nach Deutschland warscheinlich nie schaffen werden
Das ist ja in Ordnung. Wenn du verantwortungsvoll damit umgehst, kannst du die auch P2P-Software installieren, nur eben niemals Programme laden. Gegen Filme ist, bis auf Urheberrechtsverletzungen, nichts einzuwenden. Trotzdem würde ich immer zuerst DDL versuchen.
Zitat:
Bisher habe ich immer wenn ich infiziert war gewusst dass ich infiziert bin
Passiert das häufiger? Dann machst du einen grundsätzlichen Fehler. Klicke auf die letzten beiden Links in meiner Signatur.

Alleine die Tatsache, dass du dich auf deine "Sicherheitsprogramme" verlässt, zeigt, dass du es noch nicht wirklich verstanden hast.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 05.08.2009, 23:27   #13
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



panda scann bis "kurz" vor schluss (500k dateien von ca 510k)

-> Systemabsturz

War gerade bei meinen Bildern welche auch noch die restlichen 10k dateien füllen

Ich schau mal obs reproduzierbar ist =)
Hat bis dahin auch verdächtige dateien gefunden
mehr wie prevx

ht*p://img411.imageshack.us/i/prevx.jpg/
beide dateien findet eset übrigens normal

anyway 100k hat panda schon wieder durchsucht ;>
wer sucht der findet - abwarten^^


lg Addy

/edit

häufig? definitionssache ^^ warn jetzt 2 mal in 5 jahren
+ die Zal geschichte

auf die Sicherheitsprogramme verlasse ich mich nicht.
Ich bin sogar der meinung das gegen einen gut programmierten Virus/trojaner/wurm etc der auf mein System zugeschnitten ist (z.b. Firefox user) mein Virenprogramm machtlos ist.
allerdings konnte mir bisher niemand sagen wie ich es effizient präventiv verhindern kann mir dementsprechendes einzufangen.
Ein Link zuviel in google angeklickt
einer mit ner infizierten tragbaren bei der letzten lan party
usw, gibt so viele eventualitäten
und

Bisher habs ich so gehalten dass ich mich von der ganzen Free flash game Free xxx movies Free whatever Seiten ferngehalten habe, bzw was open source Software angeht erst recherchiert dann installiert habe.
Und was risikofaktiren wie P2P software oder eines der zahllosen chat programme, emails versucht habe diese bewusst zu benutzen.
Was mir dabei zu gute kommt ist dass ich weis dass meine freunde endlose labertaschen sind. Und ich selbst relativ vorsichtig ;>
Nen link mit Hey Adi hier die Fotos von gestern nacht würde mir nie jmd schicken ^^

ergo versuche ich die Risiken zu minimieren und dabei aber trotzdem "auf meine kosten" zu kommen
ist für mich kein Rechner mit dem Geld bewegt wird, deshalb find ich das ganze eigentlich aktzeptabel
und für den fall das doch mal was ist habe ich eigentlich meine Backups
die ich die letzten monate wegen dem scheiß rl stress sträflich vernachlässigt habe
die quittung dafür sehe ich ja momentan vor mir :S

Deswegen bin ich dir auch super super unendlich dankbar wenn ich die letzten ~6 monate nicht verliere sondern du (wir) das ganze wieder in den griff kriegst


Bei dem ganzen gelaber hier fall ich übrigens aus allen wolken ...
so ziemlich genau als vor 3 tagen bin ich durch zufall direkt auf nen "komischen" link gegangen weil ich in diesem moment aus nem spiel rausgetabbt bin und trillian(mein chat programm) das fenster genau an dieser stelle unter meiner maus geöffnet hat.
Das könnte mein infektionsurprung sein - war so ne kettenbrief variante bei der man ne frau nackig machen kann ...
Ich depp manchmal vergess ich an die offensichtlichsten sachen zu denken :S
Achtung - verseuchte Url(?)
ht*p://mein-erstes-mal.net/?id=3172447


Grüße Addy

Geändert von Genotron (06.08.2009 um 00:07 Uhr) Grund: ninjaposting john.doe

Alt 05.08.2009, 23:34   #14
john.doe
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Da wird noch mehr sein. Die erste wird mit Sicherheit ein Schädling sein. Lade die Dateien bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Das Filelisting kannst du auch erstellen, solange Panda läuft. Versuche zu ermitteln, wo genau (Pfad) er abstürzt.

Erstelle ein Filelisting.
  • Lade die Datei listing1.bat auf deinen Desktop
  • Doppelklicke auf listing1.bat
  • Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Edit:
Die Edits nerven und sind schwer zu lesen. Lieber ein neues Post, kostet ausnahmsweise auch nichts extra.

Die Url ist nicht verseucht (zumindest nicht für Opera), das ist nur eine der üblichen Abzockerseiten.
Zitat:
Die 30 Tage Softerotik Mitgliedschaft kostet 59 Euro incl. Mwst.
Wie üblich, ganz klein und nur zu finden, wenn man danach sucht.
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (06.08.2009 um 00:32 Uhr)

Alt 06.08.2009, 00:43   #15
Genotron
 
win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Standard

win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan



Beides Gemacht

http://www.materialordner.de/u16pzrR...5P1bOk6oE.html

panda sollte bald abstürzen (oder weitermachen )


Addy

/edit Ok meister =)

lg

Antwort

Themen zu win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
aktive, ccleaner, cleaning, empfehlung, ergebnisse, eset, forum, gelöscht, gmer, löscht, lösung, neustarten, programme, remover, rootkit, rsit, scan, scanner, schädling, suche, system32, virenscan, virenscanner, win, zuviel



Ähnliche Themen: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Mehrere Viren gefuden: Win32.Adware.OfferMosquito.A und Win32.Trojan.Agent.KQF
    Log-Analyse und Auswertung - 19.09.2014 (23)
  3. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  4. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  5. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  6. Win32/openCandy + Win32.Trojan.Agent.C5K071 auf PC Win7/64bit
    Log-Analyse und Auswertung - 17.01.2014 (3)
  7. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  8. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  9. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  10. Win32/Olmarik.TDL3 trojan
    Alles rund um Windows - 25.10.2011 (1)
  11. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  12. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  13. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  14. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  15. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  16. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan - Servus erstmal ;> Das rootkit sitzt im Arbeitsspeicher und der andere schädling unter globalroot\... mittlerweile bemerkt die beiden auch mein Virenscanner ESET32 darauf gestoßen bin ich leider erst dadurch dass - win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan...
Archiv
Du betrachtest: win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.