Win32/Olmarik.AYA oder evtl andere Tierchen? |
||
---|---|---|
#0
| ||
09.01.2012, 12:36
Member
Beiträge: 15 |
||
|
||
09.01.2012, 21:20
Moderator
Beiträge: 5694 |
#2
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten" • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern. • Klicke auf Scan. • Warte bitte bis Scan finished successfully im DOS Fenster steht. • Drücke auf Save Log und speichere diese auf dem Desktop. Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. |
|
|
||
09.01.2012, 22:34
Member
Themenstarter Beiträge: 15 |
#3
Tatsächlich habe ich das heute Abend schon gemacht und er hat auch was gefunden. zum glück hab ich noch nicht auf fix gedrückt^^
AswMBR.txt Code aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST SoftwareEOlmarikTdl4Cleaner.exe ist das removal tool von der eset hompage... File: C:\Windows\PEV.exe bin ich mir nicht sicher aber denke das ist von combofix Disk 0 Partition 3 **INFECTED** MBR:Alureon-K [Rtk] wird wohl der olmarik sein?! und bei dem rest keine ahnung ob das so passt Dieser Beitrag wurde am 09.01.2012 um 23:49 Uhr von bluepill editiert.
|
|
|
||
09.01.2012, 23:50
Moderator
Beiträge: 5694 |
#4
1.
• aswMBR.exe erneut ausführen. • Auf [Scan] klicken • Nach Abschluss der Prüfung auf [Fix] für TDL4 (MBRoot) klicken. • Danach: starten Sie den Computer neu und führen aswMBR.exe erneut aus und poste das neue Log. 2. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop • Starte die TDSSKiller.exe • Drücke Start Scan • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt Poste den Inhalt bitte hier in deinen Thread. |
|
|
||
10.01.2012, 00:20
Member
Themenstarter Beiträge: 15 |
#5
es gibt ein Problem... ich habe aswMBR.exe als Admin ausgeführt.. der scan ist fertig und der[FIX] Knopf ist ausgeblendet alles was ich klicken könnte wäre [FIXMBR]
was nun? Habe bis jetzt noch nix gemacht aber hier trotzdem noch der tdsskiller log Code 00:28:20.0328 5672 TDSS rootkit removing tool 2.6.25.0 Dec 23 2011 14:51:16 Dieser Beitrag wurde am 10.01.2012 um 00:33 Uhr von bluepill editiert.
|
|
|
||
10.01.2012, 09:17
Moderator
Beiträge: 5694 |
#6
Dann führe aswMBR nochmals aus und klicke auf Fixmbr.
Danach erstelle ein neues Log mit Kasperky TDSS Killer und wähle Cure. |
|
|
||
10.01.2012, 11:03
Member
Themenstarter Beiträge: 15 |
#7
Guten Morgen,
ich habe im Abgesichertenmodus mit aswMBR Fixmbr ausgeführt, hat nicht wirklich was gebracht(selben Funde keine bereinigung durch aswMBR und Eset möglich) TDSSkiller hab ich noch nicht drüber laufen lassen. Aber ich habe etwas Recherche betrieben und bin der Sache evtl ein wenig näher gekommen... Avast meldet ja das es sich um den MBR:Alureon-k handelt. Nun dieser scheint sich seine eigenen Partitionen zu erstellen. Gut geguckt welche Partitionen auf dem Datenträger sind.. 3 Stück wo im Grunde nur 2 seien sollten. Partition 1 hat 100GB, Partition 2 hat 370GB, Partition 3 ist aktiv geschaltet, versteckt und hat 2MB wo auch der Alureon drauf sein soll laut Avast. Wo jetzt genau diese 3. 2MB Partition herkommt weiß ich leider nicht genau.. Evtl wurde sie damals von Windows xp erstellt als ich die Platte das erste mal eingebaut habe und sie durch die windows XP installation Partitionieren lies..(anmerkung: das ist schon ewig her und ich verwende nun win7 64bit aber habe weiter nix geändert an den platten). Evtl wurde sie aber auch durch den Alureon selbst erstellt, Auf jeden Fall kann ich mir nicht vorstellen das eine 2MB Partition Aktiv im System hängen muss. Sie Ist nur als Aktiv und Primäre Partition geflagt also nicht als die Startpartition. (Screenshot zur Verdeutlichung) Ich habe jetzt aswMBR mit -ap 1 einfach mal Partition 1 aktiv setzen lassen. Es kommen die gleichen Funde und auch der [FIX] Button ist leider nicht anklickbar. Jetzt Findet ESET aber nix mehr also gehe ich davon aus dass wenn ich jetzt die 2MB Partition lösche der Verursacher weg ist? Danach müsste ich evtl den MBR neu schreiben aber das wäre im Grunde kein Problem. Liege ich richtig mit meiner Annahme das die Partition der Hauptverursacher ist und ich sie löschen sollte oder mach ich damit alles schlimmer?^^ EDIT: habe eben nochmal den TDSSkiller laufen lassen.. ich kann nicht "cure" auswählen nur "copy to quarantine" (was wahrscheinlich auch nicht gehen wird... die erste datei ist locked der 2. fund ist ist der mbr) ich glaube so langsam das ich ohne eine gute boot CD/USB die wirklich was drauf hat so nicht weiter komme.. irgendwelche Empfehlungen? Eset und ativir Boot recovery hab ich schon durch und hat nicht geholfen. gibt es das aswMBR und den TDSSkiller auch für linux? dann könnte ich mir da selber was basteln hier nochmal der log nach der aktivierung der 1. Partition: es wurden 2 sachen gefunden 11:30:02.0932 2848 sptd - detected LockedFile.Multi.Generic (1) 11:31:52.0870 3052 \Device\Harddisk0\DR0 - detected TDSS File System (1) Code 11:29:38.0588 3144 TDSS rootkit removing tool 2.7.0.0 Jan 10 2012 09:14:262. EDIT: Habe TDDSkiller jetzt dazu überreden können die beinden Einträge zu löschen. Der eine war ja wie es aussieht eh nur der Treiber von deamon tools(was ich aber Gestern schon deinstalliert hatte, ka warum der dann noch da war). TDDSkiller meldet keinen Fund mehr. Aber aswMBR findet immer noch die gleichen Sachen also den Alureon-k auf Datenträger 2 partition 3 (die 2MB Partition) auch ist mir ein Rätzel warum die zuordnung der Datenträger immer wechselt? Die Start-Festplatte wechelt immer zwischen der zuordnung Datenträger 2 und Datenträger 0. Wenn ich mich recht entsinne ist diese zuordnung im MBR festgelegt. Frage mich grade ob da noch etwas anderes aktiv sein könnte das mir den MBR immer neu schreibt? Nochmal der log von aswMBR nach der löschung durch TDDSkiller Code aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software Anhang: partitionen.jpg Dieser Beitrag wurde am 10.01.2012 um 13:56 Uhr von bluepill editiert.
|
|
|
||
10.01.2012, 17:15
Moderator
Beiträge: 5694 |
#8
1.
Wieso im abgesicherten Modus aswMBR ausgeführt? Mach es im Normalmodus. 2. Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop. • Doppelklick auf die MBRCheck.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten" • Das Tool braucht nur eine Sekunde. • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden. Poste mir bitte den Inhalt des .txt Dokumentes |
|
|
||
10.01.2012, 17:32
Member
Themenstarter Beiträge: 15 |
#9
Der abgesicherte nur deshalb weil ich keine veräderung gesehen hab.. normal mache ich alles im "normal" modus. Dachte im abgesicherten könnte ich aswMBR doch noch überreden mir zu helfen. irgendwass verhindert ja das ich bei dem tool auf den fix knopf klicken kann.
MBRCheck log: Code MBRCheck, version 1.2.3 |
|
|
||
10.01.2012, 17:37
Moderator
Beiträge: 5694 |
#10
Der abgesicherte nur deshalb weil ich keine veräderung gesehen hab.. normal mache ich alles im "normal" modus. Dachte im abgesicherten könnte ich aswMBR doch noch überreden mir zu helfen. irgendwass verhindert ja das ich bei dem tool auf den fix knopf klicken kann.
Mach es genau so wie beschrieben. Nicht einfach was Du denkst. Also aswMBR im Normalmodus und dann auf FixMBR |
|
|
||
10.01.2012, 18:06
Member
Themenstarter Beiträge: 15 |
#11
so aswMBR im normal modus fixmbr danach nochmaliger scan:
Code aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software |
|
|
||
10.01.2012, 18:07
Moderator
Beiträge: 5694 |
#12
Was ist das hier eigentlich unter GMER:
C:\Users\six\Downloads\sicher\gmer\EOlmarikTdl4Cleaner.exe |
|
|
||
10.01.2012, 18:11
Member
Themenstarter Beiträge: 15 |
#13
Hab ich oben irgendwo schon geschrieben. Das ist der Olmarik standalone remover von der ESET homepage. Könnte ich eigentlich löschen hat eh nicht funktioniert. Den hatte ich gedownloadet bevor ich das Forum hier gefunden hatte.
|
|
|
||
10.01.2012, 22:25
Moderator
Beiträge: 5694 |
#14
Lass die Datei einmal bei www.virustotal.com/de prüfen
Durchsuchen. Datei auswählen. Send File. Link oder Resultat posten. |
|
|
||
10.01.2012, 22:34
Member
Themenstarter Beiträge: 15 |
#15
die datei ist direkt von der ESET hompage und wurde auch von denen entwickelt.. den zweck versteh ich nicht ganz nen spezielles removal tool bei VT zu upen? da wird so ziemlich jedes antivirus drauf anspringen.
aber ich kanns ja mal machen^^ Edit: ok jedes war wohl übertrieben... http://www.virustotal.com/file-scan/report.html?id=f4d1a6bdd86a07e3a779c45e68a2869ffb128a393784d565ed739ad28498fc9f-1326230848 dennoch erschließt sich mir der Zweck grade nicht ganz.. ist doch kar das ein removal tool die Signatur des virus/rootkit/what ever drin hat um den erkennen zu können das tool wurde auf anheißen eines eset Mitarbeiters hier gedownloadet: http://www.eset.com/de/download/utilities/detail/family/59/ Edit: Soll ich denn jetzt mal die 2MB Partition löschen? ich denke damit hätte ich es abgeschlossen und die malware wäre weg. zumindest auf den ersten Blick.. natürlich könnte sich immernoch irgendwo was verstecken aber kein scaner findet zZ. noch was. oder gibt es noch andere vorschläge? Dieser Beitrag wurde am 10.01.2012 um 23:09 Uhr von bluepill editiert.
|
|
|
||
Ich habe ein Problem mit mit der entfernung des Win32/Olmarik.AYA.
Problembeschreibung:
• Seit wann tritt das Problem auf?
Bin mir nicht ganz sicher... ich habe vor ca 1- 1 ½ Monaten meinen Rechner komplett neu aufgesetzt. Nun wird mein Rechner seit ca einer Woche immer langsamer und das Bild friert ab und an ca 1 sekunde ein wenn ich viele Programme und tabs geöffnet habe. Habe das bislang immer auf die sehr alle Festplatte geschoben doch nun hat mein ESET NOD 32 einen Olmarik.AYA gefunden im Bootsector auf Datenträger 2 den er nicht entfernen kann.
Habe schon verschiedene scanner drüberlaufen lassen unter anderem Nod komplettscann(olmarik gefunden. Nicht entfernbar), Antivir(nix gefunden), Antivir rescue disc(nix gefunden), Eset rescue disc(nix gefunden). Eset standallone olmarik removal tool(hat nix gefunden) Malwarebytes(nix gefunden), MBRCheck
Habe den Bootsector neugeschrieben mit Bootrec.exe /FixMbr und /FixBoot
danach wurde er wieder gefunden diesesmal im Bootsector auf Datenträger 0
Nach einem run von combofix findet er den olmarik jetzt komischerweise wieder im Bootsec auf Datenträger 2 ?!
• Wie äussert sich das Problem?
Siehe oben
• Wurde durch Virenscanner Funde gemeldet? (Genauen Pfad und Datei angeben)
Ja siehe oben
ESET NOD 32 einen Olmarik.AYA gefunden im Bootsector auf Datenträger 2
• Kommen Pop ups?
Nein nicht mehr als sonst üblich im heutigen Werbechaos
• Was hat sich seit dem Problem am System verändert?
Nicht viel außer die oben beschrieben mini freezes und evtl ein selbständiger neustart (bin mir aber nicht sicher ob dieser nicht auch von einem windows update gekommen ist)
OTL.TXT:
Code
EXTRAS.TXTCode
COMBOFIX.TXT
Code
Ich habe auch schon an eine false positive gedacht aber hmm irgendwie bin ich mir nicht sicher...
hoffe ihr könnt mir bei diesem problem helfen und bedanke mich schonmal dafür
MfG