Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner w32 patchload.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.11.2011, 21:22   #31
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Ich seh da echt nichts mehr :/

Starte bitte nochmal mit OTLPE und poste mir ne OTL.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 30.11.2011, 21:55   #32
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



morgen, guts nächtle
__________________


Alt 01.12.2011, 08:32   #33
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



GuMo :-)OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 12/1/2011 8:28:59 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000409 | Country: United States | Language: ENU | Date Format: M/d/yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 152.73 Gb Total Space | 36.70 Gb Free Space | 24.03% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (NMSAccess)
SRV - [2011/11/30 04:43:31 | 003,604,480 | ---- | M] () [Auto] -- C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe -- (MySQL)
SRV - [2011/11/25 02:46:04 | 000,214,193 | ---- | M] () [Auto] -- C:\Programme\Zune\ZuneBusEnum.exe -- (ZuneBusEnum)
SRV - [2011/08/05 06:30:02 | 000,444,640 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Zune\ZuneWlanCfgSvc.exe -- (ZuneWlanCfgSvc)
SRV - [2011/08/05 06:30:02 | 000,268,512 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Zune\WMZuneComm.exe -- (WMZuneComm)
SRV - [2011/08/05 06:29:56 | 006,363,872 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Zune\ZuneNss.exe -- (ZuneNetworkSvc)
SRV - [2008/04/14 00:52:24 | 000,105,472 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINDOWS\system32\p2pgasvc.dll -- (p2pgasvc)
SRV - [2008/04/14 00:52:14 | 000,036,864 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\iprip.dll -- (Iprip)
SRV - [2005/10/06 12:13:10 | 000,856,064 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Windows Media Connect 2\wmccds.exe -- (WMConnectCDS)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (OXYGEN)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2010/06/17 08:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/11/12 07:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2008/04/13 17:30:04 | 000,225,664 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2008/04/13 17:26:08 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2007/09/25 09:59:46 | 000,015,152 | ---- | M] () [Kernel | On_Demand] -- C:\Programme\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
DRV - [2007/06/14 20:58:56 | 002,301,440 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007/05/10 04:28:00 | 004,419,584 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/03/07 07:47:30 | 000,119,808 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\ahcix86.sys -- (ahcix86)
DRV - [2006/12/14 03:44:06 | 000,085,120 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006/11/02 01:00:08 | 000,039,368 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB)
DRV - [2004/08/05 07:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004/08/05 07:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@eleco.com/o2cplayer: C:\Programme\o2c Player\npO2CPlayer.DLL (Eleco plc)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Programme\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/11/10 01:39:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011/05/04 02:45:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/11/10 01:39:33 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/10/14 03:27:18 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/10/14 03:27:18 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/10/14 03:27:18 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/10/14 03:27:18 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/10/14 03:27:18 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/10/14 03:27:18 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011/11/30 15:01:02 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Zune Launcher] C:\Programme\Zune\ZuneLauncher.exe (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop WallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/11/20 13:04:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/11/30 15:02:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011/11/30 14:26:06 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2011/11/30 10:48:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\eDocPrintPro
[2011/11/30 10:46:59 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2011/11/30 09:47:04 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011/11/30 08:55:19 | 000,057,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\redbook.sys
[2011/11/30 08:52:24 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011/11/30 08:52:24 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011/11/30 08:52:24 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011/11/30 08:52:24 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011/11/30 08:52:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011/11/30 08:49:40 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011/11/30 04:43:23 | 000,075,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ipsec.sys
[2011/11/29 15:53:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun
[2011/11/29 15:11:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011/11/29 15:10:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011/11/11 04:54:23 | 000,000,000 | ---D | C] -- C:\Programme\FXdirekt Bank AG
[2011/11/11 04:54:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FXdirekt Bank AG
[2011/11/01 13:55:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\zh-TW
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\zh-CN
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\sv-SE
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ru-RU
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\pt-PT
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\pl-PL
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nb-NO
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ms-MY
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ko-KR
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ja-JP
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\hu-HU
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\fi-FI
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\el-GR
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\da-DK
[2011/11/01 13:50:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\cs-CZ
[2011/11/01 13:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\pt-BR
[2011/11/01 13:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nl-NL
[2011/11/01 13:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\it-IT
[2011/11/01 13:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\fr-FR
[2011/11/01 13:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\es-ES
[2011/11/01 13:49:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\ko-KR
[2011/11/01 13:49:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\ms-MY
[2011/11/01 13:49:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\id-ID
[2011/11/01 13:49:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\sv-SE
[2011/11/01 13:49:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\nb-NO
[2011/11/01 13:49:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\hu-HU
[2011/11/01 13:49:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\fi-FI
[2011/11/01 13:49:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\el-GR
[2011/11/01 13:49:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\da-DK
[2011/11/01 13:49:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\cs-CZ
[2011/11/01 13:49:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\zh-TW
[2011/11/01 13:49:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\ru-RU
[2011/11/01 13:49:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\pl-PL
[2011/11/01 13:49:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\zh-CN
[2011/11/01 13:49:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\ja-JP
[2011/11/01 13:49:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\pt-BR
[2011/11/01 13:49:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\pt-PT
[2011/11/01 13:49:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\nl-NL
[2011/11/01 13:49:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\it-IT
[2011/11/01 13:49:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\de-DE
[2011/11/01 13:49:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\fr-FR
[2011/11/01 13:49:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\es-ES
[2011/11/01 13:48:24 | 000,016,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsgXP_2k3.dll
[2011/11/01 13:48:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF\en-US
[2011/11/01 13:48:02 | 000,000,000 | ---D | C] -- C:\Programme\Zune
[2011/11/01 13:47:24 | 000,466,944 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\imapi2fs.dll
[2011/11/01 13:47:24 | 000,466,944 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\imapi2fs.dll
[2011/11/01 13:47:24 | 000,320,512 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\imapi2.dll
[2011/11/01 13:47:24 | 000,320,512 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\imapi2.dll
[2011/11/01 13:47:24 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\cdrom.sys
[2011/11/01 13:47:24 | 000,000,000 | ---D | C] -- C:\a7a1fe52d3178834d362a11ae3026af4
[2011/11/01 13:47:21 | 000,016,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2011/11/01 13:46:34 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/11/30 15:44:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/11/30 15:44:35 | 2011,648,000 | -HS- | M] () -- C:\hiberfil.sys
[2011/11/30 15:01:02 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011/11/30 09:47:07 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011/11/30 04:33:46 | 000,442,890 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/11/30 04:33:46 | 000,427,274 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/11/30 04:33:46 | 000,078,118 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/11/30 04:33:46 | 000,065,772 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/11/29 15:53:07 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/11/29 02:08:37 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/11/21 01:28:49 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011/11/11 04:54:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FXdirekt Bank AG
[2011/11/01 13:52:53 | 000,157,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/11/01 13:50:44 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_User_ZuneDriver_01_09_00.Wdf
[2011/11/01 13:50:44 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_WinUSB_01009.Wdf
[2011/11/01 13:50:26 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011/11/01 13:50:26 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_user_01_09_00.Wdf
[2011/11/01 13:48:28 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_zumbus_01009.Wdf
[2011/11/01 13:48:26 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
[2011/11/01 13:48:11 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zune.lnk
[2011/11/01 13:47:13 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2011/11/01 13:46:39 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/11/30 09:47:07 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011/11/30 09:47:04 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011/11/30 08:52:24 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011/11/30 08:52:24 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011/11/30 08:52:24 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011/11/30 08:52:24 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011/11/30 08:52:24 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011/11/30 04:30:05 | 2011,648,000 | -HS- | C] () -- C:\hiberfil.sys
[2011/11/01 13:50:44 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_User_ZuneDriver_01_09_00.Wdf
[2011/11/01 13:50:44 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_WinUSB_01009.Wdf
[2011/11/01 13:50:26 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_user_01_09_00.Wdf
[2011/11/01 13:48:28 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_zumbus_01009.Wdf
[2011/11/01 13:48:26 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
[2011/11/01 13:48:11 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zune.lnk
[2011/11/01 13:46:39 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[2011/05/04 02:45:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/03/23 04:38:35 | 000,001,692 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qcadrc
[2011/03/21 12:56:22 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011/03/12 03:06:06 | 000,072,464 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/03/11 16:10:30 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010/06/11 04:57:08 | 000,024,456 | ---- | C] () -- C:\WINDOWS\System32\TALDM32A.dll
[2010/06/11 04:57:06 | 000,052,616 | ---- | C] () -- C:\WINDOWS\System32\TAL12832.DLL
[2010/06/11 04:57:06 | 000,022,920 | ---- | C] () -- C:\WINDOWS\System32\TALDM32.DLL
[2010/06/11 04:57:00 | 000,042,376 | ---- | C] () -- C:\WINDOWS\System32\SBSPAINT.DLL
[2010/06/11 04:56:58 | 000,255,368 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN3.DLL
[2010/06/11 04:56:56 | 000,050,568 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN2.DLL
[2010/06/11 04:56:54 | 000,075,656 | ---- | C] () -- C:\WINDOWS\System32\ENCODE32.DLL
[2009/05/23 15:44:28 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2008/12/01 17:11:46 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2007/12/15 19:08:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007/12/15 19:07:15 | 000,000,273 | ---- | C] () -- C:\WINDOWS\BUHL.INI
[2007/12/15 19:03:18 | 000,016,183 | ---- | C] () -- C:\WINDOWS\System32\SELF32.INI
[2007/12/15 19:02:56 | 000,373,248 | ---- | C] () -- C:\WINDOWS\System32\BpShellEx.dll
[2007/12/08 15:13:11 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007/11/20 13:27:18 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2007/11/20 13:16:53 | 003,107,788 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2007/11/20 13:16:53 | 000,972,072 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2007/11/20 13:16:52 | 003,107,788 | R--- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2007/11/20 13:16:52 | 000,149,278 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2007/11/20 13:06:56 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007/11/20 13:01:41 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007/11/20 12:55:08 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007/11/20 12:53:24 | 000,157,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/04/27 04:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2004/08/05 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/05 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/05 07:00:00 | 000,442,890 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/05 07:00:00 | 000,427,274 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/05 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/05 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/05 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/05 07:00:00 | 000,078,118 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/05 07:00:00 | 000,065,772 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/05 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/05 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/05 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/05 07:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/05 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/05 07:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/05 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002/10/15 17:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2002/10/06 13:42:58 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002/10/04 18:04:26 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002/10/04 18:04:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002/10/04 18:04:18 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002/05/15 19:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002/05/04 09:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002/04/19 10:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002/04/19 09:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2001/07/31 05:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2001/06/22 07:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
 
========== LOP Check ==========
 
[2011/11/30 10:48:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\eDocPrintPro
[2011/02/15 04:54:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AMCC
[2011/03/11 16:10:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2010/01/19 15:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eDocPrintPro
[2007/12/15 19:08:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
[2007/11/20 14:29:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HeidiSQL
[2011/11/30 10:45:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2010/08/02 12:11:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MP3Find
[2011/11/30 10:50:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STAMPIT
[2011/10/28 05:05:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YouTube Downloader
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---
__________________

Alt 01.12.2011, 16:15   #34
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Okay, das Log sieht gut aus.

Bitte folgende batch im Normalmode ausführen.

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
>"%temp%\look.txt" (
sc query Browser
sc query DHCP
sc query DNScache
sc query Netman
sc query NLASvc
sc query RPCss
sc query LanmanServer
sc query lmhosts
sc query LanmanWorkstation
sc query wzcsvc
)
notepad "%temp%\look.txt"
del %0
         
  • Wähle Datei --> Speichern unter
  • Dateiname: look.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.

    Es sollte nun ungefähr so aussehen
  • Starte die look.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Es wird sich ein Textdokument öffnen, bitte poste den Inhalt in deiner nächsten Antwort.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 02.12.2011, 19:31   #35
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



so nun hab ich auch mal kurz zeit, hier das Ergebnis


SERVICE_NAME: Browser
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: DHCP
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1068 (0x42c)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: DNScache
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1068 (0x42c)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: Netman
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[SC] EnumQueryServicesStatus:OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.



SERVICE_NAME: RPCss
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: LanmanServer
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: lmhosts
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: LanmanWorkstation
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: wzcsvc
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0


Alt 02.12.2011, 19:46   #36
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
sc config dhcp start= auto
sc config dnscache start= auto
         
  • Wähle Datei --> Speichern unter
  • Dateiname: file.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.

    Es sollte nun ungefähr so aussehen
  • Starte die file.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Starte den Rechner neu auf und berichte ob das Internet wieder geht
__________________
--> Trojaner w32 patchload.a

Alt 02.12.2011, 20:09   #37
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



So gemacht wie dus beschrieben hast, aber der netzwerkzustand bleibt der gleiche.

Hab auch nochmal mit der look.bat nachm neustart kontrolliert ob die beiden sachen wieder laufen, aber stehen weiterhin als stopped drin.

Wenn der rechner startet, läuft alles normal bis der desktop erscheint. Auf diesem kann ich die vorhandene symbole anklicken und auch öffnen, jedoch brauch die taskleiste ewig, bis sie reagiert und alle symbole rechts bei der uhr anzeigt.

Ich denke mal das dauert einfach so ewig, weil er sich irgendwie mit der bescheidenen Netzwerkpolitik auseinandersetzt, die gerade auf meinem rechner herrscht :-(

Alt 02.12.2011, 20:12   #38
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



ach und ich versuche auch schon die ganze zeit meinen sqlserver zum laufen zu bekommen, aber da bekomme ich ähnliche meldungen, wie dienst ist nicht initialliesiert oder so, dabei bräuchte ich mal paar daten daraus *heul*

Alt 02.12.2011, 21:12   #39
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool und klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt, in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Geändert von Larusso (02.12.2011 um 23:31 Uhr)

Alt 03.12.2011, 12:49   #40
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Farbar Service Scanner
Ran by admin (administrator) on 03-12-2011 at 12:46:05
Microsoft Windows XP Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.

IpSec Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open IpSec registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open IpSec registry key. The service key does not exist.

Alt 03.12.2011, 12:54   #41
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



und das programm zeigt error @ line 2342 "error in expression"

Alt 03.12.2011, 16:52   #42
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Okay, das kein Bug in dem Sinne von dem Tool, sondern mehr ein kleiner Denkfehler des Authors

Die Infektion hat uns ne Kleinigkeit gelöscht -.-



Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    ATTFilter
    :filefind
    ipsec.sys
    :reg
    HKLM\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec
             
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 04.12.2011, 09:27   #43
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



taddaaaa :-)

SystemLook 30.07.11 by jpshortstuff
Log created at 09:21 on 04/12/2011 by admin
Administrator - Elevation successful

========== filefind ==========

Searching for "ipsec.sys"
C:\sysbackup\$ntservicepackuninstall$\ipsec.sys -----c- 74752 bytes [13:15 25/10/2011] [12:00 05/08/2004] 64537AA5C003A6AFEEE1DF819062D0D1
C:\WINDOWS\ServicePackFiles\i386\ipsec.sys ------- 75264 bytes [13:20 25/10/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91
C:\WINDOWS\system32\dllcache\ipsec.sys --a--c- 75264 bytes [09:43 30/11/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91
C:\WINDOWS\system32\drivers\ipsec.sys --a---- 75264 bytes [09:43 30/11/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91

========== reg ==========

[HKEY_LOCAL_MACHINE\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
(Unable to open key - key not found)

-= EOF =-

Alt 04.12.2011, 15:25   #44
Larusso
/// Selecta Jahrusso
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



Hy, der Wert wurde gelöscht. Ich such dafür jetzt einen Fix.

Mache bitte in der Zwischenzeit

Downloade und installiere bitte Erunt.
Bitte belasse die Einstellungen wie sie sind.
  • Starte Erunt und bestätige die "Willkommen" Box mit OK
  • Wähle bitte folgende Sicherungsoptionen

    • Systemregistrierung
    • Registrierung des aktuellen Benutzers
    • Andere geöffnete Benutzerregistrierungen

  • Klicke OK und warte bis die Sicherung abgeschlossen ist.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 04.12.2011, 15:34   #45
ddonline
 
Trojaner w32 patchload.a - Standard

Trojaner w32 patchload.a



gesagt getan ;-)

Antwort

Themen zu Trojaner w32 patchload.a
0x00000001, alternate, antivir, avira, bho, browser, desktop, dllcache, download, einstellungen, explorer, firefox, fontcache, format, homepage, logfile, mozilla thunderbird, opera, plug-in, problem, realtek, registry, safer networking, sched.exe, schnelle hilfe, server, software, trojaner, windows, windows xp, winlogon, yahoo



Ähnliche Themen: Trojaner w32 patchload.a


  1. Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll
    Log-Analyse und Auswertung - 05.08.2012 (12)
  2. W32/PatchLoad.A und weitere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (8)
  3. W32/patchload.a vom PC entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (6)
  4. W32/patchload.a vom PC entfernen
    Alles rund um Windows - 30.12.2011 (5)
  5. W32 Patchload.a und weitere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (3)
  6. W32/patchload.a entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2011 (8)
  7. Patchload.A ZAccess.EA Crypt.XPACK.Gen stören massiv das System!
    Log-Analyse und Auswertung - 20.11.2011 (18)
  8. Patchload.O eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.11.2011 (37)
  9. patchload.a , win32.PMax.gen und win32.ZAccess.e
    Plagegeister aller Art und deren Bekämpfung - 06.11.2011 (10)
  10. Virusbefall mit "patchload.o" lt. Security Essentials
    Plagegeister aller Art und deren Bekämpfung - 14.10.2011 (10)
  11. Trojaner w32 patchload.a und TR/Kazy.24148
    Plagegeister aller Art und deren Bekämpfung - 20.09.2011 (48)
  12. TR/PatchLoad.29295.1.2 ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (6)

Zum Thema Trojaner w32 patchload.a - Ich seh da echt nichts mehr :/ Starte bitte nochmal mit OTLPE und poste mir ne OTL.txt - Trojaner w32 patchload.a...
Archiv
Du betrachtest: Trojaner w32 patchload.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.