Trojaner w32 patchload.a
 

Hallo,

ich habe selbiges Problem wie in dem Forenbertrag von Oemmel

http://www.trojaner-board.de/103091-...24148-a-5.html

habe mir nun auch schon OTLPE gebrannt, gestartet und gescant, aber wei- nicht weiter, weil meinereins ja keinerlei Ahnung von der Auswertung der OTL.txt ^ co hat.

Deshalb hoffe ich, dass ihr mir helfen koennt.

Hier mal die OTL.txt

und die Extras.txt wird bei mir irgendwie nicht erstellt, ist auch nirgends zu finden aufm rechner.

Hoffe auf eine schnelle hilfe :crazy:

Hy,

XP und deine Infektion sind keine guten Freunde und ich habe das Gefühl, du betreibst auch Online Banking.

Ich kann versuchen das System zu bereinigen, kann aber auch mit einer Neuinstallation des Systems enden.

Deine Entscheidung ( Ich würde neu aufsetzen )

ich wuerds gerne erstmal mit repariern probier, die onlinebankingsoftware is eh nur mit nem demokonto versehen, von dahernich ganz so tragisch.

aber schonmal dank fuer die schnelle meldung :party:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Kannst du deinen Rechner normal starten ?

Der rechner startet bis avira meldet das viren gefunden wurden, dann steht kurz alles still, bevor der virusscanner startet und dann kommt irgendwann der bekannte blaue bildschirm und der rechner startet von vorn.

Mir ist es auch mal gelungen windows kurz am laufen zu behalten und da ist mir aufgefallen, das keine netywerkverbindung da ist, obwohl das netywerkzeichen leuchtet und verbindung anzeigt, jedoch im status keinerlei adressen angezeigt werden.

auch und ich bin uebrigens der Torsten

Okay,

Um deine Netzwerkverbindung kümmern wir uns später.


Es sollte dir eigentlich möglich sein, via OTLPE ins Netz zu kommen. Geht das ?
( Sorry, wollte ich eigentlich vorher schon fragen )

jepp bin ich auch gerade

Macht die Sache um einiges einfacher für dich.
Bevor wir uns um die Infektion kümmern, brauche ich ein paar genauere Informationen.

• Starte bitte die OTLPE.
  
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte den Scan Button.
• Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

so fertig und hier ist das ergebnis

OTL Logfile:
--- --- ---

so fertig und hier ist das ergebnis

OTL Logfile:
--- --- ---

Okay, die Datei scheint sauber zu sein, muss ich dann tiefer graben.

( FOlgende Anleitung ist für das normale OTL gedacht, Skript kann aber verwendet werden. )

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Berichte ob du nun wieder in den Normalmodus booten kannst

so erstmal die Log.datei

jepp er startet wieder, brauch am anfang zwar echt lang, aber avira meckert nich und auch der blaue Bildschirm bleibt aus.
Aber da wäre immernoch dieses bescheidene netzwerkproblem. Nach wie vor, netzwerksymbol is in der taskleiste vorhanden, zeigt auch aktiv an, jedoch keine statusadressen angezeigt.

geb ich bei cmd ipconfig ein, steht geschrieben ""Ein interner fehler ist aufgetreten: Die Anforderung wird nicht unterstützt""

Aber trotzdem schonmal danke das ich wieder windows erblicken darf :-)

und diese 7186***:240***.exe steht bei prozesse auch noch drin

und gerade kam wieder eine meldung von avira, w32/patchload.a gefunden *heul*

Vergiss diese Meldungen erstmal.

Wie gesagt, Garantie, dass wir das Teil wieder weg bekommen hab ich keine.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Bitte poste in deiner nächsten Antwort
Combofix.txt

Combofix Logfile:
--- --- ---

Sieht ganz gut aus jetzt. Wie läuft der Rechner ?

Naja normal halt, musste aber avira deinstallieren, weil mir combofix immernoch angezeigt hatte, das der scanner läuft, von daher kann das auch gerade nich nerven :-)

Und netzwerk geht eben nich und google kann mir dazu auch irgendwie keine passenden lösungsansätze liefern.

Combofix hatte den rechner vorm richtigen scan auch nochmal neu gestartet da in irgendeinem rootkit ein virus festgestellt wurde.

Lese meine Anweisungen genau !!
ausgeführt von:: E:\ComboFix.exe

Das sind keine Spielzeuge mehr.


Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix Logfile:
--- --- ---

Sieht eigentlich ganz gut aus jetzt :)



Drücke mal die Windows + R Taste und kopiere folgende Befehle nacheinander hinein und drücke OK
netsh winsock reset
netsh int ip reset


Starte den Rechner neu und berichte ob dein Inet wieder läuft :)

mmhhhh

systemstart dauert ne ganze weile, desktopbild is schon zu sehen, aber bevors dann weiter geht dauerts sicher 2-3 minuten.

Inet geht weiterhin nich, ansonsten merke ich jetzt erstmal keine weiteren probleme, außer das mein mysql nich mehr läuft und ich es wahrscheinlich neu installieren muss funkst allet.

Aber so Inet is jetzt och quatsch avira zu installieren, weil ja keine updates abrufbar sind *gruebel*

Okay, sehn wir nochmal drüber


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

gesagt getan

16:38:29.0812 0940 TDSS rootkit removing tool 2.6.21.0 Nov 24 2011 12:32:44
16:38:29.0843 0940 ============================================================
16:38:29.0843 0940 Current date / time: 2011/11/30 16:38:29.0843
16:38:29.0843 0940 SystemInfo:
16:38:29.0843 0940
16:38:29.0843 0940 OS Version: 5.1.2600 ServicePack: 3.0
16:38:29.0843 0940 Product type: Workstation
16:38:29.0843 0940 ComputerName: SERVER
16:38:29.0843 0940 UserName: admin
16:38:29.0843 0940 Windows directory: C:\WINDOWS
16:38:29.0843 0940 System windows directory: C:\WINDOWS
16:38:29.0843 0940 Processor architecture: Intel x86
16:38:29.0843 0940 Number of processors: 1
16:38:29.0843 0940 Page size: 0x1000
16:38:29.0843 0940 Boot type: Normal boot
16:38:29.0843 0940 ============================================================
16:38:30.0921 0940 Initialize success
16:38:38.0875 1188 ============================================================
16:38:38.0875 1188 Scan started
16:38:38.0875 1188 Mode: Manual;
16:38:38.0875 1188 ============================================================
16:38:39.0296 1188 Abiosdsk - ok
16:38:39.0312 1188 abp480n5 - ok
16:38:39.0343 1188 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
16:38:39.0359 1188 ACPI - ok
16:38:39.0375 1188 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
16:38:39.0375 1188 ACPIEC - ok
16:38:39.0390 1188 adpu160m - ok
16:38:39.0421 1188 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
16:38:39.0421 1188 aec - ok
16:38:39.0437 1188 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
16:38:39.0453 1188 AFD - ok
16:38:39.0453 1188 Aha154x - ok
16:38:39.0468 1188 ahcix86 (f1b9e3a223ca684d98bb91fd82157601) C:\WINDOWS\system32\drivers\ahcix86.sys
16:38:39.0468 1188 ahcix86 - ok
16:38:39.0484 1188 aic78u2 - ok
16:38:39.0500 1188 aic78xx - ok
16:38:39.0515 1188 AliIde - ok
16:38:39.0515 1188 amsint - ok
16:38:39.0531 1188 asc - ok
16:38:39.0546 1188 asc3350p - ok
16:38:39.0546 1188 asc3550 - ok
16:38:39.0593 1188 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
16:38:39.0593 1188 AsyncMac - ok
16:38:39.0609 1188 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
16:38:39.0609 1188 atapi - ok
16:38:39.0625 1188 Atdisk - ok
16:38:39.0718 1188 ati2mtag (cd5c874245435c9ce7e347e28cf3c6b5) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
16:38:39.0734 1188 ati2mtag - ok
16:38:39.0765 1188 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
16:38:39.0781 1188 Atmarpc - ok
16:38:39.0828 1188 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
16:38:39.0828 1188 audstub - ok
16:38:39.0843 1188 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
16:38:39.0843 1188 Beep - ok
16:38:39.0859 1188 catchme - ok
16:38:39.0875 1188 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
16:38:39.0875 1188 cbidf2k - ok
16:38:39.0890 1188 cd20xrnt - ok
16:38:39.0906 1188 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
16:38:39.0921 1188 Cdaudio - ok
16:38:39.0937 1188 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
16:38:39.0937 1188 Cdfs - ok
16:38:39.0968 1188 Cdrom (4b0a100eaf5c49ef3cca8c641431eacc) C:\WINDOWS\system32\DRIVERS\cdrom.sys
16:38:39.0968 1188 Cdrom - ok
16:38:39.0984 1188 Changer - ok
16:38:40.0000 1188 CmdIde - ok
16:38:40.0015 1188 Cpqarray - ok
16:38:40.0078 1188 CrystalSysInfo (f054744f67576a01139885173392502b) C:\Programme\MediaCoder\SysInfo.sys
16:38:40.0078 1188 CrystalSysInfo - ok
16:38:40.0093 1188 dac2w2k - ok
16:38:40.0109 1188 dac960nt - ok
16:38:40.0140 1188 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
16:38:40.0140 1188 Disk - ok
16:38:40.0218 1188 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
16:38:40.0234 1188 dmboot - ok
16:38:40.0265 1188 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
16:38:40.0265 1188 dmio - ok
16:38:40.0281 1188 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
16:38:40.0281 1188 dmload - ok
16:38:40.0296 1188 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
16:38:40.0296 1188 DMusic - ok
16:38:40.0343 1188 dot4 (3e4b043f8bc6be1d4820cc6c9c500306) C:\WINDOWS\system32\DRIVERS\Dot4.sys
16:38:40.0343 1188 dot4 - ok
16:38:40.0375 1188 Dot4Print (77ce63a8a34ae23d9fe4c7896d1debe7) C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys
16:38:40.0375 1188 Dot4Print - ok
16:38:40.0406 1188 dot4usb (29e86af2f3457d0441348020fe3cfbd0) C:\WINDOWS\system32\DRIVERS\dot4usb.sys
16:38:40.0406 1188 dot4usb - ok
16:38:40.0421 1188 dpti2o - ok
16:38:40.0453 1188 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
16:38:40.0468 1188 drmkaud - ok
16:38:40.0500 1188 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
16:38:40.0500 1188 Fastfat - ok
16:38:40.0546 1188 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
16:38:40.0546 1188 Fdc - ok
16:38:40.0562 1188 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
16:38:40.0562 1188 Fips - ok
16:38:40.0578 1188 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
16:38:40.0578 1188 Flpydisk - ok
16:38:40.0609 1188 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
16:38:40.0609 1188 FltMgr - ok
16:38:40.0625 1188 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
16:38:40.0625 1188 Fs_Rec - ok
16:38:40.0640 1188 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
16:38:40.0640 1188 Ftdisk - ok
16:38:40.0671 1188 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
16:38:40.0671 1188 Gpc - ok
16:38:40.0703 1188 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
16:38:40.0703 1188 HDAudBus - ok
16:38:40.0718 1188 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
16:38:40.0718 1188 hidusb - ok
16:38:40.0750 1188 hpn - ok
16:38:40.0796 1188 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
16:38:40.0796 1188 HTTP - ok
16:38:40.0812 1188 i2omgmt - ok
16:38:40.0828 1188 i2omp - ok
16:38:40.0843 1188 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
16:38:40.0843 1188 i8042prt - ok
16:38:40.0859 1188 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
16:38:40.0859 1188 Imapi - ok
16:38:40.0875 1188 ini910u - ok
16:38:41.0000 1188 IntcAzAudAddService (a799e941c3d19bcf6f93cbe12b55bc17) C:\WINDOWS\system32\drivers\RtkHDAud.sys
16:38:41.0031 1188 IntcAzAudAddService - ok
16:38:41.0046 1188 IntelIde - ok
16:38:41.0046 1188 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
16:38:41.0062 1188 Ip6Fw - ok
16:38:41.0078 1188 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
16:38:41.0078 1188 IpFilterDriver - ok
16:38:41.0109 1188 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
16:38:41.0109 1188 IpInIp - ok
16:38:41.0125 1188 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
16:38:41.0125 1188 IpNat - ok
16:38:41.0156 1188 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
16:38:41.0156 1188 IRENUM - ok
16:38:41.0171 1188 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
16:38:41.0171 1188 isapnp - ok
16:38:41.0187 1188 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
16:38:41.0187 1188 Kbdclass - ok
16:38:41.0187 1188 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
16:38:41.0187 1188 kbdhid - ok
16:38:41.0218 1188 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
16:38:41.0218 1188 kmixer - ok
16:38:41.0234 1188 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
16:38:41.0234 1188 KSecDD - ok
16:38:41.0250 1188 lbrtfdc - ok
16:38:41.0281 1188 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
16:38:41.0281 1188 mnmdd - ok
16:38:41.0296 1188 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
16:38:41.0296 1188 Modem - ok
16:38:41.0312 1188 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
16:38:41.0312 1188 Mouclass - ok
16:38:41.0328 1188 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
16:38:41.0328 1188 mouhid - ok
16:38:41.0343 1188 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
16:38:41.0343 1188 MountMgr - ok
16:38:41.0343 1188 mraid35x - ok
16:38:41.0359 1188 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
16:38:41.0359 1188 MRxDAV - ok
16:38:41.0390 1188 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
16:38:41.0406 1188 MRxSmb - ok
16:38:41.0421 1188 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
16:38:41.0421 1188 Msfs - ok
16:38:41.0437 1188 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
16:38:41.0437 1188 MSKSSRV - ok
16:38:41.0484 1188 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
16:38:41.0484 1188 MSPCLOCK - ok
16:38:41.0500 1188 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
16:38:41.0500 1188 MSPQM - ok
16:38:41.0515 1188 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
16:38:41.0515 1188 mssmbios - ok
16:38:41.0531 1188 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
16:38:41.0531 1188 Mup - ok
16:38:41.0546 1188 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
16:38:41.0546 1188 NDIS - ok
16:38:41.0562 1188 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
16:38:41.0562 1188 NdisTapi - ok
16:38:41.0593 1188 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
16:38:41.0593 1188 Ndisuio - ok
16:38:41.0609 1188 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
16:38:41.0609 1188 NdisWan - ok
16:38:41.0625 1188 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
16:38:41.0625 1188 NDProxy - ok
16:38:41.0625 1188 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
16:38:41.0640 1188 NetBIOS - ok
16:38:41.0656 1188 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
16:38:41.0656 1188 NetBT - ok
16:38:41.0687 1188 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
16:38:41.0687 1188 Npfs - ok
16:38:41.0718 1188 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
16:38:41.0718 1188 Ntfs - ok
16:38:41.0734 1188 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
16:38:41.0734 1188 Null - ok
16:38:41.0765 1188 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
16:38:41.0765 1188 NwlnkFlt - ok
16:38:41.0812 1188 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
16:38:41.0812 1188 NwlnkFwd - ok
16:38:41.0843 1188 NwlnkIpx (8b8b1be2dba4025da6786c645f77f123) C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys
16:38:41.0843 1188 NwlnkIpx - ok
16:38:41.0875 1188 NwlnkNb (56d34a67c05e94e16377c60609741ff8) C:\WINDOWS\system32\DRIVERS\nwlnknb.sys
16:38:41.0875 1188 NwlnkNb - ok
16:38:41.0890 1188 NwlnkSpx (c0bb7d1615e1acbdc99757f6ceaf8cf0) C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys
16:38:41.0890 1188 NwlnkSpx - ok
16:38:41.0906 1188 OXYGEN - ok
16:38:41.0921 1188 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
16:38:41.0921 1188 Parport - ok
16:38:41.0937 1188 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
16:38:41.0937 1188 PartMgr - ok
16:38:41.0953 1188 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
16:38:41.0953 1188 ParVdm - ok
16:38:41.0968 1188 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
16:38:41.0968 1188 PCI - ok
16:38:41.0968 1188 PCIDump - ok
16:38:41.0984 1188 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
16:38:41.0984 1188 PCIIde - ok
16:38:42.0015 1188 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
16:38:42.0015 1188 Pcmcia - ok
16:38:42.0031 1188 PDCOMP - ok
16:38:42.0046 1188 PDFRAME - ok
16:38:42.0062 1188 PDRELI - ok
16:38:42.0062 1188 PDRFRAME - ok
16:38:42.0078 1188 perc2 - ok
16:38:42.0093 1188 perc2hib - ok
16:38:42.0125 1188 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
16:38:42.0125 1188 PptpMiniport - ok
16:38:42.0140 1188 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
16:38:42.0140 1188 Processor - ok
16:38:42.0156 1188 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
16:38:42.0156 1188 Ptilink - ok
16:38:42.0171 1188 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
16:38:42.0171 1188 PxHelp20 - ok
16:38:42.0171 1188 ql1080 - ok
16:38:42.0187 1188 Ql10wnt - ok
16:38:42.0203 1188 ql12160 - ok
16:38:42.0203 1188 ql1240 - ok
16:38:42.0218 1188 ql1280 - ok
16:38:42.0234 1188 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
16:38:42.0234 1188 RasAcd - ok
16:38:42.0250 1188 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
16:38:42.0250 1188 Rasl2tp - ok
16:38:42.0265 1188 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
16:38:42.0265 1188 RasPppoe - ok
16:38:42.0281 1188 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
16:38:42.0281 1188 Raspti - ok
16:38:42.0296 1188 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
16:38:42.0296 1188 Rdbss - ok
16:38:42.0296 1188 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
16:38:42.0296 1188 RDPCDD - ok
16:38:42.0312 1188 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
16:38:42.0328 1188 rdpdr - ok
16:38:42.0359 1188 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
16:38:42.0359 1188 RDPWD - ok
16:38:42.0390 1188 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
16:38:42.0390 1188 redbook - ok
16:38:42.0421 1188 RTL8023xp (1e11171c0b9989e1bdaa59e96b2e81c4) C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
16:38:42.0421 1188 RTL8023xp - ok
16:38:42.0468 1188 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
16:38:42.0468 1188 Secdrv - ok
16:38:42.0484 1188 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
16:38:42.0484 1188 serenum - ok
16:38:42.0500 1188 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
16:38:42.0500 1188 Serial - ok
16:38:42.0515 1188 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
16:38:42.0515 1188 Sfloppy - ok
16:38:42.0531 1188 Simbad - ok
16:38:42.0546 1188 Sparrow - ok
16:38:42.0578 1188 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
16:38:42.0578 1188 splitter - ok
16:38:42.0593 1188 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
16:38:42.0593 1188 sr - ok
16:38:42.0609 1188 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
16:38:42.0609 1188 Srv - ok
16:38:42.0640 1188 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
16:38:42.0640 1188 ssmdrv - ok
16:38:42.0671 1188 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
16:38:42.0671 1188 StarOpen - ok
16:38:42.0687 1188 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
16:38:42.0687 1188 swenum - ok
16:38:42.0703 1188 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
16:38:42.0703 1188 swmidi - ok
16:38:42.0718 1188 symc810 - ok
16:38:42.0734 1188 symc8xx - ok
16:38:42.0750 1188 sym_hi - ok
16:38:42.0750 1188 sym_u3 - ok
16:38:42.0781 1188 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
16:38:42.0781 1188 sysaudio - ok
16:38:42.0843 1188 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
16:38:42.0859 1188 Tcpip - ok
16:38:42.0875 1188 Tcpip6 (aa7a55536096d646dc7ab0ac5641e9e8) C:\WINDOWS\system32\DRIVERS\tcpip6.sys
16:38:42.0875 1188 Tcpip6 - ok
16:38:42.0906 1188 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
16:38:42.0906 1188 TDPIPE - ok
16:38:42.0921 1188 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
16:38:42.0921 1188 TDTCP - ok
16:38:42.0937 1188 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
16:38:42.0937 1188 TermDD - ok
16:38:42.0953 1188 TosIde - ok
16:38:42.0984 1188 tunmp (8f861eda21c05857eb8197300a92501c) C:\WINDOWS\system32\DRIVERS\tunmp.sys
16:38:42.0984 1188 tunmp - ok
16:38:43.0000 1188 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
16:38:43.0000 1188 Udfs - ok
16:38:43.0015 1188 ultra - ok
16:38:43.0031 1188 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
16:38:43.0031 1188 Update - ok
16:38:43.0078 1188 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
16:38:43.0078 1188 usbaudio - ok
16:38:43.0093 1188 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
16:38:43.0093 1188 usbccgp - ok
16:38:43.0109 1188 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
16:38:43.0109 1188 usbehci - ok
16:38:43.0125 1188 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
16:38:43.0125 1188 usbhub - ok
16:38:43.0140 1188 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
16:38:43.0156 1188 usbohci - ok
16:38:43.0171 1188 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
16:38:43.0171 1188 usbscan - ok
16:38:43.0203 1188 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:38:43.0203 1188 USBSTOR - ok
16:38:43.0218 1188 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
16:38:43.0218 1188 VgaSave - ok
16:38:43.0218 1188 ViaIde - ok
16:38:43.0250 1188 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
16:38:43.0250 1188 VolSnap - ok
16:38:43.0281 1188 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
16:38:43.0281 1188 Wanarp - ok
16:38:43.0343 1188 Wdf01000 (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys
16:38:43.0343 1188 Wdf01000 - ok
16:38:43.0343 1188 WDICA - ok
16:38:43.0375 1188 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
16:38:43.0375 1188 wdmaud - ok
16:38:43.0421 1188 WinUSB (fd600b032e741eb6aab509fc630f7c42) C:\WINDOWS\system32\DRIVERS\WinUSB.sys
16:38:43.0421 1188 WinUSB - ok
16:38:43.0484 1188 WudfPf (eaa6324f51214d2f6718977ec9ce0def) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
16:38:43.0484 1188 WudfPf - ok
16:38:43.0515 1188 WudfRd (f91ff1e51fca30b3c3981db7d5924252) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
16:38:43.0515 1188 WudfRd - ok
16:38:43.0562 1188 zumbus (ae279cd76b38fc079eec3ca6d65a5926) C:\WINDOWS\system32\DRIVERS\zumbus.sys
16:38:43.0562 1188 zumbus - ok
16:38:43.0578 1188 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
16:38:43.0703 1188 \Device\Harddisk0\DR0 - ok
16:38:43.0703 1188 MBR (0x1B8) (180dbde3af7ea48b3db3ac27b1ddf401) \Device\Harddisk1\DR2
16:38:43.0718 1188 \Device\Harddisk1\DR2 - ok
16:38:43.0718 1188 Boot (0x1200) (bdcc58d3670ba15538ab9e0b3fe60017) \Device\Harddisk0\DR0\Partition0
16:38:43.0734 1188 \Device\Harddisk0\DR0\Partition0 - ok
16:38:43.0734 1188 Boot (0x1200) (3c7f9402429afae93a92c44a0e41395a) \Device\Harddisk1\DR2\Partition0
16:38:43.0734 1188 \Device\Harddisk1\DR2\Partition0 - ok
16:38:43.0734 1188 ============================================================
16:38:43.0734 1188 Scan finished
16:38:43.0734 1188 ============================================================
16:38:43.0750 1200 Detected object count: 0
16:38:43.0750 1200 Actual detected object count: 0

Auch sauber, kann gut sein, oder auch nicht :D

Sehen wir uns noch einen 2. Rootkit Scan an.


Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in deiner nächsten Antwort
gmer.txt

ähm wird der auch irgendwann nochmal fertig? Der läuft nun ja schon fast 2 stunden *gruebel*

kann dauern,

so endlich geschafft :-)

GMER Logfile:
--- --- ---

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Combofix Logfile:
--- --- ---

Ich seh da echt nichts mehr :/

Starte bitte nochmal mit OTLPE und poste mir ne OTL.txt

morgen, guts nächtle

GuMo :-)OTL Logfile:
--- --- ---

Okay, das Log sieht gut aus.

Bitte folgende batch im Normalmode ausführen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: look.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die look.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Es wird sich ein Textdokument öffnen, bitte poste den Inhalt in deiner nächsten Antwort.

so nun hab ich auch mal kurz zeit, hier das Ergebnis


SERVICE_NAME: Browser
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: DHCP
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1068 (0x42c)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: DNScache
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1068 (0x42c)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: Netman
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[SC] EnumQueryServicesStatus:OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.



SERVICE_NAME: RPCss
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: LanmanServer
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: lmhosts
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: LanmanWorkstation
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: wzcsvc
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: file.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die file.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Starte den Rechner neu auf und berichte ob das Internet wieder geht

So gemacht wie dus beschrieben hast, aber der netzwerkzustand bleibt der gleiche.

Hab auch nochmal mit der look.bat nachm neustart kontrolliert ob die beiden sachen wieder laufen, aber stehen weiterhin als stopped drin.

Wenn der rechner startet, läuft alles normal bis der desktop erscheint. Auf diesem kann ich die vorhandene symbole anklicken und auch öffnen, jedoch brauch die taskleiste ewig, bis sie reagiert und alle symbole rechts bei der uhr anzeigt.

Ich denke mal das dauert einfach so ewig, weil er sich irgendwie mit der bescheidenen Netzwerkpolitik auseinandersetzt, die gerade auf meinem rechner herrscht :-(

ach und ich versuche auch schon die ganze zeit meinen sqlserver zum laufen zu bekommen, aber da bekomme ich ähnliche meldungen, wie dienst ist nicht initialliesiert oder so, dabei bräuchte ich mal paar daten daraus *heul*

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool und klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt, in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Farbar Service Scanner
Ran by admin (administrator) on 03-12-2011 at 12:46:05
Microsoft Windows XP Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.

IpSec Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to open IpSec registry key. The service key does not exist.
Checking ImagePath: Attention! Unable to open IpSec registry key. The service key does not exist.

und das programm zeigt error @ line 2342 "error in expression"

Okay, das kein Bug in dem Sinne von dem Tool, sondern mehr ein kleiner Denkfehler des Authors :)

Die Infektion hat uns ne Kleinigkeit gelöscht -.-



Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :filefind
ipsec.sys
:reg
HKLM\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

taddaaaa :-)

SystemLook 30.07.11 by jpshortstuff
Log created at 09:21 on 04/12/2011 by admin
Administrator - Elevation successful

========== filefind ==========

Searching for "ipsec.sys"
C:\sysbackup\$ntservicepackuninstall$\ipsec.sys -----c- 74752 bytes [13:15 25/10/2011] [12:00 05/08/2004] 64537AA5C003A6AFEEE1DF819062D0D1
C:\WINDOWS\ServicePackFiles\i386\ipsec.sys ------- 75264 bytes [13:20 25/10/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91
C:\WINDOWS\system32\dllcache\ipsec.sys --a--c- 75264 bytes [09:43 30/11/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91
C:\WINDOWS\system32\drivers\ipsec.sys --a---- 75264 bytes [09:43 30/11/2011] [22:49 13/04/2008] 23C74D75E36E7158768DD63D92789A91

========== reg ==========

[HKEY_LOCAL_MACHINE\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
(Unable to open key - key not found)

-= EOF =-

Hy, der Wert wurde gelöscht. Ich such dafür jetzt einen Fix.

Mache bitte in der Zwischenzeit

Downloade und installiere bitte Erunt.
Bitte belasse die Einstellungen wie sie sind.

• Starte Erunt und bestätige die "Willkommen" Box mit OK
• Wähle bitte folgende Sicherungsoptionen
  
  
  • Systemregistrierung
  • Registrierung des aktuellen Benutzers
  • Andere geöffnete Benutzerregistrierungen
  
  
• Klicke OK und warte bis die Sicherung abgeschlossen ist.

gesagt getan ;-)

MOMENT.

Ich hab da einen Fehler im Skript gemacht.


Lass bitte Systemlook mit folgendem Skript laufen.


Bitte die Systemlook.txt hier posten :)

erste variante hat auch nich zum erfolg geführt.

hier nun die systemlook.txt

SystemLook 30.07.11 by jpshortstuff
Log created at 16:04 on 04/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\ipsec.sys"
"DisplayName"="IPSEC-Treiber"
"Group"="PNP_TDI"
"Description"="IPSEC-Treiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Security]


-= EOF =-

Okay, jetzt muss ich bissche graben

Bitte folgendes.

SystemLook 30.07.11 by jpshortstuff
Log created at 19:36 on 04/12/2011 by admin
Administrator - Elevation successful

========== filefind ==========

Searching for "Tcpip.sys"
C:\sysbackup\$ntservicepackuninstall$\tcpip.sys -----c- 359040 bytes [13:15 25/10/2011] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C
C:\WINDOWS\ERDNT\cache\tcpip.sys --a---- 361344 bytes [14:11 30/11/2011] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733
C:\WINDOWS\ServicePackFiles\i386\tcpip.sys ------- 361344 bytes [13:21 25/10/2011] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733
C:\WINDOWS\system32\drivers\tcpip.sys --a---- 361344 bytes [12:00 05/08/2004] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733

Searching for "afd.sys"
C:\sysbackup\$ntservicepackuninstall$\afd.sys -----c- 138496 bytes [13:15 25/10/2011] [12:00 05/08/2004] 5AC495F4CB807B2B98AD2AD591E6D92E
C:\WINDOWS\ServicePackFiles\i386\afd.sys ------- 138112 bytes [13:20 25/10/2011] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD
C:\WINDOWS\system32\drivers\afd.sys --a---- 138112 bytes [12:00 05/08/2004] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\tcpip.sys"
"DisplayName"="TCP/IP-Protokolltreiber"
"Group"="PNP_TDI"
"DependOnService"="IPSec"
"DependOnGroup"=" "
"Description"="TCP/IP-Protokolltreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Linkage]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Performance]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\ServiceProvider]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Enum]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd]
"DisplayName"="AFD"
"Description"="Umgebung für AFD-Netzwerkunterstützung"
"Group"="TDI"
"ImagePath"="\SystemRoot\System32\drivers\afd.sys"
"Start"= 0x0000000001 (1)
"Type"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Enum]


-= EOF =-

Downloade dir bitte die angehängte Service.bat und poste mir die erstellte look.txt

[SC] EnumQueryServicesStatus:OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.



SERVICE_NAME: tcpip
TYPE : 1 KERNEL_DRIVER
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 31 (0x1f)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: afd
TYPE : 1 KERNEL_DRIVER
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: ipsec
TYPE : 1 KERNEL_DRIVER
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 31 (0x1f)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.


[SC] StartService FAILED 1058:

Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


[SC] StartService: OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.


[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Jetzt nervts dann :D


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Berichte bitte, ob das internet jetzt wieder läuft

Also ich weiß ja garnich wie ichs so richtig schreiben soll, aber es geht immernoch nich :´(
Combofix Logfile:
--- --- ---

Lass bitte Farbars Service Scanner nochmal laufen und poste die Log.

Schön langsam verzweifle ich hier -.-

nich nur du ;-)

Farbar Service Scanner
Ran by admin (administrator) on 05-12-2011 at 16:20:21
Microsoft Windows XP Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.

IpSec Service is not running. Checking service configuration:
The start type of IpSec service is OK.
The ImagePath of IpSec service is OK.

jetzt is der daniel langsam ratlos oder?

Ich war nur mit dem Handy online

Naja, dann jetzt muss ich mir da mal was ganz genau ansehen.

Ich arbeite da jetzt ein Skript aus, das kann etwas dauern und ich muss dann gleich auf Arbeit.
Melde mich so schnell als möglich wieder :)

Okay, mal da rein sehen.
Wenn die verändert wurden, wirds lustig :D


Systemlook

Na dann guck mal ;-)

SystemLook 30.07.11 by jpshortstuff
Log created at 09:44 on 06/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\ipsec.sys"
"DisplayName"="IPSEC-Treiber"
"Group"="PNP_TDI"
"Description"="IPSEC-Treiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Enum]
"0"="Root\LEGACY_IPSEC\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Security]
"Security"=01 00 14 80 90 00 00 00 9c 00 00 00 14 00 00 00 30 00 00 00 02 00 1c 00 01 00 00 00 02 80 14 00 ff 01 0f 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 fd 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 ff 01 0f 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8d 01 02 00 01 01 00 00 00 00 00 05 0b 00 00 00 00 00 18 00 fd 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 (REG_BINARY)


[HKEY_LOCAL_MACHINE\system\CurrentControlset\enum\root\legacy_ipsec]
(Unable to open key - key not found)

[]
Hive unrecognized.

-= EOF =-

Könntest du mir einen Gefallen tun. Da es ein XP ist, kann es sein, dass das Tool hier nicht genug Power hat.


Drücke mal die Windows + R Taste und schreibe regedit hinein.

Folge nun folgenden Pfad.

Sollte der Schlüssel legacy_ipsec wirklich nicht da sein, gib mir bitte bescheid.

da hast du richtig gedacht, es gibt lediglich:

ip6fw
ipnat &
iprip

Okay, um diesen Schlüssel wieder herzustellen, bedarf es höhere Rechte.

Ich muss da mal einen Expert um Hilfe bitten. Melde mich so schnell wie möglich

Morgen :)

Ich trau dir jetzt ein bisschen was zu, da wir versuchen müssen, das manuell zu machen.


Öffne bitte erneut regedit und folge folgendem Pfad.
Rechtsklick auf den Root Schlüssel und wähle Berechtigungen.
Markiere Jeder und setze einen Haken bei Vollzugriff

Klicke Übernehmen und OK.

Wichtig: Sollte hier eine Meldung auftreten, dass die Berechtigungen nicht gespeichert wurden, fahre nicht fort sondern gib mir bescheid.



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: regfix.reg
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so ausehen http://image.hijackthis.eu/upload/regfix_kl.jpg
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Berichte bitte ob das geklappt hat :)

Ich muss dir leider mitteilen, dass es nicht funktioniert hat.

Der Registry Eintrag IP-Sec ist vorhanden. Ich war mal so frei gleich den Farbarscanner durchlaufen zu lassen

Farbar Service Scanner
Ran by admin (administrator) on 08-12-2011 at 08:56:06
Microsoft Windows XP Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.


File Check:
===========
C:\WINDOWS\system32\svchost.exe
[2004-08-05 13:00] - [2008-04-14 06:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2004-08-05 13:00] - [2008-04-14 06:52] - 0399360 ____A (Microsoft Corporation) E970C2296916BF4A2F958680016FE312

C:\WINDOWS\system32\services.exe
[2004-08-05 13:00] - [2008-04-14 06:53] - 0109056 ____A (Microsoft Corporation) 4BB6A83640F1D1792AD21CE767B621C6

C:\WINDOWS\system32\dhcpcsvc.dll
[2004-08-05 13:00] - [2008-04-14 06:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys
[2004-08-05 13:00] - [2004-08-05 13:00] - 0359040 ____A (Microsoft Corporation) 9F4B36614A0FC234525BA224957DE55C

C:\WINDOWS\system32\Drivers\ipsec.sys
[2011-11-30 10:43] - [2004-08-05 13:00] - 0074752 ____A (Microsoft Corporation) 64537AA5C003A6AFEEE1DF819062D0D1

C:\WINDOWS\system32\dnsrslvr.dll
[2004-08-05 13:00] - [2008-04-14 06:52] - 0045568 ____A (Microsoft Corporation) 8C9ED3B2834AAE63081AB2DA831C6FE9


Connection Status:
==================
Localhost is blocked.
There is no connection to network.
Attempt to access Google IP returned error: Other errors
Attempt to access Yahoo IP returend error: Other errors

**** End of log ****

und auch systemlook mit den Einstellungen vom letzten Mal, vielleicht hilft das ja schonmal

SystemLook 30.07.11 by jpshortstuff
Log created at 09:44 on 06/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\ipsec.sys"
"DisplayName"="IPSEC-Treiber"
"Group"="PNP_TDI"
"Description"="IPSEC-Treiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Enum]
"0"="Root\LEGACY_IPSEC\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Security]
"Security"=01 00 14 80 90 00 00 00 9c 00 00 00 14 00 00 00 30 00 00 00 02 00 1c 00 01 00 00 00 02 80 14 00 ff 01 0f 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 fd 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 ff 01 0f 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8d 01 02 00 01 01 00 00 00 00 00 05 0b 00 00 00 00 00 18 00 fd 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 (REG_BINARY)


[HKEY_LOCAL_MACHINE\system\CurrentControlset\enum\root\legacy_ipsec]
(Unable to open key - key not found)

[]
Hive unrecognized.

-= EOF =-

so langsam sehe ich eine Neuinstallation bald für notwendig, auch wenn ja eigentlich alles andere Funktioniert, nur eben das Netzwerk nicht :-/

Kannst du mir genau mitteilen, was nicht funktioniert hat.

Also ne Fehlermeldung beim importieren der Registry oder sonstiges. Es geht hier nur um dein einen Schlüssel, der nicht erstellt werden will -.-

Den registryeintrag konnte ich ohne probleme durchführen und wie zuvor schon geschrieben, steht er auch drinnen, jedoch funktioniert das netzwerk noch immer nicht.

Das Netzwerksymbol wird in der taskleiste angezeigt, auch das es verbunden ist. Drückt man jedoch mit rechtsklick auf Status, werden keine ipadressen angezeigt.

Nur um was klar zu stellen.

Der Schlüssel existiert ?

der Dienst tcpip läuft nämlich immer noch nicht und das wird der Grund sein, warum nichts geht.
Dieser Dienst hängt aber von dem IPSec ab und wenn der nicht läuft ....

So mal was zum Veranschaulichen.

http://www.wento.de/ipsec/ipsec1.gif
http://www.wento.de/ipsec/ipsec2.gif
http://www.wento.de/ipsec/ipsec3.gif
http://www.wento.de/ipsec/ipsec4.gif
http://www.wento.de/ipsec/ipsec5.gif

Das sieht doch schon mal gut aus. Lass mich nachsehen, wo der Hund begraben ist -.-


Bitte lade VEW.exe von Vino Rosso herunter und speichere das Tool auf Deinem Desktop.
Starte die vew.exe durch Doppelklick und mache folgende Einstellungen:

http://image.hijackthis.eu/upload/vew.jpg

Drücke den Button Run, um den Suchlauf zu starten.
Wenn der Suchlauf beendet ist, öffnet sich der Editor mit dem Logfile.
Kopiere das Logfile (C:\vew.txt) hier in den Thread.




Bitte mit Systemlook.


Das Logfile wird relativ groß, also bitte hier anhängen. Wir finden das Problem schon

So da die systemlook zu viele Zeichen zum anzeigen und zu groß zum hochladen ist findest du beide dateien unter folgenden links


hxxp://www.wento.de/ipsec/SystemLook.txt

hxxp://www.wento.de/ipsec/VEW.txt

Okay, denke ich hab das Problem gefunden.

Drücke bitte die Windows + R Taste und kopiere folgendes in die Zeile

netsh int ip reset resetlog.txt

Starte den Rechner neu auf und berichte

:killpc: gemacht getan, aber des Rätsels Lösung ist es noch immer nicht.

Rechner neu gestartet bis zum Desktopbild, dann 3 Minuten Ruhe, dann plötzlich Desktopsymbole erschienen, inkl. Taskleiste. Diese war wie immer nach weiteren 3 Minuten reaktionsfähig.

Netzwerkstatus wird immernoch als verbunden angezeigt, jedoch keine Ip-Adressen eingetragen und demzufolge auch keine Internet- bzw. Netzwerkverbindung.

:glaskugel: wo liegt bloss das problem :glaskugel:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: file.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die file.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Poste mir mal den Inhalt, bin bisschen im Stress

Windows-IP-Konfiguration

Ein interner Fehler ist aufgetreten: Die Anforderung wird nicht unterstützt.

Wenden Sie sich an den Microsoft Software Service, um weitere Hilfe zu erhalten.

Zusätzliche Informationen: Der Hostname konnte nicht abgefragt werden.

Okay, installieren wir den Treiber neu. Iwas sagt Windows, dass es die Datei nicht findet.

2. Kontrolliere mal ob das Lan eingeschalten ist.


Windows + R Taste --> devmgmt.msc ( eingeben ) OK
Reiter Ansicht --> Ausgeblendete Geräte anzeigen --> Nicht PnP Treiber.


Suche nun alle EInträge, welche ein Gelbes Dreieck besitzen, Doppelklick darauf --> Reiter Treiber und auf Starten.

Poste mir überall die Fehlermeldung sowie den Dienstnamen des Eintrages.

So, die netzwerkkarte ist gestartet und zeigt ja sogar "Verbindung hergestellt" an, wie die ganze zeit schon.

Im Gerätemanager werden mir keinerlei gelbe Warndreiecke angezeigt.

Das mit dem PnP-Treiber habsch jetzt aba nich ganz verstanden *gruebel*

Öffne den Gerätemanager.

Start --> Ausführen --> devmgmt.msc macht das für dich.


Oben auf Ansicht auf Ausgeblendete Geräte anzeigen klicken. Dann siehste PnP Treiber, dort nach Fehlern suchen und meiner Anweisung von oben folgen.

Sorry, aber es gibt keine Anleitung zur Anleitung

Also kann ja sein das ich det irgendwie nich mehr sehe, hab grad ne 15 Std schicht hinter mir, oder stehe ich grad voll aufm schlauch :glaskugel:

Anhang 25476

Okay, kniffelige Sache aber auch dafür hab ich ne Idee :D

Möchte mal sehen, ob das verhunzt wurde.



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: file.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  
• Starte die file.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Poste mir mal den Inhalt der Look.txt und berichte ob du jetzt die PnP Treiber sehen kannst

ich sehe mehr reiter wie vorher, aber keine pnp-treiber.

die look.txt ist leer.

Tippfehler von mir

reg query "HKLM\System\CurrentControlset\Control\Session Manager\Environment" > C:\look.txt

Sollte dann auf C: gespeichert werden.



Nur um klar zu stellen, du hast die Batch laufen lassen, und dann erneut unter Ansicht die Einstellung vorgenommen ?

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\Session Manager\Environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\Programme\AMD APP\bin\x86;c:\programme\easyphp1-8\apache\imagemagick
windir REG_EXPAND_SZ %SystemRoot%
FP_NO_HOST_CHECK REG_SZ NO
OS REG_SZ Windows_NT
PROCESSOR_ARCHITECTURE REG_SZ x86
PROCESSOR_LEVEL REG_SZ 15
PROCESSOR_IDENTIFIER REG_SZ x86 Family 15 Model 95 Stepping 2, AuthenticAMD
PROCESSOR_REVISION REG_SZ 5f02
NUMBER_OF_PROCESSORS REG_SZ 1
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP
AMDAPPSDKROOT REG_SZ C:\Programme\AMD APP\

pnp sehe ich trotzdem noch nicht.

Boa, das Teil hat hier einiges versaut -.-

Was ist das für ein System, mit dem Du hier online bist ? Auch XP ?


Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Sie bitte nach ob folgende Datei existiert

C:\windows\inf\legcydrv.inf
Wenn ja, rechtsklick und installieren.
Wenn nicht, mir sagen.


Und exportiere mir bitte folgenden Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}

Rechtsklick --> Exportieren und poste mir den Inhalt hier ( Ich denke, der ist nicht vorhanden )

1. nee auf dem lappi ist win7 starter
2. Ordneransichten geändert
3. legcydrv.inf vorhanden & installiert
4. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1} !!!!! nicht vorhanden, wie dus dir schon gedacht hattest.

Versuchen wir es einfach mal mit nem Export von mir.

Ich hab mal ne .reg angehängt. Diese bitte ausführen, rechner neu starten und sehen, ob du die nicht PnP Treiber sehen kannst

1. IP-Netzwerkadressübersetzung

2. TCP/IP-Protokolltreiber

aber unter dem reiter treiber gibts bei mir kein starten. Als gerätestatus wird mir bei beien sachen angezeigt "Dieses Gerät ist entweder nicht vorhanden, fnktioniert nich ordnungsgemäß, oder es wurden nicht alle Treiber installiert. Code 24)"

Wenn ich den breits installierten treiber installieren will, zeigt er mir an, dass davon keine sicherungskopie erstellt wurde.

Aber schon mal ein Anfang.

Kannst du mir noch den Dienstnamen der Beiden nennen ? Steht unter Treiber :)

ip-netzwerkadressübersetzung = IpNat
TCP/IP-Protokolltreiber = Tcpip

Sehr gut.

Bitte mit Systemlook folgendes machen

SystemLook 30.07.11 by jpshortstuff
Log created at 09:59 on 11/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPNAT]
"DependOnGroup"=" "
"DependOnService"="Tcpip"
"Description"="Übersetzer für IP-Netzwerkadressen"
"DisplayName"="Übersetzer für IP-Netzwerkadressen"
"ErrorControl"= 0x0000000001 (1)
"ImagePath"="system32\DRIVERS\ipnat.sys"
"Start"= 0x0000000003 (3)
"Type"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPNAT\Enum]
"0"="Root\LEGACY_IPNAT\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)
"INITSTARTFAILED"= 0x0000000001 (1)


========== filefind ==========

Searching for "ipnat.sys"
C:\sysbackup\$ntservicepackuninstall$\ipnat.sys -----c- 134912 bytes [13:15 25/10/2011] [12:00 05/08/2004] B5A8E215AC29D24D60B4D1250EF05ACE
C:\WINDOWS\ServicePackFiles\i386\ipnat.sys ------- 152832 bytes [13:20 25/10/2011] [22:27 13/04/2008] CC748EA12C6EFFDE940EE98098BF96BB
C:\WINDOWS\system32\drivers\ipnat.sys --a---- 152832 bytes [12:00 05/08/2004] [22:27 13/04/2008] CC748EA12C6EFFDE940EE98098BF96BB

Searching for "tcpip.sys"
C:\sysbackup\$ntservicepackuninstall$\tcpip.sys -----c- 359040 bytes [13:15 25/10/2011] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C
C:\WINDOWS\ERDNT\cache\tcpip.sys --a---- 359040 bytes [14:11 30/11/2011] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C
C:\WINDOWS\ServicePackFiles\i386\tcpip.sys ------- 361344 bytes [13:21 25/10/2011] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733
C:\WINDOWS\system32\dllcache\tcpip.sys --a--c- 359040 bytes [12:00 05/08/2004] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C
C:\WINDOWS\system32\drivers\tcpip.sys --a---- 359040 bytes [12:00 05/08/2004] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C

-= EOF =-

Okay, Treiber ist da, Reg ist da.

Deinstallieren wir TCP/IP. Hier ist etwas Handarbeit.
Folge bitte den Schritten hier
How to remove and reinstall TCP/IP on a Windows Server 2003 domain controller

Solltest Du irgendwelche Fragen haben, einfach fragen :)

Ich komme bei Pkt. 20 der Anleitung nich weiter.

Bei TCP/IP deinstallieren bekomme ich die fehlermeldung

"Diie Komponente "Internetprotokoll(TCP/IP)" konnte nicht deinstalliert werden. ... wird noch von folgenden Komponenten benötigt und kann erst entfernt werden, wenn diese deinstalliert sind : Einfache TCP/IP-Dienste"

Versuch den mal über den Geräte Manager zu deinstallieren.

Nicht PnP Treiber --> TCP/IP Protokolltreiber -> deinstallieren.

Ansonsten, abgesicherten Modus versuchen

also übern gerätemanager ließ sich der tcp/ip gerätetreiber deinstallieren. Bin dann einfach den schritten der anleitung gefolgt bis auf das mit den supporttools.

Frage muss ich det machen?
Und was sollte jetzt anders sein? Denn gehen tuts netzwerk trotzdem noch nich *gruebel*
Hab auch ehrlichgesagt nich so ganz verstanden was die in der anleitung machen, erst installieren, dann deinstallieren, dann neustarten und wieder das gleiche installieren *gruebel*

Willkommen in der Welt von WIndows.

Genau lesen wäre halt ein Vorteil. Ist der TCP IP Treiber wieder vorhanden im Gerätemanager ?

Hast du das gemacht ?
Eigenschaften von LAN-Verbindung --> Eigenschaften --> Tab Allgemein --> Installieren --> Protokoll --> TCP/IP

( ich hab das jetzt aus dem englishen übersetzt ).

Berichte ob hier ne Fehlermeldung auftaucht

also über netzwerkverbindung => bla bla => Protokoll installieren => geht es ohne fehlermeldung. Jedoch taucht TcpIP im Gerätemanager nich mehr auf, wo ichs ja deinstalliert habe.

Kannst du mal in der Nettcpip.inf den standard wert wieder herstellen ?

[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0

Versuch danach es erneut zu installieren.


Danach in Start --> Ausführen --> CMD --> OK bitte folgenden Befehl eingeben.
esentutl /g c:\windows\security\Database\secedit.sdb


Sag mir mal ob ne Fehlermeldung kommt.


( Note: Dieses Ding nervt around the World und viele Experts tüffteln schon an ner Lösung :/ )

So habs mal probiert wie dus beschrieben hast, mit zurückgesetztem Wert. Jedoch fehlt auch weiterhin der TcpIp eintrag in den nicht PnP geräten. Auch die Ip_Netzwerkadressübersetzung hat noch ein gelbes Ausrufezeichen davor stehen.

secedit.sdb bringt keinerlei fehlermeldungen