Trojaner w32 patchload.a

Larusso · 04.12.2011, 15:49

MOMENT.

Ich hab da einen Fehler im Skript gemacht.

Lass bitte Systemlook mit folgendem Skript laufen.

Code:

ATTFilter

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec

Bitte die Systemlook.txt hier posten

ddonline · 04.12.2011, 16:06

erste variante hat auch nich zum erfolg geführt.

hier nun die systemlook.txt

SystemLook 30.07.11 by jpshortstuff
Log created at 16:04 on 04/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\ipsec.sys"
"DisplayName"="IPSEC-Treiber"
"Group"="PNP_TDI"
"Description"="IPSEC-Treiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Security]

-= EOF =-

Larusso · 04.12.2011, 16:21

Okay, jetzt muss ich bissche graben

Bitte folgendes.

Code:

ATTFilter

:filefind
Tcpip.sys
afd.sys
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd

ddonline · 04.12.2011, 19:40

SystemLook 30.07.11 by jpshortstuff
Log created at 19:36 on 04/12/2011 by admin
Administrator - Elevation successful

========== filefind ==========

Searching for "Tcpip.sys"
C:\sysbackup\$ntservicepackuninstall$\tcpip.sys -----c- 359040 bytes [13:15 25/10/2011] [12:00 05/08/2004] 9F4B36614A0FC234525BA224957DE55C
C:\WINDOWS\ERDNT\cache\tcpip.sys --a---- 361344 bytes [14:11 30/11/2011] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733
C:\WINDOWS\ServicePackFiles\i386\tcpip.sys ------- 361344 bytes [13:21 25/10/2011] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733
C:\WINDOWS\system32\drivers\tcpip.sys --a---- 361344 bytes [12:00 05/08/2004] [22:50 13/04/2008] 93EA8D04EC73A85DB02EB8805988F733

Searching for "afd.sys"
C:\sysbackup\$ntservicepackuninstall$\afd.sys -----c- 138496 bytes [13:15 25/10/2011] [12:00 05/08/2004] 5AC495F4CB807B2B98AD2AD591E6D92E
C:\WINDOWS\ServicePackFiles\i386\afd.sys ------- 138112 bytes [13:20 25/10/2011] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD
C:\WINDOWS\system32\drivers\afd.sys --a---- 138112 bytes [12:00 05/08/2004] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\tcpip.sys"
"DisplayName"="TCP/IP-Protokolltreiber"
"Group"="PNP_TDI"
"DependOnService"="IPSec"
"DependOnGroup"=" "
"Description"="TCP/IP-Protokolltreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Linkage]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Performance]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\ServiceProvider]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd]
"DisplayName"="AFD"
"Description"="Umgebung für AFD-Netzwerkunterstützung"
"Group"="TDI"
"ImagePath"="\SystemRoot\System32\drivers\afd.sys"
"Start"= 0x0000000001 (1)
"Type"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd\Enum]

-= EOF =-

Larusso · 04.12.2011, 22:36

Downloade dir bitte die angehängte Service.bat und poste mir die erstellte look.txt

ddonline · 05.12.2011, 08:33

[SC] EnumQueryServicesStatus:OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

SERVICE_NAME: tcpip
TYPE : 1 KERNEL_DRIVER
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 31 (0x1f)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: afd
TYPE : 1 KERNEL_DRIVER
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

SERVICE_NAME: ipsec
TYPE : 1 KERNEL_DRIVER
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 31 (0x1f)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

[SC] StartService FAILED 1058:

Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

[SC] StartService: OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

[SC] StartService FAILED 1068:

Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.

Larusso · 05.12.2011, 14:20

Jetzt nervts dann

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die

+ R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

FCopy::
C:\sysbackup\$ntservicepackuninstall$\ipsec.sys | C:\WINDOWS\system32\drivers\ipsec.sys
C:\sysbackup\$ntservicepackuninstall$\tcpip.sys | C:\WINDOWS\system32\drivers\tcpip.sys

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Berichte bitte, ob das internet jetzt wieder läuft

ddonline · 05.12.2011, 15:53

Also ich weiß ja garnich wie ichs so richtig schreiben soll, aber es geht immernoch nich :´(
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-12-05.01 - admin 05.12.2011  15:30:43.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1918.1407 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\admin\Desktop\CFscript.txt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
--------------- FCopy ---------------
.
c:\sysbackup\$ntservicepackuninstall$\ipsec.sys --> c:\windows\system32\drivers\ipsec.sys
c:\sysbackup\$ntservicepackuninstall$\tcpip.sys --> c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-05 bis 2011-12-05  ))))))))))))))))))))))))))))))
.
.
2011-12-04 14:31 . 2011-12-04 14:31	--------	d-----w-	c:\programme\ERUNT
2011-11-30 19:26 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2011-11-30 15:48 . 2011-11-30 15:48	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\eDocPrintPro
2011-11-30 14:06 . 2007-06-15 01:50	479232	----a-w-	c:\windows\system32\Ati2evxx.exe
2011-11-30 13:55 . 2008-04-14 05:22	57728	-c--a-w-	c:\windows\system32\dllcache\redbook.sys
2011-11-30 13:55 . 2008-04-14 05:22	57728	----a-w-	c:\windows\system32\drivers\redbook.sys
2011-11-30 09:43 . 2004-08-05 12:00	74752	-c--a-w-	c:\windows\system32\dllcache\ipsec.sys
2011-11-30 09:43 . 2004-08-05 12:00	74752	----a-w-	c:\windows\system32\drivers\ipsec.sys
2011-11-11 09:54 . 2011-11-11 09:54	--------	d-----w-	c:\programme\FXdirekt Bank AG
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-21 06:28 . 2011-05-27 16:31	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-10 06:39 . 2011-05-04 07:45	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-11-30_14.08.40   )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-05 12:00 . 2004-08-05 12:00	359040              c:\windows\system32\dllcache\tcpip.sys
+ 2011-12-04 14:53 . 2011-12-04 14:53	188416              c:\windows\ERDNT\AutoBackup\04.12.2011\Users\00000002\UsrClass.dat
+ 2011-12-04 14:53 . 2005-10-20 11:02	163328              c:\windows\ERDNT\AutoBackup\04.12.2011\ERDNT.EXE
+ 2011-12-04 14:53 . 2011-12-04 14:53	7077888              c:\windows\ERDNT\AutoBackup\04.12.2011\Users\00000001\NTUSER.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
"Zune Launcher"="c:\programme\Zune\ZuneLauncher.exe" [2011-08-05 159456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\admin\Startmenü\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
PDFCreator.lnk - c:\programme\PDFCreator\PDFCreator.exe [2008-12-1 2850816]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-06-06 10:55	937920	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:cao
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [18.11.2007 19:44 119808]
S2 Iprip;RIP-Überwachung;c:\windows\System32\svchost.exe -k netsvcs [05.08.2004 13:00 14336]
S3 OXYGEN;Service for M-Audio Oxygen;c:\windows\system32\DRIVERS\MAudioOxygen.sys --> c:\windows\system32\DRIVERS\MAudioOxygen.sys [?]
S3 WMZuneComm;Zune Windows Mobile Connectivity Service;c:\programme\Zune\WMZuneComm.exe [05.08.2011 12:30 268512]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://127.0.0.1/mysql/
TCP: Interfaces\{2BE061C0-1CBC-4E21-A550-BF5499DFDE1F}: NameServer = 192.168.0.3
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ucrn21le.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-12-05 15:36
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\programme\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"c:\programme\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(480)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2444)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-12-05  15:37:49
ComboFix-quarantined-files.txt  2011-12-05 14:37
ComboFix2.txt  2011-11-30 20:02
ComboFix3.txt  2011-11-30 14:52
ComboFix4.txt  2011-11-30 14:12
.
Vor Suchlauf: 20 Verzeichnis(se), 39.322.959.872 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 39.304.036.352 Bytes frei
.
- - End Of File - - 935A39D15DEC5F0C00B8FDB6DF3E8F32

--- --- ---

Larusso · 05.12.2011, 16:13

Lass bitte Farbars Service Scanner nochmal laufen und poste die Log.

Schön langsam verzweifle ich hier -.-

ddonline · 05.12.2011, 16:19

nich nur du ;-)

ddonline · 05.12.2011, 16:22

Farbar Service Scanner
Ran by admin (administrator) on 05-12-2011 at 16:20:21
Microsoft Windows XP Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.

Tcpip Service is not running. Checking service configuration:
The start type of Tcpip service is OK.
The ImagePath of Tcpip service is OK.

IpSec Service is not running. Checking service configuration:
The start type of IpSec service is OK.
The ImagePath of IpSec service is OK.

ddonline · 05.12.2011, 20:16

jetzt is der daniel langsam ratlos oder?

Larusso · 05.12.2011, 21:41

Ich war nur mit dem Handy online

Naja, dann jetzt muss ich mir da mal was ganz genau ansehen.

Ich arbeite da jetzt ein Skript aus, das kann etwas dauern und ich muss dann gleich auf Arbeit.
Melde mich so schnell als möglich wieder

Larusso · 05.12.2011, 21:49

Okay, mal da rein sehen.
Wenn die verändert wurden, wirds lustig

Systemlook

Code:

ATTFilter

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec /s
hklm\system\CurrentControlset\enum\root\legacy_ipsec /s

ddonline · 06.12.2011, 09:45

Na dann guck mal ;-)

SystemLook 30.07.11 by jpshortstuff
Log created at 09:44 on 06/12/2011 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec]
"Type"= 0x0000000001 (1)
"Start"= 0x0000000001 (1)
"ErrorControl"= 0x0000000001 (1)
"Tag"= 0x0000000004 (4)
"ImagePath"="system32\DRIVERS\ipsec.sys"
"DisplayName"="IPSEC-Treiber"
"Group"="PNP_TDI"
"Description"="IPSEC-Treiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Enum]
"0"="Root\LEGACY_IPSEC\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipsec\Security]
"Security"=01 00 14 80 90 00 00 00 9c 00 00 00 14 00 00 00 30 00 00 00 02 00 1c 00 01 00 00 00 02 80 14 00 ff 01 0f 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 fd 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 ff 01 0f 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8d 01 02 00 01 01 00 00 00 00 00 05 0b 00 00 00 00 00 18 00 fd 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 (REG_BINARY)

[HKEY_LOCAL_MACHINE\system\CurrentControlset\enum\root\legacy_ipsec]
(Unable to open key - key not found)

[]
Hive unrecognized.

-= EOF =-

04.12.2011, 16:21	#48
Larusso /// Selecta Jahrusso	Trojaner w32 patchload.a Okay, jetzt muss ich bissche graben Bitte folgendes. Code: ATTFilter :filefind Tcpip.sys afd.sys :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afd __________________ __________________

05.12.2011, 16:13	#54
Larusso /// Selecta Jahrusso	Trojaner w32 patchload.a Lass bitte Farbars Service Scanner nochmal laufen und poste die Log. Schön langsam verzweifle ich hier -.- __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

Trojaner w32 patchload.a

Plagegeister aller Art und deren Bekämpfung: Trojaner w32 patchload.a