| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach NeuaufsetzensWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
11.12.2009, 18:10
| #1 |
| |  Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens Guten Tag erstmal, ich habe mich gerade angemeldet, da ich ein Problem habe mit dem ich selbst nicht fertig werde. Hier die Geschichte in Kurzfassung: Die Fehlermeldungen ,,Der Taskmanager wurde durch den Administrator deaktiviert ; Die Bearbeitung der Registrierung wurde durch den Administrator deaktiviert" erscheinen. Ich werde natürlich misstrauisch und suche im Internet erstmal nach anderen mit dem Problem. ... Aha, ich muss also nur die Datei ,,DisableRegistryTools.vbs" ausführen. um die Registrierung zu entsperren und den Wert in ,,HKEY_CLASSES_ROOT\exefile\shell\open\command" auf 0 setzen. ... Mh hat nicht geklappt, also weitergesucht und noch mehr gefunden. Virus... Diverse AntiViren/SpyWare/MalWare Programme heruntergeladen und Scans ausgeführt. Hilft auch nichts. Also setze ich mein System halt neu auf. Gesagt getan, aber siehe da ich werde wieder von den 2 Fehlermeldungen begrüßt. Na toll... Ich bekomme den verdacht, dass sich der Schädling in meinen externen Speichergeräten eingenistet hat. Allerdings ist, das Formatieren meiner externen Festplatte wohl eines der unliebsamsten Dinge, die ich tun würde. Ich bitte euch um Hilfe und bin für jeden Beitrag sehr dankbar. Hier meine HijackThis Logdatei, ohne angeschlossene ext. Festplatte: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:08:04, on 11.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\DTLite.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\LevelOne\Common\RaUI.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\THEKIN~1\LOKALE~1\Temp\ecdj.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 2843 bytes |
|
12.12.2009, 19:27
| #2 | ||
| /// Helfer-Team    | Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens Hallo und Herzlich Willkommen!
__________________ Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! ** kannst Du das Log von GMER bei File-Upload.net/kostenlos hochladen und den Link mir hier posten. 5. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\DOKUME~1\THEKIN~1\LOKALE~1\Temp\ecdj.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
13.12.2009, 00:03
| #3 |
| | Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens Erstmal ein
__________________ für die ausführliche antwort.Hier die Logs: FILELIST Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\
12.12.2009 23:35 43 filelist.txt
12.12.2009 23:35 2.145.386.496 pagefile.sys
09.12.2009 11:38 206 mylog.log
09.12.2009 11:38 518 RHDSetup.log
09.12.2009 11:26 0 CONFIG.SYS
09.12.2009 11:26 0 IO.SYS
09.12.2009 11:26 0 MSDOS.SYS
09.12.2009 11:26 0 AUTOEXEC.BAT
09.12.2009 11:22 211 boot.ini
13.04.2008 23:01 251.712 ntldr
13.04.2008 21:13 47.564 NTDETECT.COM
04.08.2004 13:00 4.952 bootfont.bin
12 Datei(en) 2.145.691.702 Bytes
0 Verzeichnis(se), 46.579.679.232 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS
12.12.2009 23:35 37.548 WindowsUpdate.log
12.12.2009 23:35 0 0.log
12.12.2009 23:35 2.048 bootstat.dat
12.12.2009 23:34 3.366 SchedLgU.Txt
12.12.2009 12:06 301.918 setupapi.log
10.12.2009 23:17 923 spupdsvc.log
10.12.2009 23:16 1.452 COM+.log
10.12.2009 21:13 144.432 DirectX.log
10.12.2009 20:44 2.704 wmsetup.log
10.12.2009 20:44 1.874 tabletoc.log
10.12.2009 20:44 62.978 iis6.log
10.12.2009 20:44 16.452 tsoc.log
10.12.2009 20:44 20.272 comsetup.log
10.12.2009 20:44 1.569 ocmsn.log
10.12.2009 20:44 10.565 ntdtcsetup.log
10.12.2009 20:44 1.393 imsins.log
10.12.2009 20:44 27.599 WMFDist11.log
10.12.2009 20:44 4.956 netfxocm.log
10.12.2009 20:44 2.337 MedCtrOC.log
10.12.2009 20:44 1.489 msgsocm.log
10.12.2009 20:44 20.684 ocgen.log
10.12.2009 20:44 23.902 FaxSetup.log
10.12.2009 20:44 14.052 msmqinst.log
10.12.2009 20:44 1.393 imsins.BAK
10.12.2009 20:44 6.854 Wudf01000Inst.log
09.12.2009 16:58 184.976 setupact.log
09.12.2009 11:38 315.392 HideWin.exe
09.12.2009 11:36 0 nsreg.dat
09.12.2009 11:35 267 system.ini
09.12.2009 11:30 829 OEWABLog.txt
09.12.2009 11:30 794.354 setuplog.txt
09.12.2009 11:29 8.192 REGLOCS.OLD
09.12.2009 11:28 312 setuperr.log
09.12.2009 11:26 0 control.ini
09.12.2009 11:26 477 win.ini
09.12.2009 11:26 316.640 WMSysPr9.prx
09.12.2009 11:26 4.161 ODBCINST.INI
09.12.2009 11:26 749 WindowsShell.Manifest
09.12.2009 11:24 1.023 sessmgr.setup.log
09.12.2009 11:24 37 vbaddin.ini
09.12.2009 11:24 36 vb.ini
09.12.2009 11:24 130 DtcInstall.log
09.12.2009 11:22 200 cmsetacl.log
09.12.2009 11:20 50 wiaservc.log
09.12.2009 11:20 509 wiadebug.log
09.12.2009 11:20 0 Sti_Trace.log
09.12.2009 11:18 1.348 regopt.log
91 Datei(en) 42.789.032 Bytes
0 Verzeichnis(se), 46.579.675.136 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 46.579.675.136 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS\system32
12.12.2009 23:35 104 nvapps.xml
12.12.2009 12:15 107.888 CmdLineExt.dll
10.12.2009 21:14 400.624 perfh009.dat
10.12.2009 21:14 74.988 perfc007.dat
10.12.2009 21:14 415.124 perfh007.dat
10.12.2009 21:14 62.286 perfc009.dat
10.12.2009 21:14 939.322 PerfStringBackup.INI
10.12.2009 21:06 2.206 wpa.dbl
09.12.2009 11:39 146.650 BuzzingBee.wav
09.12.2009 11:39 940.794 LoopyMusic.wav
09.12.2009 11:29 90.296 FNTCACHE.DAT
09.12.2009 11:28 261 $winnt$.inf
09.12.2009 11:26 2.951 CONFIG.NT
09.12.2009 11:26 16.832 amcompat.tlb
09.12.2009 11:26 23.392 nscompat.tlb
09.12.2009 11:26 488 WindowsLogon.manifest
09.12.2009 11:26 488 logonui.exe.manifest
09.12.2009 11:26 749 nwc.cpl.manifest
09.12.2009 11:26 749 sapi.cpl.manifest
09.12.2009 11:26 749 wuaucpl.cpl.manifest
09.12.2009 11:26 749 cdplayer.exe.manifest
09.12.2009 11:26 749 ncpa.cpl.manifest
09.12.2009 11:24 21.740 emptyregdb.dat
09.12.2009 11:22 0 h323log.txt
09.12.2009 11:21 4.444 pid.PNF
10.11.2009 23:08 94.208 QuickTimeVR.qtx
10.11.2009 23:08 69.632 QuickTime.qts
14.08.2009 13:36 70.936 PhysXLoader.dll
03.08.2009 00:21 23.320 PhysXDevice.dll
03.08.2009 00:21 58.648 AgCPanelJapanese.dll
03.08.2009 00:21 58.648 AgCPanelKorean.dll
03.08.2009 00:21 58.648 AgCPanelPortugese.dll
03.08.2009 00:21 58.648 AgCPanelSimplifiedChinese.dll
03.08.2009 00:21 214.296 PhysX.cpl
03.08.2009 00:21 58.648 AgCPanelSwedish.dll
03.08.2009 00:21 58.648 AgCPanelTraditionalChinese.dll
03.08.2009 00:21 288.024 PhysXCplUI.exe
03.08.2009 00:21 197.912 physxcudart_20.dll
03.08.2009 00:21 288.024 PhysXCompatCplUI.exe
03.08.2009 00:21 58.648 AgCPanelSpanish.dll
03.08.2009 00:21 58.648 AgCPanelGerman.dll
03.08.2009 00:21 58.648 AgCPanelFrench.dll
2107 Datei(en) 507.191.282 Bytes
0 Verzeichnis(se), 46.579.486.720 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS\Prefetch
12.12.2009 23:32 19.564 VERCLSID.EXE-3667BD89.pf
12.12.2009 23:31 29.628 RUNDLL32.EXE-147710F4.pf
12.12.2009 23:29 37.776 WMIPRVSE.EXE-28F301A9.pf
12.12.2009 23:29 20.416 RUNDLL32.EXE-2E5AF1D7.pf
12.12.2009 23:18 8.562 JMXE.EXE-01E208B2.pf
12.12.2009 22:43 8.708 WINUWQEC.EXE-2817A70D.pf
12.12.2009 22:23 52.110 MSIMN.EXE-0B61806C.pf
12.12.2009 22:08 8.660 INEH.EXE-05E1A49B.pf
12.12.2009 21:33 8.710 WINYWHOLY.EXE-02BC0DBC.pf
12.12.2009 20:58 8.564 FKIMP.EXE-211A7E57.pf
12.12.2009 20:58 26.256 HELPSVC.EXE-2878DDA2.pf
12.12.2009 20:55 292.092 Layout.ini
12.12.2009 20:38 7.310 LOGON.SCR-151EFAEA.pf
12.12.2009 17:19 13.446 NOTEPAD.EXE-336351A9.pf
12.12.2009 16:57 83.326 FIREFOX.EXE-1D57670A.pf
12.12.2009 16:50 1.345.492 NTOSBOOT-B00DFAAD.pf
12.12.2009 16:50 22.184 WUAUCLT.EXE-399A8E72.pf
12.12.2009 15:11 37.382 DFRGNTFS.EXE-269967DF.pf
12.12.2009 15:11 15.254 DEFRAG.EXE-273F131E.pf
12.12.2009 13:47 12.422 TASKMGR.EXE-20256C55.pf
12.12.2009 12:30 11.224 WINMINE.EXE-0A3838A4.pf
12.12.2009 12:14 11.586 RUNDLL32.EXE-451FC2C0.pf
12.12.2009 12:11 23.096 SVCHOST.EXE-3530F672.pf
12.12.2009 12:07 15.364 REGEDIT.EXE-1B606482.pf
12.12.2009 12:07 29.524 WSCRIPT.EXE-32960AB9.pf
12.12.2009 12:07 68.402 WINRAR.EXE-3588DFE8.pf
12.12.2009 12:06 82.424 MSIEXEC.EXE-2F8A8CAE.pf
11.12.2009 18:43 71.262 EXPLORER.EXE-082F38A9.pf
11.12.2009 18:41 109.062 VLC.EXE-29851A71.pf
11.12.2009 17:34 79.186 MBAM.EXE-11D8BBD8.pf
11.12.2009 17:22 80.074 MMC.EXE-0B0171A2.pf
11.12.2009 17:20 31.078 NETSH.EXE-085CFFDE.pf
11.12.2009 17:20 17.598 IMAPI.EXE-0BF740A4.pf
11.12.2009 17:20 14.540 CTFMON.EXE-0E17969B.pf
11.12.2009 17:20 22.984 RUNDLL32.EXE-415F88EC.pf
11.12.2009 16:32 16.726 LOGONUI.EXE-0AF22957.pf
11.12.2009 16:31 7.056 WSCNTFY.EXE-1B24F5EB.pf
11.12.2009 15:42 27.824 USERINIT.EXE-30B18140.pf
10.12.2009 21:15 64.404 WMIADAP.EXE-2DF425B2.pf
10.12.2009 21:05 20.946 WORDPAD.EXE-1EFCC5C1.pf
10.12.2009 20:44 16.388 REGSVR32.EXE-25EEFE2F.pf
09.12.2009 16:16 20.004 AGENT.EXE-027CAB18.pf
09.12.2009 11:30 20.672 SHMGRATE.EXE-1BA69E68.pf
43 Datei(en) 2.919.286 Bytes
0 Verzeichnis(se), 46.579.568.640 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS\tasks
12.12.2009 23:35 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 46.579.568.640 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\WINDOWS\Temp
12.12.2009 23:35 16.384 Perflib_Perfdata_62c.dat
09.12.2009 11:35 16.384 Perflib_Perfdata_634.dat
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 46.579.568.640 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F47C-206E
Verzeichnis von C:\DOKUME~1\THEKIN~1\LOKALE~1\Temp
12.12.2009 13:46 204.800 drm_dyndata_7380007.dll
11.12.2009 18:31 0 eui8C.tmp
10.12.2009 23:20 311.296 ~DFEC1.tmp
10.12.2009 21:27 236 _isdelet.ini
10.12.2009 21:14 2.424 dotNetFx.log
10.12.2009 21:14 2.759.140 netfx.log
10.12.2009 21:14 6.394 ASPNETSetup.log
10.12.2009 20:53 44.032 a69a65.mst
10.12.2009 17:57 16.184 dd_netfx20UI6439.txt
10.12.2009 17:55 5.010.438 dd_netfx20MSI6439.txt
10.12.2009 17:54 4.562 ASPNETSetup_00000.log
10.12.2009 17:53 1.317 QTInstallCode.log
10.12.2009 17:53 3.886 qtplugin.log
09.12.2009 11:39 21.975 Norwegian.bin
09.12.2009 11:39 22.263 Turkish.bin
09.12.2009 11:39 25.764 German.bin
09.12.2009 11:39 25.093 Greek.bin
09.12.2009 11:39 19.564 Hebrew.bin
09.12.2009 11:39 26.094 Hungarian.bin
09.12.2009 11:39 27.421 Italian.bin
09.12.2009 11:39 27.245 French.bin
09.12.2009 11:39 20.145 Korean.bin
09.12.2009 11:39 25.758 Dutch.bin
09.12.2009 11:39 22.868 Finnish.bin
09.12.2009 11:39 24.232 Polish.bin
09.12.2009 11:39 25.082 Portuguese(Brazil).bin
09.12.2009 11:39 26.271 Portuguese.bin
09.12.2009 11:39 22.794 Danish.bin
09.12.2009 11:39 24.321 Czech.bin
09.12.2009 11:39 26.136 Russian.bin
09.12.2009 11:39 20.991 Arabic.bin
09.12.2009 11:39 16.420 SimChin.bin
09.12.2009 11:39 27.764 Spanish.bin
09.12.2009 11:39 24.093 SWEDISH.bin
09.12.2009 11:39 21.987 Thai.bin
09.12.2009 11:39 16.962 TradChin.bin
09.12.2009 11:39 21.944 English.bin
09.12.2009 11:39 24.310 Japanese.bin
09.12.2009 11:37 16.384 ~DF1B4F.tmp
40 Datei(en) 9.089.654 Bytes
0 Verzeichnis(se), 46.579.564.544 Bytes frei
Code:
ATTFilter Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.0.42.34
Apple Application Support Apple Inc. 1.1.0
Apple Software Update Apple Inc. 2.1.1.116
Assassin's Creed 1.0
BioShock 2K Games 2.5.0000
Call of Juarez - Bound in Blood Ubisoft 1.00.0000
CCleaner Piriform
Crysis(R) Electronic Arts 1.00.0000
Dead Space™ Electronic Arts 1.0.222.0
HijackThis 2.0.2 TrendMicro 2.0.2
LevelOne WNC-0301USB Wireless Adapter LevelOne 1.00.01
Malwarebytes' Anti-Malware Malwarebytes Corporation
Microsoft .NET Framework 1.1 Microsoft 1.1.4322
Microsoft .NET Framework 2.0 Microsoft Corporation
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.56336
Mozilla Firefox (3.5.5) Mozilla 3.5.5 (de)
NVIDIA Drivers
NVIDIA PhysX NVIDIA Corporation 9.09.0814
QuickTime Apple Inc. 7.65.17.80
Raven Squad
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5497
Saboteur™ Electronic Arts 1.0.0.0
Spybot - Search & Destroy Safer Networking Limited 1.6.2
VLC media player 0.9.9 VideoLAN Team 0.9.9
Windows Media Format 11 runtime
WinRAR
Code:
ATTFilter GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-12 23:55:08
Windows 5.1.2600 Service Pack 3
Running: 3y8hkchj.exe; Driver: C:\DOKUME~1\THEKIN~1\LOKALE~1\Temp\uxnorkoc.sys
---- System - GMER 1.0.15 ----
SSDT spfm.sys ZwCreateKey [0xF74E40E0]
SSDT spfm.sys ZwEnumerateKey [0xF74FCDA4]
SSDT spfm.sys ZwEnumerateValueKey [0xF74FD132]
SSDT spfm.sys ZwOpenKey [0xF74E40C0]
SSDT spfm.sys ZwQueryKey [0xF74FD20A]
SSDT spfm.sys ZwQueryValueKey [0xF74FD08A]
SSDT spfm.sys ZwSetValueKey [0xF74FD29C]
INT 0x62 ? 89C12BF8
INT 0x63 ? 89C12BF8
INT 0x63 ? 89C12BF8
INT 0x63 ? 898B4F00
INT 0x63 ? 89C12BF8
INT 0x83 ? 898B4F00
INT 0xA4 ? 898B4F00
INT 0xB4 ? 898B4F00
---- Kernel code sections - GMER 1.0.15 ----
? spfm.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xBA4F8360, 0x37388D, 0xE8000020]
.text USBPORT.SYS!DllUnload BA4B08AC 5 Bytes JMP 898B44E0
.text ago0c30h.SYS BA400386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ago0c30h.SYS BA4003AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ago0c30h.SYS BA4003C4 3 Bytes [00, 80, 02]
.text ago0c30h.SYS BA4003C9 1 Byte [30]
.text ago0c30h.SYS BA4003C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
? C:\WINDOWS\system32\drivers\ipimln.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA32D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750FDDC] spfm.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750FE30] spfm.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74E5042] spfm.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74E513E] spfm.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74E50C0] spfm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74E5800] spfm.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74E56D6] spfm.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 898B45E0
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!swprintf] 001CBA86
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8986
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C8B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmFreeMappingAddress] 96868801
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CB286
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmUnmapIoSpace] 88968B00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IofCompleteRequest] 001CA496
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IofCallDriver] 001CC186
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] C286880C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CC386
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!sprintf] 968D5140
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C98
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ObfDereferenceObject] 22F6E852
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ZwClose] 1CB48E8D
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 000022E4
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoCreateDevice] 00001CA0
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 22D2E850
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ZwOpenKey] 1CBC968D
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoStartTimer] 000022C0
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoInitializeTimer] 001CC38E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CC58688
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ZwCreateKey] C6000000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CC386
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C98
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2292E851
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoStartPacket] 538B0000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CB4868D
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoFreeMdl] E8500000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmUnlockPages] 00002280
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CC38E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CC58688
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CC396
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeSetTimer] F6317300
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!_allmul] 74070647
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!_except_handler3] 05578A0B
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CC5
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!_aulldiv] 03087408
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!strstr] 72F93B3F
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!_strupr] 8A09EBDA
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CC5
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!KeTickCount] 88084B8A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CC68E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC886
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAllocateIrp] 11E85000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000022
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CC08E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmLockPagableDataSection] C4968B00
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CCC8E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!ExFreePoolWithTag] D0968900
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!InitSafeBootMode] D4C68150
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!PoCallDriver] 0021E7E8
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!memmove] 18C48300
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\ago0c30h.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89C111F8
Device \Driver\usbuhci \Device\USBPDO-0 89A051F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA11F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA11F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA11F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA11F8
Device \Driver\usbuhci \Device\USBPDO-1 89A051F8
Device \Driver\usbuhci \Device\USBPDO-2 89A051F8
Device \Driver\usbuhci \Device\USBPDO-3 89A051F8
Device \Driver\usbehci \Device\USBPDO-4 8989D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C131F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C131F8
Device \Driver\Cdrom \Device\CdRom0 899E3500
Device \Driver\Cdrom \Device\CdRom1 899E3500
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [F7833B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\sptd \Device\341328604 spfm.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8978A500
Device \Driver\PCI_PNP1104 \Device\0000003f spfm.sys
Device \Driver\PCI_PNP1104 \Device\0000003f spfm.sys
Device \Driver\NetBT \Device\NetbiosSmb 8978A500
Device \Driver\usbuhci \Device\USBFDO-0 89A051F8
Device \Driver\usbuhci \Device\USBFDO-1 89A051F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89791500
Device \Driver\usbuhci \Device\USBFDO-2 89A051F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89791500
Device \Driver\usbuhci \Device\USBFDO-3 89A051F8
Device \Driver\usbehci \Device\USBFDO-4 8989D1F8
Device \Driver\Ftdisk \Device\FtControl 89C131F8
Device \Driver\ago0c30h \Device\Scsi\ago0c30h1 898941F8
Device \Driver\ago0c30h \Device\Scsi\ago0c30h1Port4Path0Target0Lun0 898941F8
Device \FileSystem\Cdfs \Cdfs 89790500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x91 0x9E 0xBE 0xCF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xDB 0x01 0x5B 0xBF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4B 0x25 0xC9 0x84 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x91 0x9E 0xBE 0xCF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xDB 0x01 0x5B 0xBF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4B 0x25 0xC9 0x84 ...
---- EOF - GMER 1.0.15 ----
|
|
13.12.2009, 07:56
| #4 |
| /// Helfer-Team | Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens hi - Kein AV-Programm installiert? - Windows Firewall aktiviert? - Malwarebytes' Anti-Malware - hast Du davon Scanergebnisse? wenn ja bitte posten! 1.
Code:
ATTFilter -> ecdj.exe
2. aus dem Autostart herausnehmen: "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" Code:
ATTFilter O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun - nicht nötig!
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
oder Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.
(Tea Timer versucht positive änderungen auch zu blockieren)
Master Boot Record überprüfen: |
|
13.12.2009, 19:06
| #5 |
| | Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens Ok, zu 1.: Die Datei ecdj.exe ist weder im Temp Ordner noch in den Prozessen vorhanden. 2. Die AntiVir Installations Exe schließt sich nach dem Start sofort wieder. 3. W-Firewall ist jetzt aktiviert. LOFILES Malwarebytes' Anti-Malware Code:
ATTFilter Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3328
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
11.12.2009 17:56:10
mbam-log-2009-12-11 (17-56-10).txt
Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 176964
Laufzeit: 20 minute(s), 39 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
H:\System Volume Information\_restore{CB774EBB-C0EE-4F03-A279-22D45C7B0852}\RP3\A0000115.exe (Malware.Packer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{CB774EBB-C0EE-4F03-A279-22D45C7B0852}\RP3\A0000116.exe (Adware.EShoper) -> Quarantined and deleted successfully.
H:\Freeware Games\setups\asx-p8-ds2.exe (Malware.Packer) -> Quarantined and deleted successfully.
H:\Freeware Games\setups\balldroppings-[jtnimoy.com].exe (Adware.EShoper) -> Quarantined and deleted successfully.
Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
|
13.12.2009, 20:04
| #6 |
| /// Helfer-Team | Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens 1. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 2. - Lade dir RSIT - http://filepony.de/download-rsit/: - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von RSIT installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten **Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) |
|
| Themen zu Der Taskmanager wurde durch den Administrator deaktiviert! Auch nach Neuaufsetzens |
| administrator, bearbeitung, dll, explorer, festplatte, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, neu, nvidia, problem, programme, rundll, schädling, software, suche, system, taskmanager, temp, windows, windows xp |
Hybrid-Darstellung
