Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Virus Festplatte ? versteckt ? virenprog nicht anwendbar

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Plagegeister aller Art und deren Bekämpfung: Virus Festplatte ? versteckt ? virenprog nicht anwendbar

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 05.01.2010, 14:11   #1
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Zitat:
Zitat von TrojanHunter Beitrag anzeigen
Ok
dann lass dort den CCleaner drüberlaufen und anschließend
Malwarebytes' Anti-Malware
also cc cleaner hat ein par sache gelöscht aber mailwarebites funktioniert weder im normalen noch im abgesicherten modus.

Alt 05.01.2010, 14:14   #2
TrojanHunter
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Ok,
Mach bitte noch einmal ein Hijack Log im normalen Modus und poste es hier.
Kannst du deinen installierten Virenscanner im abgesicherten Modus benutzen? Wenn ja mache damit einen Scan.
__________________
Alt 05.01.2010, 14:17   #3
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


im abgesicherten kann ich auch keinen viren prog starten.

hier der log im normal modus



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:57, on 05.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\XpertVision\TBPanel.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programme\Winamp\winampa.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
H:\Programme\FreePDF_XP\fpassist.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programme\QuickTime\QTTask.exe
H:\Programme\Java\jre6\bin\jusched.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\DAEMON Tools Lite\daemon.exe
H:\programme\steam\steam.exe
H:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
H:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
H:\Programme\Bonjour\mDNSResponder.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
H:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\alg.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
H:\WINDOWS\System32\svchost.exe
H:\Dokumente und Einstellungen\Mathäus\Desktop\HijackThis.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - H:\Programme\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - H:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - H:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Gainward] H:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "H:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] H:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpyHunter Security Suite] H:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\RunServices: [SyteUpdtes] shfpcu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Updater] H:\WINDOWS\shost.exe
O4 - HKCU\..\Run: [AOL Dialer] H:\Programme\Gemeinsame Dateien\AOL\ACS\AOlDial.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "h:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] H:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Malware Defense] "H:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKCU\..\RunServices: [SyteUpdtes] shfpcu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = H:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - H:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - H:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - H:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - H:\Programme\AVG\AVG9\avgpp.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: H:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,H:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - H:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - H:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 8678 bytes
__________________
Alt 05.01.2010, 14:42   #4
TrojanHunter
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Ok
Denke du hast es hier mit nem Rootkit zu tun.

Vorher erst die Systemwiederherstellung deaktivieren!
http://support.microsoft.com/kb/310405/de

Geh im Abgesicherten Modus in folgenden Ordner
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
Sind dort dateien wie
hdddriver.dll
jzteaddubm.dll
netdriver.dll
ifoxsrvuqs.dll
rmlhithgts.dll
netdriver2.dll
mbzcxftegp.dll
lhihbelpje.dll
tlfablzyjw.dll
xmrcvkbbhy.dll
gyfzaiydjs.dll
krtqfbfqeb.dll
ymxrdeunza.dll
vorhanden?
Wenn ja löschen

Anschließend folgendes Tool drüberlaufen lassen TDSSKiller
Viren und Lösungen

Nach einem Reboot versuchen Malwarebytes zu starten.
Wenn es funktioniert Update, Scan und Infizierungen beheben lassen!

Alt 05.01.2010, 15:37   #5
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


habe nichts gefunden bzw in dem ordner C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp, da war nur eine reg datei drin die "test" heisst.
habe dann nochmal den tdsskiller gestartet der ebenfalls nicht gefunden hat.
nach einem neustart funktioniert immernoch nicht

im abgesicherten modus kann ich auch zwischen 2 benutzern wählen.
1. Administrator
2. mein benutzername

bei beiden war nicht zu finden bzw nur die reg datei im temp ordner


Alt 05.01.2010, 16:05   #6
TrojanHunter
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Hast du TDSSKiller drüberlaufen lassen?

Alt 05.01.2010, 16:08   #7
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


ja der sagt 0 funde

Alt 05.01.2010, 16:22   #8
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


ich weiss nicht obs was bringt aber daas sind die logs vom TDSSKIlller

15:24:24:578 0300 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
15:24:24:578 0300 ================================================================================
15:24:24:578 0300 SystemInfo:

15:24:24:578 0300 OS Version: 5.1.2600 ServicePack: 2.0
15:24:24:578 0300 Product type: Workstation
15:24:24:578 0300 ComputerName: OG
15:24:24:578 0300 UserName: Mathäus
15:24:24:578 0300 Windows directory: H:\WINDOWS
15:24:24:578 0300 Processor architecture: Intel x86
15:24:24:578 0300 Number of processors: 2
15:24:24:578 0300 Page size: 0x1000
15:24:24:578 0300 Boot type: Normal boot
15:24:24:578 0300 ================================================================================
15:24:24:578 0300 ForceUnloadDriver: NtUnloadDriver error 2
15:24:24:578 0300 ForceUnloadDriver: NtUnloadDriver error 2
15:24:24:578 0300 ForceUnloadDriver: NtUnloadDriver error 2
15:24:24:609 0300 MyNtCreateFileW: NtCreateFile(\??\H:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
15:24:24:609 0300 main: Driver KLMD successfully dropped
15:24:24:609 0300 main: Driver KLMD successfully loaded
15:24:24:609 0300
Scanning Registry ...
15:24:24:640 0300 ScanServices: Searching service UACd.sys
15:24:24:640 0300 ScanServices: Open/Create key error 2
15:24:24:640 0300 ScanServices: Searching service TDSSserv.sys
15:24:24:640 0300 ScanServices: Open/Create key error 2
15:24:24:640 0300 ScanServices: Searching service gaopdxserv.sys
15:24:24:640 0300 ScanServices: Open/Create key error 2
15:24:24:640 0300 ScanServices: Searching service gxvxcserv.sys
15:24:24:640 0300 ScanServices: Open/Create key error 2
15:24:24:640 0300 ScanServices: Searching service MSIVXserv.sys
15:24:24:640 0300 ScanServices: Open/Create key error 2
15:24:24:656 0300 UnhookRegistry: Kernel module file name: H:\windows\system32\ntkrnlpa.exe, base addr: 804D7000
15:24:24:656 0300 UnhookRegistry: Kernel local addr: E00000
15:24:24:656 0300 UnhookRegistry: KeServiceDescriptorTable addr: E846E0
15:24:24:734 0300 UnhookRegistry: KiServiceTable addr: E2C960
15:24:24:734 0300 UnhookRegistry: NtEnumerateKey service number (local): 47
15:24:24:734 0300 UnhookRegistry: NtEnumerateKey local addr: F4B96E
15:24:24:750 0300 KLMD_OpenDevice: Trying to open KLMD device
15:24:24:750 0300 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
15:24:24:750 0300 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
15:24:24:750 0300 KLMD_ReadMem: Trying to ReadMemory 0x804FF801[0x4]
15:24:24:750 0300 UnhookRegistry: NtEnumerateKey service number (kernel): 47
15:24:24:750 0300 KLMD_ReadMem: Trying to ReadMemory 0x80503A7C[0x4]
15:24:24:750 0300 UnhookRegistry: NtEnumerateKey real addr: 8062296E
15:24:24:750 0300 UnhookRegistry: NtEnumerateKey calc addr: 8062296E
15:24:24:750 0300 UnhookRegistry: No SDT hooks found on NtEnumerateKey
15:24:24:750 0300 KLMD_ReadMem: Trying to ReadMemory 0x8062296E[0xA]
15:24:24:750 0300 UnhookRegistry: Splicing found on NtEnumerateKey
15:24:24:750 0300 KLMD_WriteMem: Trying to WriteMemory 0x8062296E[0xA]
15:24:24:750 0300 UnhookRegistry: NtEnumerateKey (Splicing) unhooked successfully
15:24:24:750 0300
Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it:


-----------------------------------------------------------------------------


15:24:58:953 2580 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
15:24:58:953 2580 ================================================================================
15:24:58:953 2580 SystemInfo:

15:24:58:953 2580 OS Version: 5.1.2600 ServicePack: 2.0
15:24:58:953 2580 Product type: Workstation
15:24:58:953 2580 ComputerName: OG
15:24:58:953 2580 UserName: Mathäus
15:24:58:953 2580 Windows directory: H:\WINDOWS
15:24:58:953 2580 Processor architecture: Intel x86
15:24:58:953 2580 Number of processors: 2
15:24:58:953 2580 Page size: 0x1000
15:24:58:953 2580 Boot type: Normal boot
15:24:58:953 2580 ================================================================================
15:24:58:953 2580 main: Driver KLMD successfully unloaded
15:24:59:453 2580 ForceUnloadDriver: NtUnloadDriver error 2
15:24:59:453 2580 ForceUnloadDriver: NtUnloadDriver error 2
15:24:59:453 2580 MyNtCreateFileW: NtCreateFile(\??\H:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
15:24:59:453 2580 main: Driver KLMD successfully dropped
15:24:59:468 2580 main: Driver KLMD successfully loaded
15:24:59:468 2580
Scanning Registry ...
15:24:59:468 2580 ScanServices: Searching service UACd.sys
15:24:59:468 2580 ScanServices: Open/Create key error 2
15:24:59:468 2580 ScanServices: Searching service TDSSserv.sys
15:24:59:468 2580 ScanServices: Open/Create key error 2
15:24:59:468 2580 ScanServices: Searching service gaopdxserv.sys
15:24:59:468 2580 ScanServices: Open/Create key error 2
15:24:59:468 2580 ScanServices: Searching service gxvxcserv.sys
15:24:59:468 2580 ScanServices: Open/Create key error 2
15:24:59:468 2580 ScanServices: Searching service MSIVXserv.sys
15:24:59:468 2580 ScanServices: Open/Create key error 2
15:24:59:468 2580 UnhookRegistry: Kernel module file name: H:\windows\system32\ntkrnlpa.exe, base addr: 804D7000
15:24:59:468 2580 UnhookRegistry: Kernel local addr: E00000
15:24:59:468 2580 UnhookRegistry: KeServiceDescriptorTable addr: E846E0
15:24:59:468 2580 UnhookRegistry: KiServiceTable addr: E2C960
15:24:59:468 2580 UnhookRegistry: NtEnumerateKey service number (local): 47
15:24:59:468 2580 UnhookRegistry: NtEnumerateKey local addr: F4B96E
15:24:59:468 2580 KLMD_OpenDevice: Trying to open KLMD device
15:24:59:468 2580 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
15:24:59:468 2580 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x804FF801[0x4]
15:24:59:468 2580 UnhookRegistry: NtEnumerateKey service number (kernel): 47
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x80503A7C[0x4]
15:24:59:468 2580 UnhookRegistry: NtEnumerateKey real addr: 8062296E
15:24:59:468 2580 UnhookRegistry: NtEnumerateKey calc addr: 8062296E
15:24:59:468 2580 UnhookRegistry: No SDT hooks found on NtEnumerateKey
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x8062296E[0xA]
15:24:59:468 2580 UnhookRegistry: No splicing found on NtEnumerateKey
15:24:59:468 2580
Scanning Kernel memory ...
15:24:59:468 2580 KLMD_OpenDevice: Trying to open KLMD device
15:24:59:468 2580 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk
15:24:59:468 2580 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
15:24:59:468 2580 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 866EBA08
15:24:59:468 2580 DetectCureTDL3: KLMD_GetDeviceObjectList returned 8 DevObjects
15:24:59:468 2580 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 862F8030
15:24:59:468 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862F8030
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x862F8030[0x38]
15:24:59:468 2580 DetectCureTDL3: DRIVER_OBJECT addr: 866EBA08
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x866EBA08[0xA8]
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1017898[0x208]
15:24:59:468 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:24:59:468 2580 DetectCureTDL3: IrpHandler (0) addr: F7641C30
15:24:59:468 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (2) addr: F7641C30
15:24:59:468 2580 DetectCureTDL3: IrpHandler (3) addr: F763BD9B
15:24:59:468 2580 DetectCureTDL3: IrpHandler (4) addr: F763BD9B
15:24:59:468 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (9) addr: F763C366
15:24:59:468 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (14) addr: F763C44D
15:24:59:468 2580 DetectCureTDL3: IrpHandler (15) addr: F763FFC3
15:24:59:468 2580 DetectCureTDL3: IrpHandler (16) addr: F763C366
15:24:59:468 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (22) addr: F763DEF3
15:24:59:468 2580 DetectCureTDL3: IrpHandler (23) addr: F7642A24
15:24:59:468 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:468 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:468 2580 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:24:59:468 2580 KLMD_ReadMem: DeviceIoControl error 1
15:24:59:468 2580 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:24:59:468 2580 TDL3_FileDetect: Processing driver: Disk
15:24:59:468 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\disk.sys, H:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:24:59:468 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\disk.sys
15:24:59:468 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\disk.sys
15:24:59:484 2580 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 862C85E0
15:24:59:484 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862C85E0
15:24:59:484 2580 KLMD_ReadMem: Trying to ReadMemory 0x862C85E0[0x38]
15:24:59:484 2580 DetectCureTDL3: DRIVER_OBJECT addr: 866EBA08
15:24:59:484 2580 KLMD_ReadMem: Trying to ReadMemory 0x866EBA08[0xA8]
15:24:59:484 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1017898[0x208]
15:24:59:484 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:24:59:484 2580 DetectCureTDL3: IrpHandler (0) addr: F7641C30
15:24:59:484 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (2) addr: F7641C30
15:24:59:484 2580 DetectCureTDL3: IrpHandler (3) addr: F763BD9B
15:24:59:484 2580 DetectCureTDL3: IrpHandler (4) addr: F763BD9B
15:24:59:484 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (9) addr: F763C366
15:24:59:484 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:484 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (14) addr: F763C44D
15:24:59:500 2580 DetectCureTDL3: IrpHandler (15) addr: F763FFC3
15:24:59:500 2580 DetectCureTDL3: IrpHandler (16) addr: F763C366
15:24:59:500 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (22) addr: F763DEF3
15:24:59:500 2580 DetectCureTDL3: IrpHandler (23) addr: F7642A24
15:24:59:500 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:500 2580 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:24:59:500 2580 KLMD_ReadMem: DeviceIoControl error 1
15:24:59:500 2580 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:24:59:500 2580 TDL3_FileDetect: Processing driver: Disk
15:24:59:500 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\disk.sys, H:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:24:59:500 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\disk.sys
15:24:59:500 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\disk.sys
15:24:59:500 2580 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 8647C268
15:24:59:500 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8647C268
15:24:59:500 2580 KLMD_ReadMem: Trying to ReadMemory 0x8647C268[0x38]
15:24:59:500 2580 DetectCureTDL3: DRIVER_OBJECT addr: 866EBA08
15:24:59:500 2580 KLMD_ReadMem: Trying to ReadMemory 0x866EBA08[0xA8]
15:24:59:500 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1017898[0x208]
15:24:59:500 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:24:59:500 2580 DetectCureTDL3: IrpHandler (0) addr: F7641C30
15:24:59:500 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (2) addr: F7641C30
15:24:59:500 2580 DetectCureTDL3: IrpHandler (3) addr: F763BD9B
15:24:59:500 2580 DetectCureTDL3: IrpHandler (4) addr: F763BD9B
15:24:59:500 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (9) addr: F763C366
15:24:59:500 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (14) addr: F763C44D
15:24:59:500 2580 DetectCureTDL3: IrpHandler (15) addr: F763FFC3
15:24:59:500 2580 DetectCureTDL3: IrpHandler (16) addr: F763C366
15:24:59:500 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (22) addr: F763DEF3
15:24:59:500 2580 DetectCureTDL3: IrpHandler (23) addr: F7642A24
15:24:59:500 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:500 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:500 2580 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:24:59:500 2580 KLMD_ReadMem: DeviceIoControl error 1
15:24:59:500 2580 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:24:59:500 2580 TDL3_FileDetect: Processing driver: Disk
15:24:59:500 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\disk.sys, H:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:24:59:500 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\disk.sys
15:24:59:500 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\disk.sys
15:24:59:515 2580 DetectCureTDL3: 3 Curr stack PDEVICE_OBJECT: 85EC3AB8
15:24:59:515 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85EC3AB8
15:24:59:515 2580 DetectCureTDL3: 3 Curr stack PDEVICE_OBJECT: 865B2918
15:24:59:515 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 865B2918
15:24:59:515 2580 KLMD_ReadMem: Trying to ReadMemory 0x865B2918[0x38]
15:24:59:515 2580 DetectCureTDL3: DRIVER_OBJECT addr: 85EB0240
15:24:59:515 2580 KLMD_ReadMem: Trying to ReadMemory 0x85EB0240[0xA8]
15:24:59:515 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1CB6820[0x208]
15:24:59:515 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\usbstor, Driver Name: usbstor
15:24:59:515 2580 DetectCureTDL3: IrpHandler (0) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (2) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (3) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (4) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (9) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (14) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (15) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (16) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (22) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (23) addr: 85EBD1F8
15:24:59:515 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:515 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:515 2580 KLMD_ReadMem: Trying to ReadMemory 0xF79D4F26[0x400]
15:24:59:515 2580 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 0, 0
15:24:59:515 2580 TDL3_FileDetect: Processing driver: usbstor
15:24:59:515 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\usbstor.sys, H:\WINDOWS\system32\Drivers\usbstor.tsk, SYSTEM\CurrentControlSet\Services\usbstor, system32\Drivers\usbstor.tsk
15:24:59:515 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:515 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:546 2580 DetectCureTDL3: 4 Curr stack PDEVICE_OBJECT: 86171290
15:24:59:546 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86171290
15:24:59:546 2580 DetectCureTDL3: 4 Curr stack PDEVICE_OBJECT: 862A5D08
15:24:59:546 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862A5D08
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0x862A5D08[0x38]
15:24:59:546 2580 DetectCureTDL3: DRIVER_OBJECT addr: 85EB0240
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0x85EB0240[0xA8]
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1CB6820[0x208]
15:24:59:546 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\usbstor, Driver Name: usbstor
15:24:59:546 2580 DetectCureTDL3: IrpHandler (0) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (2) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (3) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (4) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (9) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (14) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (15) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (16) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (22) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (23) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0xF79D4F26[0x400]
15:24:59:546 2580 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 0, 0
15:24:59:546 2580 TDL3_FileDetect: Processing driver: usbstor
15:24:59:546 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\usbstor.sys, H:\WINDOWS\system32\Drivers\usbstor.tsk, SYSTEM\CurrentControlSet\Services\usbstor, system32\Drivers\usbstor.tsk
15:24:59:546 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:546 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:546 2580 DetectCureTDL3: 5 Curr stack PDEVICE_OBJECT: 8654E030
15:24:59:546 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8654E030
15:24:59:546 2580 DetectCureTDL3: 5 Curr stack PDEVICE_OBJECT: 8628BD08
15:24:59:546 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8628BD08
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0x8628BD08[0x38]
15:24:59:546 2580 DetectCureTDL3: DRIVER_OBJECT addr: 85EB0240
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0x85EB0240[0xA8]
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1CB6820[0x208]
15:24:59:546 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\usbstor, Driver Name: usbstor
15:24:59:546 2580 DetectCureTDL3: IrpHandler (0) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (2) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (3) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (4) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (9) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (14) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (15) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (16) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (22) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (23) addr: 85EBD1F8
15:24:59:546 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:546 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:546 2580 KLMD_ReadMem: Trying to ReadMemory 0xF79D4F26[0x400]
15:24:59:546 2580 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 0, 0
15:24:59:546 2580 TDL3_FileDetect: Processing driver: usbstor
15:24:59:546 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\usbstor.sys, H:\WINDOWS\system32\Drivers\usbstor.tsk, SYSTEM\CurrentControlSet\Services\usbstor, system32\Drivers\usbstor.tsk
15:24:59:546 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:546 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\usbstor.sys
15:24:59:562 2580 DetectCureTDL3: 6 Curr stack PDEVICE_OBJECT: 866E2C68
15:24:59:562 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 866E2C68
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0x866E2C68[0x38]
15:24:59:562 2580 DetectCureTDL3: DRIVER_OBJECT addr: 866EBA08
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0x866EBA08[0xA8]
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1017898[0x208]
15:24:59:562 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:24:59:562 2580 DetectCureTDL3: IrpHandler (0) addr: F7641C30
15:24:59:562 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (2) addr: F7641C30
15:24:59:562 2580 DetectCureTDL3: IrpHandler (3) addr: F763BD9B
15:24:59:562 2580 DetectCureTDL3: IrpHandler (4) addr: F763BD9B
15:24:59:562 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (9) addr: F763C366
15:24:59:562 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (14) addr: F763C44D
15:24:59:562 2580 DetectCureTDL3: IrpHandler (15) addr: F763FFC3
15:24:59:562 2580 DetectCureTDL3: IrpHandler (16) addr: F763C366
15:24:59:562 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (22) addr: F763DEF3
15:24:59:562 2580 DetectCureTDL3: IrpHandler (23) addr: F7642A24
15:24:59:562 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:24:59:562 2580 KLMD_ReadMem: DeviceIoControl error 1
15:24:59:562 2580 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:24:59:562 2580 TDL3_FileDetect: Processing driver: Disk
15:24:59:562 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\disk.sys, H:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:24:59:562 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\disk.sys
15:24:59:562 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\disk.sys
15:24:59:562 2580 DetectCureTDL3: 7 Curr stack PDEVICE_OBJECT: 866AEAB8
15:24:59:562 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 866AEAB8
15:24:59:562 2580 DetectCureTDL3: 7 Curr stack PDEVICE_OBJECT: 867139E8
15:24:59:562 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 867139E8
15:24:59:562 2580 DetectCureTDL3: 7 Curr stack PDEVICE_OBJECT: 866B1D98
15:24:59:562 2580 KLMD_GetLowerDeviceObject: Trying to get lower device object for 866B1D98
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0x866B1D98[0x38]
15:24:59:562 2580 DetectCureTDL3: DRIVER_OBJECT addr: 866B5B60
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0x866B5B60[0xA8]
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0xE1001730[0x208]
15:24:59:562 2580 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
15:24:59:562 2580 DetectCureTDL3: IrpHandler (0) addr: 867661F8
15:24:59:562 2580 DetectCureTDL3: IrpHandler (1) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (2) addr: 867661F8
15:24:59:562 2580 DetectCureTDL3: IrpHandler (3) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (4) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (5) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (6) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (7) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (8) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (9) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (10) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (11) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (12) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (13) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (14) addr: 867661F8
15:24:59:562 2580 DetectCureTDL3: IrpHandler (15) addr: F7AE56C1
15:24:59:562 2580 DetectCureTDL3: IrpHandler (16) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (17) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (18) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (19) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (20) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (21) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (22) addr: 867661F8
15:24:59:562 2580 DetectCureTDL3: IrpHandler (23) addr: 867661F8
15:24:59:562 2580 DetectCureTDL3: IrpHandler (24) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (25) addr: 804F4476
15:24:59:562 2580 DetectCureTDL3: IrpHandler (26) addr: 804F4476
15:24:59:562 2580 KLMD_ReadMem: Trying to ReadMemory 0xF732C7C6[0x400]
15:24:59:562 2580 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 229, 0
15:24:59:562 2580 TDL3_FileDetect: Processing driver: atapi
15:24:59:562 2580 TDL3_FileDetect: Parameters: H:\WINDOWS\system32\drivers\atapi.sys, H:\WINDOWS\system32\Drivers\atapi.tsk, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\atapi.tsk
15:24:59:562 2580 TDL3_FileDetect: Processing driver file: H:\WINDOWS\system32\drivers\atapi.sys
15:24:59:562 2580 KLMD_CreateFileW: Trying to open file H:\WINDOWS\system32\drivers\atapi.sys
15:24:59:593 2580
Completed

Results:
15:24:59:593 2580 Infected objects in memory: 0
15:24:59:593 2580 Cured objects in memory: 0
15:24:59:593 2580 Infected objects on disk: 0
15:24:59:593 2580 Objects on disk cured on reboot: 0
15:24:59:593 2580 Objects on disk deleted on reboot: 0
15:24:59:593 2580 Registry nodes deleted on reboot: 0
15:24:59:593 2580



-------------------------------------------------------------------------------


15:29:09:890 1584 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
15:29:09:890 1584 ================================================================================
15:29:09:890 1584 SystemInfo:

15:29:09:890 1584 OS Version: 5.1.2600 ServicePack: 2.0
15:29:09:890 1584 Product type: Workstation
15:29:09:890 1584 ComputerName: OG
15:29:09:890 1584 UserName: Mathäus
15:29:09:890 1584 Windows directory: H:\WINDOWS
15:29:09:890 1584 Processor architecture: Intel x86
15:29:09:890 1584 Number of processors: 2
15:29:09:890 1584 Page size: 0x1000
15:29:09:890 1584 Boot type: Safe boot
15:29:09:890 1584 ================================================================================
15:29:09:890 1584 ForceUnloadDriver: NtUnloadDriver error 2
15:29:09:890 1584 ForceUnloadDriver: NtUnloadDriver error 2
15:29:09:890 1584 ForceUnloadDriver: NtUnloadDriver error 2
15:29:09:921 1584 MyNtCreateFileW: NtCreateFile(\??\H:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
15:29:09:921 1584 main: Driver KLMD successfully dropped
15:29:09:921 1584 main: Driver KLMD successfully loaded
15:29:09:921 1584
Scanning Registry ...
15:29:09:953 1584 ScanServices: Searching service UACd.sys
15:29:09:953 1584 ScanServices: Open/Create key error 2
15:29:09:953 1584 ScanServices: Searching service TDSSserv.sys
15:29:09:953 1584 ScanServices: Open/Create key error 2
15:29:09:953 1584 ScanServices: Searching service gaopdxserv.sys
15:29:09:953 1584 ScanServices: Open/Create key error 2
15:29:09:953 1584 ScanServices: Searching service gxvxcserv.sys
15:29:09:953 1584 ScanServices: Open/Create key error 2
15:29:09:953 1584 ScanServices: Searching service MSIVXserv.sys
15:29:09:953 1584 ScanServices: Open/Create key error 2
15:29:09:953 1584 UnhookRegistry: Kernel module file name: H:\windows\system32\ntoskrnl.exe, base addr: 804D7000
15:29:09:953 1584 UnhookRegistry: Kernel local addr: DB0000
15:29:09:968 1584 UnhookRegistry: KeServiceDescriptorTable addr: E3A500
15:29:10:546 1584 UnhookRegistry: KiServiceTable addr: DBD8B0
15:29:10:546 1584 UnhookRegistry: NtEnumerateKey service number (local): 47
15:29:10:546 1584 UnhookRegistry: NtEnumerateKey local addr: E513A4
15:29:10:578 1584 KLMD_OpenDevice: Trying to open KLMD device
15:29:10:578 1584 UnhookRegistry: Cannot get access to KLMD, error 2
15:29:10:578 1584 ScanHiddenServices: UnhookRegistry error
15:29:10:578 1584
Scanning Kernel memory ...
15:29:10:578 1584 KLMD_OpenDevice: Trying to open KLMD device
15:29:10:578 1584 DetectCureTDL3: Cannot get access to KLMD, error 2
15:29:10:578 1584 DetectCureTDL3 failed
15:29:10:578 1584 UnloadDriver: NtUnloadDriver error 2
15:29:10:593 1584 main: Driver KLMD unload error
15:29:10:593 1584
Completed

Results:
15:29:10:593 1584 Infected objects in memory: 0
15:29:10:593 1584 Cured objects in memory: 0
15:29:10:593 1584 Infected objects on disk: 0
15:29:10:593 1584 Objects on disk cured on reboot: 0
15:29:10:593 1584 Objects on disk deleted on reboot: 0
15:29:10:593 1584 Registry nodes deleted on reboot: 0
15:29:10:593 1584

Alt 05.01.2010, 17:35   #9
lips
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


logfile von malewarebytes

alles löschen oder?



Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.01.2010 17:34:37
mbam-log-2010-01-05 (17-34-28).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 247866
Laufzeit: 31 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PTECH (Adware.21Nova) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\W32xgl2 (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
H:\Programme\malware Defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateien:
H:\Programme\win32GI\svchost.exe (Trojan.Agent) -> No action taken.
H:\Dokumente und Einstellungen\Mathäus\Desktop\Zwischenablage\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
H:\Dokumente und Einstellungen\Mathäus\Desktop\Zwischenablage\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
H:\Dokumente und Einstellungen\Mathäus\Desktop\Zwischenablage\Rapidshare_Downloader_0.59_Alpha_Recon\fritz!box reconnect\nc.exe (PUP.KeyLogger) -> No action taken.
H:\Programme\Malware Defense\mdext.dll (Trojan.FakeAlert) -> No action taken.
H:\WINDOWS\system32\ogZ1Tf3.mph (Trojan.Downloader) -> No action taken.
H:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken.
H:\Programme\win32GI\klog.dat (Malware.Trace) -> No action taken.
H:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
H:\Dokumente und Einstellungen\Mathäus\Anwendungsdaten\addons.dat (Bifrose.Trace) -> No action taken.

Alt 05.01.2010, 17:44   #10
TrojanHunter
 
Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Standard

Virus Festplatte ? versteckt ? virenprog nicht anwendbar


Gut das Umbenennen der mbam.exe im Installationsordner von Malwarebytes hat geholfen.
Ok das Rootkit ist also doch drauf, auch wenn es vorher nicht entdeckt wurde.
Ja lösche alle infizierten Dateien.

Antwort
Seite 2 von 2 1 2

Themen zu Virus Festplatte ? versteckt ? virenprog nicht anwendbar
alert, desktop, einfach, eingefangen, erkannt, festplatte, formatieren, gelöst, guten, heute, langsam, nicht mehr, nichts, platte, probleme, rechner, security, security alert, software, startet, symbol, taskleiste, virensoftware, virus, virus eingefangen, virusprogramm, windows, windows security, windows security alert


« Wichtige Frage bzgl Spyware | "Programm beenden - n" »


Ähnliche Themen: Virus Festplatte ? versteckt ? virenprog nicht anwendbar


  1. Externe Festplatte befallen, Daten versteckt
    Log-Analyse und Auswertung - 26.07.2015 (3)
  2. Browser- und Virenprog. werden geblockt!
    Plagegeister aller Art und deren Bekämpfung - 24.09.2014 (18)
  3. Dateien versteckt/unsichtbar wegen Virus?
    Plagegeister aller Art und deren Bekämpfung - 11.12.2012 (27)
  4. BKA-Trojaner / abgesicherter Modus nicht anwendbar
    Log-Analyse und Auswertung - 05.10.2012 (2)
  5. Trojaner versteckt Dateien auf externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)
  6. VIRUS ? Ordner und Dateien plötzlich versteckt, Windows Fehlermeldungen zu Festplatte
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (35)
  7. Virus/Trojaner hat alle Dateien versteckt
    Log-Analyse und Auswertung - 24.10.2011 (1)
  8. Virus versteckt dateien auf Externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 04.09.2011 (1)
  9. "Festplatte beschädigt"-Meldungen, schwarzer Desktop, alle Dateien versteckt
    Log-Analyse und Auswertung - 01.06.2011 (12)
  10. Windows Vista Recovery(Festplatte Defekt)Trojaner dazu schwarzer Bildschirm und alle Daten versteckt
    Log-Analyse und Auswertung - 31.05.2011 (7)
  11. Virus hat meine Dateien Versteckt. "das angegebene Modul wurde nicht gefunden"
    Log-Analyse und Auswertung - 19.05.2011 (16)
  12. TR/Kazy.mekml.1 - Festplatte beschädigt, Datein versteckt
    Log-Analyse und Auswertung - 04.05.2011 (11)
  13. Teile der Festplatte versteckt und nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (1)
  14. VIRUS ALERT, Festplatte nicht vorhanden, etc.
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (18)
  15. Microsoft Anwendungen und Formatierung nicht mehr anwendbar? Pc = Schrottreif?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (8)
  16. Welches Virenprog??
    Antiviren-, Firewall- und andere Schutzprogramme - 08.03.2007 (3)
  17. autostart vom virenprog
    Antiviren-, Firewall- und andere Schutzprogramme - 10.11.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virus Festplatte ? versteckt ? virenprog nicht anwendbar - Zitat: Zitat von TrojanHunter Ok dann lass dort den CCleaner drüberlaufen und anschließend Malwarebytes' Anti-Malware also cc cleaner hat ein par sache gelöscht aber mailwarebites funktioniert weder im normalen noch - Virus Festplatte ? versteckt ? virenprog nicht anwendbar...
Archiv
Du betrachtest: Virus Festplatte ? versteckt ? virenprog nicht anwendbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55