Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen (https://www.trojaner-board.de/91710-load-programm-installiert-malwarebytes-start-geschlossen.html)

hasco 11.10.2010 13:56
Load Programm wird nicht installiert und Malwarebytes nach Start wieder geschlossen
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Leute
habe euch über Google gefunden und wollte die FAQ Hinweise abarbeiten.

Aber erst mal von Anfang an. Ich habe auf meinem XP Rechner die Virensoftware "ESET NOD32 Antivirus" installiert. Seit einiger Zeit, 12.07.2010, kann sich die Signaturdatenbank nicht mehr aktualisieren.
Da ich im Netzwerk mehrere Rechner habe bin ich erst heute dazu gekommen, mich mal das Problems anzunehmen. Wenn ich auf die Seiten von ESET gehen möchte geht dies nicht. Dann wollte ich "Antivir" installieren, auch ohne erfolg.
Danach googelte ich ein wenig nach NICHTUPDATE VON VIRENPROGRAMMEN und bin auf Euch gestoßen.
Jetzt wollte ich Load.exe installieren jedoch kommt auf meinem Rechner dann die Fehlermeldung, welche ich im Anhang eingefügt habe.
Dann wollte ich das Programm "Malwarebytes" installieren, dies ging so weit auch ganz gut. Wenn ich jetzt das Programm starte wird es nach cirka 5 Secunden wieder geschlossen.
Nun bin ich mit meinem Latein am Ende.

Ich hoffe das Ihr mit meinen Ausführungen etwas anfangen könnt und mir helfen könnt

vielen Dank schon mal im Vorraus

Thomas

cosinus 11.10.2010 20:42
Zitat:
Dann wollte ich das Programm "Malwarebytes" installieren, dies ging so weit auch ganz gut. Wenn ich jetzt das Programm starte wird es nach cirka 5 Secunden wieder geschlossen
Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

hasco 12.10.2010 06:33
Liste der Anhänge anzeigen (Anzahl: 1)
Guten Morgen

vielen Dank für deine Antwort. Leider hatte ich keinen Erfolg. Selbst mit dem Ablaufplan von OTH geht es nicht. Das programm wird nach 5 Sekunden geschlossen. Ich glaube aber gesehen zu haben das er schon irgend etwas "rotes" gefunden hatte.

Habe das Programm gerade noch einmal versucht zu starten. Nach 5 Sekunden macht es zu und 6 gefundene Objekte oder so ähnlich steht in rot da.
Habe jetzt noch mal einen Skreenshot gemacht und angehängt. Vielleicht kannst du ja damit was anfangen.

Mal ne dumme Anfängerfrage: Kann ich das Programm nicht auf einem Stick installieren und von dort aus starten?

vielen Dank schon mal

bis dann

Thomas

cosinus 12.10.2010 11:33
Dann mach erstmal OTL

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

hasco 12.10.2010 12:09
Vielen Dank

endlich mal etwas was auf meinem Rechner läuft. Im Anhang die beiden Logfiles.

Ich hoffe du kannst was damit anfangen. Für mich steht da nur :blabla::blabla:

bis dann Thomas

cosinus 12.10.2010 13:19
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
MOD - C:\WINDOWS\system32\mobswchx.dll ()
MOD - C:\WINDOWS\ehaxodemadavakul.dll ()
O4 - HKLM..\Run: [Yhojufav] C:\WINDOWS\ehaxodemadavakul.DLL ()
O4 - HKCU..\Run: [Rbamox] C:\WINDOWS\mstdfrDE.DLL ()
O4 - HKCU..\Run: [Search Advisor] C:\Programme\Search Advisor\adgui.exe ()
O36 - AppCertDlls: ckcnwwin - (C:\WINDOWS\system32\mobswchx.dll) - C:\WINDOWS\system32\mobswchx.dll ()
[2010.10.11 08:06:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\{BA99A7A7-797B-447A-BCA8-CD0D5B6B0CA3}
[2010.10.11 13:39:59 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Kvecahowilojihum.dat
[2010.09.28 14:32:59 | 000,051,712 | -H-- | M] () -- C:\WINDOWS\System32\mobswchx.dll
[2010.09.28 14:36:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Credogiseyit.bin
[2008.04.14 16:52:32 | 000,206,848 | ---- | C] () -- C:\WINDOWS\ehaxodemadavakul.dll
[2008.04.14 16:52:32 | 000,078,336 | ---- | C] () -- C:\WINDOWS\mstdfrDE.dll
:Files
C:\Programme\Search Advisor
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hasco 12.10.2010 13:33
Ich habe zwar keine Ahnung was ich hier gerade mache, aber im Anhang die gewünscht Datei.

bis dann

Thomas

hasco 13.10.2010 06:23
Liste der Anhänge anzeigen (Anzahl: 1)
Ich weiß nicht ob es von Bedeutung ist, aber heute morgen hatte ich eine Fehlermeldung auf dem Schirm und da alles interesant sein kann habe ich sie in den Anhang gelegt.

schönen Tag

Thomas

cosinus 13.10.2010 09:45
Kannst Du malwarebytes jetzt starten?

hasco 13.10.2010 11:15
Liste der Anhänge anzeigen (Anzahl: 1)
malwarebytes läst sich Starten geht aber nach 5 bis 6 Sekunden wieder aus. Habe es auch noch mit OTH.scr vorher versucht dann Kill oll .... usw aber keinerlei Veränderung. Das einzige was mir aufgefallen ist, beim Beginn der Suche findet er jetzt nichts mehr was rot angezeigt wird.

Beim Reeboot ist jetzt eine Fehlermeldung neu gekommen, siehe Anhang.

vielen Dank schon mal für deine Bemühungen.

gruß Thomas

cosinus 13.10.2010 12:36
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hasco 13.10.2010 14:16
Hier wie gewünscht die Auswertung von Combofix.
Noch eine Anmerkung: Zwischendurch hat Combofix gasagt: "Combo Fix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss nun den PC neustarten" dies habe ich mit OK bestätigt, ich hoffe das war OK.



Combofix Logfile:
Code:
ComboFix 10-10-12.03 - sw 13.10.2010  14:57:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3583.3122 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sw\Desktop\cofi.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\rdpcdd.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-13 bis 2010-10-13  ))))))))))))))))))))))))))))))
.

2010-10-13 12:31 . 2010-10-13 12:31        --------        d-----w-        c:\programme\CCleaner
2010-10-12 12:28 . 2010-10-12 12:28        --------        d-----w-        C:\_OTL
2010-10-11 12:34 . 2010-10-11 12:34        --------        d-----w-        c:\dokumente und einstellungen\sw\Anwendungsdaten\Malwarebytes
2010-10-11 12:32 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 12:32 . 2010-10-11 12:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-11 12:32 . 2010-10-13 10:08        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-11 12:32 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-07 08:26 . 2010-10-07 08:26        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-04 06:46 . 2010-10-04 06:46        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-28 14:10 . 2010-09-28 14:10        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten
2010-09-28 12:47 . 2010-09-28 12:47        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\ESET
2010-09-20 12:22 . 2010-09-20 12:22        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-20 12:19 . 2010-09-20 12:19        --------        d-----w-        c:\programme\Altiris
2010-09-20 12:19 . 2010-09-20 12:19        --------        d-----w-        C:\fslrdr
2010-09-20 12:13 . 2010-09-20 12:02        --------        d-----w-        c:\dokumente und einstellungen\sw\Lokale Einstellungen\Anwendungsdaten\Time Watch
2010-09-20 12:13 . 2010-09-20 12:13        --------        d-----w-        c:\programme\Time Watch
2010-09-20 12:10 . 2010-09-20 12:10        --------        d-----w-        c:\dokumente und einstellungen\sw\Anwendungsdaten\WhiteSmokeTranslator
2010-09-20 12:09 . 2010-09-20 12:09        --------        d-----w-        c:\programme\AutocompletePro

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2009-04-28 344064]
"PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]
"Time Watch"="c:\programme\Time Watch\TimeWatch4.exe" [2010-01-01 2852352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:07 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:08 95872]
R1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [20.02.2009 16:04 195456]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:07 810120]
R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [05.02.2010 14:26 576024]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [05.02.2010 23:04 243856]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.10.2010 14:32 38224]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yahoo.de/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=93&bd=all&pf=cmdt
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {D859C064-D82A-4AA9-B25D-010645C32EB2} = 10.50.129.4,10.50.129.157
FF - ProfilePath - c:\dokumente und einstellungen\sw\Anwendungsdaten\Mozilla\Firefox\Profiles\xccjz8f6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.de/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-10-13  15:04:36
ComboFix-quarantined-files.txt  2010-10-13 13:04

Vor Suchlauf: 10 Verzeichnis(se), 477.343.232.000 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 477.319.921.664 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

- - End Of File - - A9C008D789F729B6C8A9E5BCC39D518A
--- --- ---


bis dann

Thomas

cosinus 13.10.2010 16:37
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

hasco 14.10.2010 07:14
Guten Morgen

GMER ist durchgelaufen. Nur beim Download von OSAM bekomme ich einen Verbindungsfehler. Soll ich den MBRCheck trotzdem machen?

Hier aber erst einmal der GMER Log

GMER Logfile:
Code:
GMER 1.0.15.15315 - hxxp://www.gmer.net
Rootkit scan 2010-10-14 07:57:35
Windows 5.1.2600 Service Pack 3
Running: wt6f2i7r.exe; Driver: C:\DOKUME~1\sw\LOKALE~1\Temp\pxtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwAssignProcessToJobObject [0xAE26F610]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwClose [0xAE0A5F86]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwCreateKey [0xAE0A5886]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwDebugActiveProcess [0xAE26FC10]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDeleteKey [0xAE0A6048]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDeleteValueKey [0xAE0A6298]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwDuplicateObject [0xAE0A6E98]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwEnumerateKey [0xAE0A66B6]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwEnumerateValueKey [0xAE0A6A72]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwFlushKey [0xAE0A6020]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwLoadKey [0xAE0A6D2A]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwOpenKey [0xAE0A54E4]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwOpenProcess [0xAE26F4B0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwOpenThread [0xAE26F570]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwProtectVirtualMemory [0xAE26F6D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwQueryKey [0xAE0A67C4]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwQueryValueKey [0xAE0A6BB4]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwRenameKey [0xAE0A6F30]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetContextThread [0xAE26F690]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetInformationThread [0xAE26F650]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSetSecurityObject [0xAE26F7D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwSetValueKey [0xAE0A64EE]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSuspendProcess [0xAE26F510]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwSuspendThread [0xAE26F590]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwTerminateProcess [0xAE26F4D0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwTerminateThread [0xAE26F5D0]
SSDT            \??\C:\WINDOWS\system32\drivers\fslx.sys (FSL System Driver/Symantec Corp.)                    ZwUnloadKey [0xAE0A6DAA]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                ZwWriteVirtualMemory [0xAE26F750]

Code            \??\C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys                                                    pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                        section is writeable [0xF6C5A000, 0x1CBE76, 0xE8000020]
?              C:\DOKUME~1\sw\LOKALE~1\Temp\mbr.sys                                                            Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\sw\LOKALE~1\Temp\catchme.sys                                                        Das System kann die angegebene Datei nicht finden. !
?              C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                      Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ntdll.dll!NtOpenKey                                  7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!CreateProcessW                          7C802336 5 Bytes  JMP 10003C34
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] kernel32.dll!ExitProcess                              7C81CB12 5 Bytes  JMP 10003E70
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!connect                                    71A14A07 5 Bytes  JMP 10003AE8
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!send                                      71A14C27 5 Bytes  JMP 1000325C
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSARecv                                    71A14CB5 5 Bytes  JMP 100027F0
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!recv                                      71A1676F 5 Bytes  JMP 10002784
.text          C:\Programme\PDF Complete\pdfsvc.exe[216] ws2_32.dll!WSASend                                    71A168FA 5 Bytes  JMP 10003A94
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ntdll.dll!NtOpenKey              7C91D5CE 5 Bytes  JMP 10003DEC
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!CreateProcessW      7C802336 5 Bytes  JMP 10003C34
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] kernel32.dll!ExitProcess        7C81CB12 5 Bytes  JMP 10003E70
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!connect              71A14A07 5 Bytes  JMP 10003AE8
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!send                  71A14C27 5 Bytes  JMP 1000325C
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSARecv              71A14CB5 5 Bytes  JMP 100027F0
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!recv                  71A1676F 5 Bytes  JMP 10002784
.text          c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe[244] ws2_32.dll!WSASend              71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\winlogon.exe[896] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\winlogon.exe[896] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\winlogon.exe[896] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\services.exe[948] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\services.exe[948] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\services.exe[948] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\services.exe[948] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\lsass.exe[960] ntdll.dll!NtOpenKey                                          7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\lsass.exe[960] kernel32.dll!ExitProcess                                    7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!connect                                          71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSARecv                                          71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\lsass.exe[960] WS2_32.dll!WSASend                                          71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\Ati2evxx.exe[1156] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\svchost.exe[1180] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\svchost.exe[1180] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\svchost.exe[1180] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\System32\svchost.exe[1356] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\System32\svchost.exe[1356] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\System32\svchost.exe[1356] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\Ati2evxx.exe[1532] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\spoolsv.exe[1736] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\spoolsv.exe[1736] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] ntdll.dll!NtOpenKey                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!CreateProcessW              7C802336 5 Bytes  JMP 10003C34
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!ExitProcess                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 4 Bytes  [C2, 04, 00, 00]
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!connect                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!send                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSARecv                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!recv                          71A1676F 5 Bytes  JMP 10002784
.text          C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] WS2_32.dll!WSASend                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\System32\svchost.exe[2392] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\System32\svchost.exe[2392] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\System32\svchost.exe[2392] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC
.text          C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34
.text          C:\WINDOWS\system32\wuauclt.exe[3124] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784
.text          C:\WINDOWS\system32\wuauclt.exe[3124] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                          fslx.sys (FSL System Driver/Symantec Corp.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                          eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                      epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----
--- --- ---

bis dann

Thomas

cosinus 15.10.2010 11:23
Heir ist ein Ersatzlink für OSAM => File-Upload.net - osam.zip


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:16 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131