GMER 1.0.15.14939 - http://www.gmer.net Rootkit scan 2009-03-19 19:30:08 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xA6A7CBCE] SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xA6A7CCBC] SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xA6A7CB32] INT 0x2D \??\C:\WINDOWS\System32\Drivers\DbgMsg.sys (Driver for Compuware Driver Monitor application/Compuware Corporation - NuMega Lab) A6D37C90 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC) AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC) AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC) AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] WmiSystem <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@DisplayName Windows Trusted Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@Type 32 Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@Start 2 Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem@Description Erm?glicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verf?gung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen. Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem\Parameters Reg HKLM\SYSTEM\ControlSet001\Services\WmiSystem\Parameters@ServiceDll C:\WINDOWS\system32\utkukpxo.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@DisplayName Windows Trusted Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem@Description Erm?glicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verf?gung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen. Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiSystem\Parameters@ServiceDll C:\WINDOWS\system32\utkukpxo.dll Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@DisplayName Windows Trusted Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem@Description Erm?glicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verf?gung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen. Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem\Parameters Reg HKLM\SYSTEM\ControlSet003\Services\WmiSystem\Parameters@ServiceDll C:\WINDOWS\system32\utkukpxo.dll