FSecure Blacklight Sedebugprivilege Meldung |
||
---|---|---|
#0
| ||
07.01.2007, 13:32
Member
Beiträge: 23 |
||
|
||
07.01.2007, 16:45
Moderator
Beiträge: 7805 |
#2
Nutz combofix, das hoert sich nach look2me infection an. Zumindest ist das nicht koscher....
http://virus-protect.org/artikel/tools/combofix.html Das setzt dir die Admin privileges zurueck. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.01.2007, 18:02
Member
Themenstarter Beiträge: 23 |
#3
Hallo raman
Also ich habe mal die combofix gestartet, aber hat nicht das gewünschte ergebnis erziehlt. Der Log file gefällt mir auch nicht Admin - 07-01-07 17:45:41,71 Service Pack 2 ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Admin\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-12-07 to 2007-01-07 )))))))))))))))))))))))))))))))))) 2007-01-07 17:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Admin\Recent 2007-01-07 17:38 <DIR> d-------- C:\Programme\GRISOFT 2006-12-31 19:05 <DIR> d-------- C:\SOPHTEMP 2006-12-26 15:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Jasc Software Inc 2006-12-26 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Jasc Software Inc 2006-12-26 12:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2006-12-26 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MSNInstaller 2006-12-26 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech 2006-12-25 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2006-12-25 21:09 <DIR> d-------- C:\Programme\Jasc Software Inc 2006-12-25 14:45 950,272 --a------ C:\WINDOWS\system32\contfilt.dll 2006-12-25 14:45 9,488 --a------ C:\WINDOWS\sporder.dll 2006-12-25 14:45 7,680 --a------ C:\WINDOWS\sporder.exe 2006-12-25 14:45 41,984 --a------ C:\WINDOWS\killproc.exe 2006-12-25 14:45 40,448 --a------ C:\WINDOWS\inst_tsp.exe 2006-12-25 14:45 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll 2006-12-25 14:45 22,546 --a------ C:\WINDOWS\winsbak.reg 2006-12-25 14:45 153,712 --a------ C:\WINDOWS\winsbak2.reg 2006-12-25 14:45 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL 2006-12-25 14:45 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL 2006-12-25 14:45 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll 2006-12-25 14:45 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE 2006-12-25 14:45 <DIR> d-------- C:\PUB 2006-12-25 14:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld 2006-12-25 09:58 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mp3tag 2006-12-25 09:41 <DIR> d-------- C:\Programme\MSXML 4.0 2006-12-25 08:59 <DIR> d-------- C:\Programme\Mp3tag 2006-12-20 22:42 13,824 --a------ C:\WINDOWS\system32\drivers\splitcam.sys 2006-12-20 22:06 <DIR> d-------- C:\Programme\SplitCam 2006-12-20 20:42 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS 2006-12-20 20:17 <DIR> d-------- C:\Programme\Skype 2006-12-20 20:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2006-12-20 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2006-12-20 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype 2006-12-20 19:41 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2006-12-20 19:41 53,248 --a------ C:\WINDOWS\system32\PAStiSvc.exe 2006-12-16 17:19 <DIR> d-------- C:\WINDOWS\system32\Boot 2006-12-16 17:16 <DIR> d-------- C:\Programme\Winternals 2006-12-16 02:45 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll 2006-12-16 02:45 <DIR> d-------- C:\WINDOWS\system32\E177E04D548C4006A465EEB92D3DE021 2006-12-16 02:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch 2006-12-16 01:38 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2006-12-16 01:06 <DIR> d-------- C:\Programme\freeCommander2006 2006-12-15 22:26 <DIR> d-------- C:\Programme\Unlocker 2006-12-09 17:50 <DIR> d-------- C:\Programme\FrostWire 2006-12-07 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WEB.DE (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-07 17:43 -------- d-------- C:\Programme\Mozilla Firefox 2007-01-07 13:14 -------- d-------- C:\Programme\Tweak GUI 2007-01-07 11:01 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-12-30 20:12 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM 2006-12-26 15:36 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-26 12:08 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-12-26 12:05 -------- d---s---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft 2006-12-26 12:04 -------- d-------- C:\Programme\Adobe 2006-12-25 21:09 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2006-12-25 09:42 -------- d-------- C:\Programme\Outlook Express 2006-12-25 09:42 -------- d-------- C:\Programme\Internet Explorer 2006-12-25 09:42 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-12-25 09:23 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FrostWire 2006-12-25 09:11 -------- d-------- C:\Programme\Softwin 2006-12-25 09:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin 2006-12-20 20:06 -------- d-------- C:\Programme\MSN Messenger 2006-12-16 16:46 -------- d-------- C:\Programme\Windows NT 2006-12-16 03:04 -------- d-------- C:\Programme\Eraser 2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-12-06 22:30 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer 2006-12-06 22:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-12-01 20:27 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Adobe 2006-12-01 20:11 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun 2006-12-01 20:04 -------- d-------- C:\Programme\Java 2006-12-01 18:14 -------- d-------- C:\Programme\Gemeinsame Dateien\AVM 2006-12-01 18:14 -------- d-------- C:\Programme\FRITZ!DSL 2006-12-01 18:13 -------- d-------- C:\Programme\FRITZ!BoxPrint 2006-12-01 18:13 -------- d-------- C:\Programme\FRITZ!Box 2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll 2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll 2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "SMSERIAL"="sm56hlpr.exe" "AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 " "Logitech Utility"="Logi_MwX.Exe" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\"" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 "NoSMMyDocs"=hex:01,00,00,00 "NoSMMyPictures"=hex:01,00,00,00 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "SynchronousMachineGroupPolicy"=dword:00000000 "SynchronousUserGroupPolicy"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] @="" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis entries set to ignore ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ O20 - Winlogon Notify: App Management - C:\WIND Completion time: 07-01-07 17:46:22.89 C:\ComboFix.txt ... 07-01-07 17:46 Zumindest Sporder.exe und FLCSS.EXE sind schon mal sehr verdächtig. |
|
|
||
07.01.2007, 18:20
Moderator
Beiträge: 7805 |
#4
Du kannst die Datei ja mal bei Jotti/VT testen und als rootkiotscanner gmer nehmen.
Download gibts hier: http://www.majorgeeks.com/GMER_d5198.html Einfach entpacken, starten, scan druecken und danach das Ergebniss durch druecken auf copy und hier einfuegen posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.01.2007, 18:34
Member
Themenstarter Beiträge: 23 |
#5
Hallo raman
Also der Tipp mit look2me war schon mal allererste Sahne. Sabina hat irgendwo mal den look2me Destroyer empfohlen. Angewandt und schon lies sich Blacklight installieren Restoring SeDebugPrivilege for Administratoren - Succeeded Ist die Erfolgsmeldung Wegen dem anderen Zeug werde ich mal deinen Tipp testen. Unter Google wird Sporder mit Troj/Riler-B und FLCSS mit FunLove.4099 in Verbindung gebracht Michelangelo |
|
|
||
07.01.2007, 18:41
Moderator
Beiträge: 7805 |
||
|
||
07.01.2007, 19:00
Member
Themenstarter Beiträge: 23 |
#7
Hallo raman
Also Jotti findet nichts. Aber irgendwie hab ich ein komisches Gefühl Anbei gmer Log GMER 1.0.12.12011 - http://www.gmer.net Rootkit scan 2007-01-07 18:56:38 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SSDT \SystemRoot\system32\drivers\mmrtkrnl.sys ZwClose SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile SSDT \SystemRoot\system32\drivers\mmrtkrnl.sys ZwOpenKey SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess ---- Kernel code sections - GMER 1.0.12 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 23E4 805010FC 12 Bytes [ 60, 3C, BA, EE, E0, 9E, BA, ... ] .text ntkrnlpa.exe!ZwCallbackReturn + 2424 8050113C 8 Bytes [ 50, 09, BA, EE, B0, C0, BA, ... ] .text ntkrnlpa.exe!ZwYieldExecution + 28BC 805010FC 12 Bytes [ 60, 3C, BA, EE, E0, 9E, BA, ... ] .text ntkrnlpa.exe!ZwYieldExecution + 28FC 8050113C 8 Bytes [ 50, 09, BA, EE, B0, C0, BA, ... ] ---- Devices - GMER 1.0.12 ---- Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys ---- Registry - GMER 1.0.12 ---- Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{66D2B6B0-0AC3-1D5E-AFE4FCFC2DBC1E0D}\{D0054572-6CDD-7E67-D144F5B82EF8A509}\{800AEEDD-FDE9-D9F6-54124DEBF6D799D2}@LBML3FZBDBDV3BUIEQZJ1CU1HB1 0x01 0x00 0x01 0x00 ... ---- Files - GMER 1.0.12 ---- ADS C:\WINDOWS\system32\WgaLogon.dll:SummaryInformation ADS C:\WINDOWS\system32\WgaLogon.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ---- EOF - GMER 1.0.12 ---- Michelangelo |
|
|
||
Ich möchte Blacklight von F-Secure bei mir installieren.
Es kommt aber jedesmal die Fehlermeldung SeDebugPrivilege Rechte nicht erteilt oder so ähnlich. Was mache ich falsch.
Ich habe Xp Home.
Der ganze Kauderwelsch der einem über Google angeboten wird hilft mir nicht weiter.
Wer weiss Rat?