FSecure Blacklight Sedebugprivilege Meldung

#1 Hallo Leute

Ich möchte Blacklight von F-Secure bei mir installieren.
Es kommt aber jedesmal die Fehlermeldung SeDebugPrivilege Rechte nicht erteilt oder so ähnlich. Was mache ich falsch.
Ich habe Xp Home.
Der ganze Kauderwelsch der einem über Google angeboten wird hilft mir nicht weiter.

Wer weiss Rat?

#2 Nutz combofix, das hoert sich nach look2me infection an. Zumindest ist das nicht koscher....

http://virus-protect.org/artikel/tools/combofix.html

Das setzt dir die Admin privileges zurueck.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo raman

Also ich habe mal die combofix gestartet, aber hat nicht das gewünschte ergebnis erziehlt.

Der Log file gefällt mir auch nicht
Admin - 07-01-07 17:45:41,71 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Admin\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-07 to 2007-01-07 ))))))))))))))))))))))))))))))))))


2007-01-07 17:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Admin\Recent
2007-01-07 17:38 <DIR> d-------- C:\Programme\GRISOFT
2006-12-31 19:05 <DIR> d-------- C:\SOPHTEMP
2006-12-26 15:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Jasc Software Inc
2006-12-26 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Jasc Software Inc
2006-12-26 12:53 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2006-12-26 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MSNInstaller
2006-12-26 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech
2006-12-25 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2006-12-25 21:09 <DIR> d-------- C:\Programme\Jasc Software Inc
2006-12-25 14:45 950,272 --a------ C:\WINDOWS\system32\contfilt.dll
2006-12-25 14:45 9,488 --a------ C:\WINDOWS\sporder.dll
2006-12-25 14:45 7,680 --a------ C:\WINDOWS\sporder.exe
2006-12-25 14:45 41,984 --a------ C:\WINDOWS\killproc.exe
2006-12-25 14:45 40,448 --a------ C:\WINDOWS\inst_tsp.exe
2006-12-25 14:45 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll
2006-12-25 14:45 22,546 --a------ C:\WINDOWS\winsbak.reg
2006-12-25 14:45 153,712 --a------ C:\WINDOWS\winsbak2.reg
2006-12-25 14:45 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2006-12-25 14:45 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2006-12-25 14:45 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll
2006-12-25 14:45 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE
2006-12-25 14:45 <DIR> d-------- C:\PUB
2006-12-25 14:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2006-12-25 09:58 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mp3tag
2006-12-25 09:41 <DIR> d-------- C:\Programme\MSXML 4.0
2006-12-25 08:59 <DIR> d-------- C:\Programme\Mp3tag
2006-12-20 22:42 13,824 --a------ C:\WINDOWS\system32\drivers\splitcam.sys
2006-12-20 22:06 <DIR> d-------- C:\Programme\SplitCam
2006-12-20 20:42 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2006-12-20 20:17 <DIR> d-------- C:\Programme\Skype
2006-12-20 20:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2006-12-20 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2006-12-20 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2006-12-20 19:41 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2006-12-20 19:41 53,248 --a------ C:\WINDOWS\system32\PAStiSvc.exe
2006-12-16 17:19 <DIR> d-------- C:\WINDOWS\system32\Boot
2006-12-16 17:16 <DIR> d-------- C:\Programme\Winternals
2006-12-16 02:45 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2006-12-16 02:45 <DIR> d-------- C:\WINDOWS\system32\E177E04D548C4006A465EEB92D3DE021
2006-12-16 02:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch
2006-12-16 01:38 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2006-12-16 01:06 <DIR> d-------- C:\Programme\freeCommander2006
2006-12-15 22:26 <DIR> d-------- C:\Programme\Unlocker
2006-12-09 17:50 <DIR> d-------- C:\Programme\FrostWire
2006-12-07 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WEB.DE


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-07 17:43 -------- d-------- C:\Programme\Mozilla Firefox
2007-01-07 13:14 -------- d-------- C:\Programme\Tweak GUI
2007-01-07 11:01 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-30 20:12 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM
2006-12-26 15:36 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-26 12:08 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-26 12:05 -------- d---s---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft
2006-12-26 12:04 -------- d-------- C:\Programme\Adobe
2006-12-25 21:09 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-12-25 09:42 -------- d-------- C:\Programme\Outlook Express
2006-12-25 09:42 -------- d-------- C:\Programme\Internet Explorer
2006-12-25 09:42 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-25 09:23 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FrostWire
2006-12-25 09:11 -------- d-------- C:\Programme\Softwin
2006-12-25 09:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-12-20 20:06 -------- d-------- C:\Programme\MSN Messenger
2006-12-16 16:46 -------- d-------- C:\Programme\Windows NT
2006-12-16 03:04 -------- d-------- C:\Programme\Eraser
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-06 22:30 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer
2006-12-06 22:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-12-01 20:27 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Adobe
2006-12-01 20:11 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun
2006-12-01 20:04 -------- d-------- C:\Programme\Java
2006-12-01 18:14 -------- d-------- C:\Programme\Gemeinsame Dateien\AVM
2006-12-01 18:14 -------- d-------- C:\Programme\FRITZ!DSL
2006-12-01 18:13 -------- d-------- C:\Programme\FRITZ!BoxPrint
2006-12-01 18:13 -------- d-------- C:\Programme\FRITZ!Box
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SMSERIAL"="sm56hlpr.exe"
"AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 "
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
"NoSMMyDocs"=hex:01,00,00,00
"NoSMMyPictures"=hex:01,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
@=""
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


~ ~ ~ ~ ~ ~ ~ ~ Hijackthis entries set to ignore ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

O20 - Winlogon Notify: App Management - C:\WIND
Completion time: 07-01-07 17:46:22.89
C:\ComboFix.txt ... 07-01-07 17:46


Zumindest Sporder.exe und FLCSS.EXE sind schon mal sehr verdächtig.

#4 Du kannst die Datei ja mal bei Jotti/VT testen und als rootkiotscanner gmer nehmen.
Download gibts hier:
http://www.majorgeeks.com/GMER_d5198.html

Einfach entpacken, starten, scan druecken und danach das Ergebniss durch druecken auf copy und hier einfuegen posten.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo raman

Also der Tipp mit look2me war schon mal allererste Sahne.
Sabina hat irgendwo mal den look2me Destroyer empfohlen.
Angewandt und schon lies sich Blacklight installieren

Restoring SeDebugPrivilege for Administratoren - Succeeded

Ist die Erfolgsmeldung

Wegen dem anderen Zeug werde ich mal deinen Tipp testen.

Unter Google wird Sporder mit Troj/Riler-B und FLCSS mit FunLove.4099 in Verbindung gebracht

Michelangelo

#6 Ja, das sollte combofix eigentlich auch machen. Die Dateien bei Jotti testen lassen!
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo raman

Also Jotti findet nichts. Aber irgendwie hab ich ein komisches Gefühl

Anbei gmer Log

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-07 18:56:38
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\system32\drivers\mmrtkrnl.sys ZwClose
SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\system32\drivers\mmrtkrnl.sys ZwOpenKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 23E4 805010FC 12 Bytes [ 60, 3C, BA, EE, E0, 9E, BA, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2424 8050113C 8 Bytes [ 50, 09, BA, EE, B0, C0, BA, ... ]
.text ntkrnlpa.exe!ZwYieldExecution + 28BC 805010FC 12 Bytes [ 60, 3C, BA, EE, E0, 9E, BA, ... ]
.text ntkrnlpa.exe!ZwYieldExecution + 28FC 8050113C 8 Bytes [ 50, 09, BA, EE, B0, C0, BA, ... ]

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [EEBB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [EEBB52A0] vsdatant.sys

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{66D2B6B0-0AC3-1D5E-AFE4FCFC2DBC1E0D}\{D0054572-6CDD-7E67-D144F5B82EF8A509}\{800AEEDD-FDE9-D9F6-54124DEBF6D799D2}@LBML3FZBDBDV3BUIEQZJ1CU1HB1 0x01 0x00 0x01 0x00 ...

---- Files - GMER 1.0.12 ----

ADS C:\WINDOWS\system32\WgaLogon.dll:SummaryInformation
ADS C:\WINDOWS\system32\WgaLogon.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

---- EOF - GMER 1.0.12 ----



Michelangelo