KIS findet Keylogger, Wurm, Netzwerkangriff |
||
---|---|---|
#0
| ||
30.08.2009, 10:11
...neu hier
Beiträge: 3 |
||
|
||
30.08.2009, 11:35
Moderator
Beiträge: 7805 |
#2
Das liegt an deinem "Poker" Programm, welches du da installieren willst. Solche Meldungen kann KAV schon mal bringen, bei der Installation. Google mal nach dem Programm, welches du da installieren moechtest und schau nach aehnlichem verhalten.
BTW: Du solltest dein Windows aktualisieren, es gibt schon das sp2 und schau, ob du die aktuellste Version von KIS 2010 installiert hast. Es gab letztens einige Sicherheitsluecken, die von Kaspersky geschlossen werden mussten __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.08.2009, 13:42
...neu hier
Themenstarter Beiträge: 3 |
#3
Zitat raman posteteBist du 100% sicher? Dieser angebliche "Wurm" ist klar, dass das daher kommt. Aber heute morgen kam diese andere Keylogger-Meldung, ohne dass ich das betreffende "Poker"Programm gestartet habe... |
|
|
||
30.08.2009, 13:48
Member
Beiträge: 35 |
||
|
||
30.08.2009, 13:50
...neu hier
Themenstarter Beiträge: 3 |
#5
Super, vielen Dank, dass ihr mir so schnell ein Feedback gegeben habt. Installiere jetzt SP 2.
Was neueres als Kaspersky Internet Security 2010 gibt es nicht, oder? Ich hab das gerade erst gekauft (vor 2 Wochen oder so), vorher noch 4 wochen getestet. |
|
|
||
30.08.2009, 13:51
Moderator
Beiträge: 7805 |
#6
Zu diesen generic Meldungen von KIS solltest du dich in deren Forum mal durcharbeiten. Es gibt auch einen deutschen Teil...
http://forum.kaspersky.com/index.php Denke an die Updates! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.08.2009, 13:52
Member
Beiträge: 35 |
||
|
||
ich habe Windows Vista Home auf meinem Notebook und folgende Probleme:
1)
Kaspersky Internet Security 2010 meldet heute folgendes:
„Verdächtige Aktivität
Unbekanntes Programm versucht, über die Tastatur eingegebene Daten abzufangen (Keylogger) Treiberdatei: kernel mode memory patch“
Das Problem ist, dass ich nur entweder „Erlauben“ oder „Zu Ausnahmen hinzufügen“ anklicken kann, eine Option „Blockieren“ oder ähnliches erscheint nicht.
Und:
„Verhalten besitzt Ähnlichkeit mit PDM Keylogger“
2)
Zusätzlich hängt sich Windows beim Starten einiger Programme in letzter Zeit häufig für mehrere Sekunden auf, es kommt kurz ein grauer/opaquer Bildschirm und dann geht es weiter oder aber die Meldung kommt, dass der Explorer beendet werden muss.
3) außerdem diverse Netzwerkangriffe und Wurmmeldungen
Hier sind die Report-Dateien von Kaspersky Internet Security und denjenigen Programme von der Prosecus-Liste, die bei mir überhaupt gehen (Gmer Report wird von Windows immer beendet auf der Hälfte (bei Devices).
----------------------------
Malwarebytes (Findet nix)
Malwarebytes' Anti-Malware 1.40
Database version: 2717
Windows 6.0.6001 Service Pack 1
30.08.2009 10:29:45
mbam-log-2009-08-30 (10-29-45).txt
Scan type: Quick Scan
Objects scanned: 90127
Time elapsed: 7 minute(s), 2 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
------------------------------------------
Die Reports von Kaspersky Internet Security der letzten Tage:
27.08.2009 16:52:42 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\PPOKERSETUP.EXE pPokerSetup.exe
27.08.2009 17:06:50 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\PPOKERSETUP.EXE pPokerSetup.exe
27.08.2009 17:06:50 Beendet: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\PPOKERSETUP.EXE pPokerSetup.exe
27.08.2009 17:06:50 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\DESKTOP\PARTYPOKER_INSTALLER\SMARTINSTALLER.EXE Unbekanntes Programm
27.08.2009 17:06:53 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\DESKTOP\PARTYPOKER_INSTALLER\SMARTINSTALLER.EXE Unbekanntes Programm
27.08.2009 17:06:53 Nicht beendet: PDM.Worm.P2P.generic C:\USERS\ANWENDER\DESKTOP\PARTYPOKER_INSTALLER\SMARTINSTALLER.EXE Unbekanntes Programm
27.08.2009 17:06:53 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\SETF066.TMP Unbekanntes Programm
27.08.2009 17:06:55 Gefunden: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\SETF066.TMP Unbekanntes Programm
27.08.2009 17:06:55 Nicht beendet: PDM.Worm.P2P.generic C:\USERS\ANWENDER\APPDATA\LOCAL\TEMP\SETF066.TMP Unbekanntes Programm
27.08.2009 21:57:10 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
27.08.2009 21:57:16 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
29.08.2009 12:19:35 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
29.08.2009 12:19:35 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
30.08.2009 08:59:37 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
30.08.2009 09:22:13 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
30.08.2009 09:24:07 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
30.08.2009 09:49:56 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
30.08.2009 09:50:07 Gefunden: PDM.Keylogger kernel mode memory patch Nicht vorhanden
---------------------------------------------
HJT-Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:43:10, on 30.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal
Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe
C:\Program Files\OpenOffice.org 3\program\swriter.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.0"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" update "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-954306788-3558121949-3457817263-1004\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'postgres')
O4 - Global Startup: forteManager.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: B-Service - Unknown owner - C:\Users\Anwender\AppData\Roaming\Mikogo\B-Service.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PostgreSQL Server 8.3 (postgresql-8.3) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe
O23 - Service: Rezip - Unknown owner - C:\Windows\SYSTEM32\Rezip.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 8620 bytes
--------------------------------------------------
Uninstall Liste:
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1.2 - Deutsch
Agere Systems HDA Modem
Atheros WLAN Client
BatteryLifeExtender
Betfred Poker
Business Contact Manager für Outlook 2007 SP1
Business Contact Manager für Outlook 2007 SP1
Cake Hand Converter
CamStudio
CamStudio Lossless Codec v1.4
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities ZoomBrowser EX
CanoScan Toolbox Ver4.1
Catalyst Control Center - Branding
CDex extraction audio
CyberLink DVD Suite
CyberLink DVD Suite
CyberLink LabelPrint
CyberLink Power2Go
CyberLink Power2Go
CyberLink PowerDirector
CyberLink PowerDirector
CyberLink PowerProducer
CyberLink PowerProducer
CyberLink YouCam
CyberLink YouCam
Easy Battery Manager
Easy Display Manager
Easy Network Manager
Easy SpeedUp Manager
Eraser 5.8.7
ffdshow (remove only)
forteManager
Free YouTube to Mp3 Converter version 3.1
FreeMind
Full Tilt Poker
GIMP 2.6.6
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Green Line 4 Sprachtrainer
HijackThis 2.0.2
Holdem Manager
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
imagine digital freedom - Samsung
Intel PROSet Wireless
Intel® Matrix Storage Manager
Java(TM) 6 Update 15
Kaspersky Internet Security 2010
Kaspersky Internet Security 2010
Marvell Miniport Driver
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mikogo
Mozilla Firefox (3.5.2)
Mozilla Thunderbird (2.0.0.23)
Namuga 1.3M Webcam
OpenOffice.org 3.1
PartyPoker
PCTroubleshooting
Pokerazor 1.36
PokerHost
PokerStars
PokerStove version 1.23
PokerStrategy Equilator
PostgreSQL 8.3
RealPlayer
Realtek High Definition Audio Driver
REALTEK Wireless LAN Driver
Samsung Magic Doctor
Samsung Recovery Solution III
Samsung Update Plus
Samsung Update Plus
Skype web features
Skype™ 4.1
Sprachtrainer Fonts
Synaptics Pointing Device Driver
Total Commander (Remove or Repair)
Ulead VideoStudio 8.0 SE Basic
Uninstall 1.0.0.1
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
User Guide
VLC media player 0.9.9
Winamp
WinRAR
Wisdom-soft Set up ScreenHunter 5.1 Free
XP Codec Pack
---------------------------------------------------------
Gmer Report (wie gesagt, bricht auf der Hälfte ab)
beim Start findet er folgendes:
GMER 1.0.15.15077 [xgtgjl5p.exe] - http://www.gmer.net
Rootkit quick scan 2009-08-30 09:56:58
Windows 6.0.6001 Service Pack 1
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
beim Scan geht es bis hier (er hängt sich immer bei shadow copy irgendwas auf):
GMER 1.0.15.15077 [xgtgjl5p.exe] - http://www.gmer.net
Rootkit scan 2009-08-30 09:58:33
Windows 6.0.6001 Service Pack 1
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcConnectPort [0x8F657E06]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcCreatePort [0x8F657F84]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwAlpcSendWaitReceivePort [0x8F658014]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwClose [0x8F656DF8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwConnectPort [0x8F6574EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateEvent [0x8F657816]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateFile [0x8F656F66]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateMutant [0x8F6576EE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0x8F6569D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreatePort [0x8F6575AA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateSection [0x8F656B8C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateSemaphore [0x8F657948]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwCreateWaitablePort [0x8F65764C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwFsControlFile [0x8F6570C4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenEvent [0x8F6578B8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenFile [0x8F656E34]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenMutant [0x8F657786]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenSection [0x8F65845C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwOpenSemaphore [0x8F6579EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwQueryDirectoryObject [0x8F658214]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwReplyPort [0x8F657D74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0x8F657C3A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSecureConnectPort [0x8F6571F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab) ZwSetInformationToken [0x8F6582C8]
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!KeInsertQueue + 32D 820A5924 8 Bytes [06, 7E, 65, 8F, 84, 7F, 65, ...]
.text ntoskrnl.exe!KeInsertQueue + 371 820A5968 4 Bytes [14, 80, 65, 8F]
.text ntoskrnl.exe!KeInsertQueue + 399 820A5990 4 Bytes [F8, 6D, 65, 8F]
.text ntoskrnl.exe!KeInsertQueue + 3B1 820A59A8 4 Bytes JMP F88F6574
.text ntoskrnl.exe!KeInsertQueue + 3C1 820A59B8 4 Bytes [16, 78, 65, 8F]
.text ...
---- User code sections - GMER 1.0.15 ----
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1728] C:\Windows\system32\ntdll.dll time/date stamp mismatch;
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1728] C:\Windows\system32\kernel32.dll time/date stamp mismatch; unknown module: 32.dll
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1728] USER32.dll!GetAppCompatFlags2 + 880 76936390 4 Bytes [70, 11, 32, 6D]
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2712] C:\Windows\system32\ntdll.dll time/date stamp mismatch;
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2712] C:\Windows\system32\kernel32.dll time/date stamp mismatch; unknown module: 32.dll
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2712] USER32.dll!GetAppCompatFlags2 + 880 76936390 4 Bytes [70, 11, 32, 6D]
------ wenn ich ohne devices scanne, geht es so weiter--------------------
GMER 1.0.15.15077 [xgtgjl5p.exe] - http://www.gmer.net
Rootkit scan 2009-08-30 10:31:44
Windows 6.0.6001 Service Pack 1
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269e276d4
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269e276d8
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269e2770b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269ea5a41
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\002269e276d4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\002269e276d8 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\002269e2770b (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\002269ea5a41 (not active ControlSet)
---- EOF - GMER 1.0.15 ----
"devices" einzeln geht auch:
GMER 1.0.15.15077 [xgtgjl5p.exe] - http://www.gmer.net
Rootkit scan 2009-08-30 10:39:55
Windows 6.0.6001 Service Pack 1
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- EOF - GMER 1.0.15 ----