catchme.exe - detected NTDLL code modification

Dieses Thema catchme.exe - detected NTDLL code modification im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Matjes, 23. Okt. 2010.

Thema: catchme.exe - detected NTDLL code modification Hallo, heute hab ich unter Win 7 Prof (icnl. aktueller Updates) catchme.exe als Admin (Als Admin ausführen...)...

  1. Hallo,

    heute hab ich unter Win 7 Prof (icnl. aktueller Updates) catchme.exe als Admin (Als Admin ausführen...) ausgeführt und folgendes Ergebnis erhalten. Was sagt mit das ?

    Gruß Matjes :)

    Code:
    detected NTDLL code modification:
    ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error
     
  2. Hi,

    Ist das ein 32Bit oder 64Bit System? Sachen wie Deamon Tools installiert?
     
  3. Hi schrauber,

    ist ein 32-Bit system. Deamon-Tools ist nicht drauf.

    Ich häng noch das HiJackThis-Logfile an.

    Gruß Matjes :)
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:10:44, on 23.10.2010
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16671)
    Boot mode: Normal
    
    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\Dwm.exe
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    C:\Program Files\Microsoft Security Essentials\msseces.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Free Download Manager\fdm.exe
    C:\Program Files\MagicDisc\MagicDisc.exe
    C:\ExtraSW\Proxomitron4.51-P\Proxomitron.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\zabkat\xplorer2_lite\xplorer2_lite.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\SearchFilterHost.exe
    D:\04_Daten\20100709\SW1\SICHERHEIT_\ANTIVIRUS_\HijackThis\HiJackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
    O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    O4 - HKLM\..\Run: [MSSE] C:\Program Files\Microsoft Security Essentials\msseces.exe -hide -runkey
    O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Common Files\Java\Java Update\jusched.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
    O4 - Global Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
    O4 - Global Startup: Proxomitron.exe - Verknüpfung.lnk = C:\ExtraSW\Proxomitron4.51-P\Proxomitron.exe
    O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
    O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra->Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [url]http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab[/url]
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: WTGService - Unknown owner - C:\Program Files\Verbindungsassistent\wtgservice.exe
    
    --
    End of file - 5644 bytes
    
     
  4. aber sowas ähnliches ...

    ob es daran wirklich liegt, weiß ich nicht.

    pan_fee
     
  5. Hast Du irgendwelche Probleme mit dem Rechner oder einfach mal so gescannt?
     
  6. Matjes schrieb doch, er habe catchme ausführen wollen und bekam eine Fehlermeldung
    pan_fee
     
  7. Hallo zusammen,

    ich habe keine Probleme mit dem Rechner. Wie PCDpan_fee richtig bemerkte, habe ich catchme.exe auf meinem Rechner ausgeführt und eine Fehlermeldung erhalten (siehe oben).

    Da ich keine Beschreibung bzgl. dieses Verhaltens finden konnte, (und ich neugierig bin ;D )
    suche ich eine Erklärung dafür.
    Gruß Matjes :)
     
  8. Solche Meldungen kommen manchmal vor, deswegen die Frage ob der PC Probleme macht :).

    Was genau das bedeutet (zu 100%) müsste ich mit dem Autor abklären, aber der urlaubt gerade irgendwo :).
     
  9. Die Meldung sagt ja aus, dass eine Code-Änderung erkannt wurde.
    Durch KB2264107 (CWDIllegalInDllSearch) wird. z.B. die NTDLL.DLL ausgetauscht.

    Könnte vielleicht daran liegen.

    pan_fee
     
  10. Ja, das könnte es sein.

    Hab das catchme-Logfile zusammen mit gmer-Logfile und HiJackThis-Logfile per mail an gmer gesendet. Mal schauen, ob eine Antwort kommt.

    Gruß Matjes :)
     
Die Seite wird geladen...

catchme.exe - detected NTDLL code modification - Ähnliche Themen

Forum Datum
Bitte Hilfe :( Driver_Verifier_Detected_violation (excsd.sys) Windows 10 Forum 30. Aug. 2016
Fehler 550 Loop detected E-Mail-Programme 9. März 2013
Fehlermeldung Buffer overrund detected Firewalls & Virenscanner 15. Jan. 2006
Hardware-Problem: "No signal detected" Hardware 16. Feb. 2005