Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Log-Analyse und Auswertung: Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 04.07.2012, 14:29   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Damit wird doch nur gemeint, dass ich was gefixt habe, was du noch weiterhin verwenden wolltest!
Das kann immer wieder mal vorkommen, ich kann ja schlecht bei jeder Zeile nachfragen willst du diese oder jene Einstellung, Datei, Toolbar oder was auch immer behalten bzw. kennst du das
Wenn ich das täte wäre hier jeder Strang locker 100 Seiten lang und ein wenig den Rahmen sprengen, jedenfalls dann wenn der Tag nur 24h hat

Zitat:
Waren das Fehleinstellungen oder AddOns die gefährlich waren/sind?
Installiere nicht irgendeinen Quatsch ohne nachzudenken bzw. was du nicht brauchst
Und Software immer nur aus vertrauenswürdigen Quellen runterladen


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.07.2012, 22:12   #17
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Fertig!

Code:
ATTFilter
ComboFix 12-07-04.01 - DD 04.07.2012  16:12:07.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3038.1995 [GMT 2:00]
ausgeführt von:: c:\users\DD\Desktop\ComboFix.exe
AV: McAfee  Anti-Virus und Anti-Spyware *Enabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
FW: McAfee  Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
SP: McAfee  Anti-Virus und Anti-Spyware *Enabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\DD\AppData\Local\assembly\tmp
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-04 bis 2012-07-04  ))))))))))))))))))))))))))))))
.
.
2012-07-04 14:26 . 2012-07-04 20:54	--------	d-----w-	c:\users\DD\AppData\Local\temp
2012-07-04 14:26 . 2012-07-04 14:26	--------	d-----w-	c:\users\Mcx1\AppData\Local\temp
2012-07-04 14:26 . 2012-07-04 14:26	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-07-03 17:51 . 2012-07-04 13:29	--------	d-----w-	c:\users\DD\AppData\Local\Spotify
2012-07-03 17:51 . 2012-07-04 13:29	--------	d-----w-	c:\users\DD\AppData\Roaming\Spotify
2012-07-03 13:31 . 2012-07-03 13:31	--------	d-----w-	C:\_OTL
2012-07-01 19:31 . 2012-07-01 19:32	--------	d-----w-	c:\program files\Media Player Utilities 4.28
2012-06-29 08:40 . 2012-06-29 08:40	--------	d-----w-	c:\program files\ESET
2012-06-28 21:15 . 2012-06-28 21:15	--------	d-----w-	c:\users\DD\AppData\Roaming\Malwarebytes
2012-06-28 21:15 . 2012-06-28 21:15	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-28 21:15 . 2012-06-28 21:15	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-28 21:15 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-27 09:01 . 2012-06-27 09:01	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2012-06-27 09:01 . 2012-06-27 09:01	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2012-06-27 09:01 . 2012-06-27 09:01	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2012-06-27 09:01 . 2012-06-27 09:01	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2012-06-23 05:17 . 2012-06-23 05:17	--------	d-----w-	c:\program files\Common Files\Bitdefender
2012-06-23 05:13 . 2012-06-23 05:13	--------	d-----w-	c:\users\DD\AppData\Roaming\QuickScan
2012-06-22 15:00 . 2012-06-23 05:11	335504	----a-w-	c:\windows\system32\drivers\TrufosAlt.sys
2012-06-21 18:19 . 2012-06-21 18:19	97961	----a-w-	c:\windows\system32\drivers\klick.dat
2012-06-21 18:19 . 2012-06-21 18:19	115369	----a-w-	c:\windows\system32\drivers\klin.dat
2012-06-21 18:16 . 2012-07-04 19:01	--------	d-----w-	c:\programdata\Kaspersky Lab
2012-06-21 18:16 . 2012-06-21 18:16	--------	d-----w-	c:\program files\Kaspersky Lab
2012-06-21 05:15 . 2012-06-21 05:15	--------	d-----w-	c:\users\DD\AppData\Local\Macromedia
2012-06-21 05:15 . 2012-06-02 22:19	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-21 05:15 . 2012-06-02 22:19	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-21 05:15 . 2012-06-02 22:19	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-21 05:15 . 2012-06-02 22:12	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-21 05:14 . 2012-06-02 22:19	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-21 05:14 . 2012-06-02 22:12	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-21 05:14 . 2012-06-02 22:19	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-21 05:14 . 2012-06-02 13:19	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-21 05:14 . 2012-06-02 13:12	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-12 20:03 . 2012-04-23 16:00	984064	----a-w-	c:\windows\system32\crypt32.dll
2012-06-12 20:03 . 2012-04-23 16:00	98304	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-12 20:03 . 2012-04-23 16:00	133120	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-12 20:01 . 2012-05-01 14:03	180736	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-12 20:01 . 2012-05-15 19:51	2045440	----a-w-	c:\windows\system32\win32k.sys
2012-06-06 12:09 . 2012-06-01 15:36	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-06 12:09 . 2012-06-01 15:36	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-28 06:54 . 2010-05-06 19:11	279552	----a-w-	c:\windows\system32\services.exe
2012-06-21 17:33 . 2012-04-04 14:51	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-21 17:33 . 2011-06-13 10:57	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-18 18:56 . 2012-04-18 18:56	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56	69632	----a-w-	c:\windows\system32\QuickTime.qts
2012-06-17 09:44 . 2011-04-19 19:08	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2011-04-14 12:01 . 2011-04-25 17:19	24376	----a-w-	c:\program files\mozilla firefox\components\Scriptff.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\System32\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\System32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\System32\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\System32\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 18:11	2872120	----a-w-	c:\program files\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 18:11	2872120	----a-w-	c:\program files\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 18:11	2872120	----a-w-	c:\program files\McAfee Online Backup\MOBKshell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetupMyPC\SmpSys.exe" [2009-03-18 1160736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Spotify"="c:\users\DD\AppData\Roaming\Spotify\Spotify.exe" [2012-07-03 7609560]
"Spotify Web Helper"="c:\users\DD\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-07-03 1192664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell PowerSave Solution\ePowerTray.exe" [2009-03-11 715296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-13 61440]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-24 6789664]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-02-24 1833504]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2009-02-12 862728]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2012-03-21 1318816]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\B2C_AGENT]
2011-01-13 07:20	404568	----a-w-	c:\programdata\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe"
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"Google Update"="c:\users\DD\AppData\Local\Google\Update\GoogleUpdate.exe" /c
"EPSON SX130 Series"=c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIHJE.EXE /FU "c:\windows\TEMP\E_S714C.tmp" /EF "HKCU"
"Facebook Update"="c:\users\DD\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe"
"BackupManagerTray"="c:\program files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" -k
"Windows Mobile-based device management"=%windir%\WindowsMobile\wmdc.exe
"B2C_AGENT"=c:\programdata\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe"
"NetFxUpdate_v1.1.4322"="c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe" 1 v1.1.4322 GAC + NI NID
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]
.
2012-07-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 17:33]
.
2012-07-04 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000Core.job
- c:\users\DD\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-11 18:25]
.
2012-07-04 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000UA.job
- c:\users\DD\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-11 18:25]
.
2012-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 20:03]
.
2012-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 20:03]
.
2012-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000Core.job
- c:\users\DD\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 14:16]
.
2012-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000UA.job
- c:\users\DD\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-13 14:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
mStart Page = 
IE: Add to AMV/AVI Video Converter... - c:\program files\Media Player Utilities 4.28\AMVConverter\grab.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\DD\AppData\Roaming\Mozilla\Firefox\Profiles\n63aa2n9.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Steam - c:\program files\Steam\Steam.exe
AddRemove-ICQToolbar - c:\program files\ICQ6Toolbar\ICQUnToolbar.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-04 22:56
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BFE]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{17cdcd1f-0cd7-4c7b-9723-8a919a1ae7e2}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:14020054
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1c5868cf-96af-44ac-8bba-f0bf22641a77}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d00235a
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1c6e75d3-c364-4a41-a1f0-0591696e0b3c}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c00216b
"Dhcpv6State"=dword:00000001
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{617fe795-3606-41ba-b8be-2f7833e111dd}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:11000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{7ab1513e-661c-46a5-a196-5a37690067b4}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:20000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e001422
"Dhcpv6State"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3716)
c:\program files\McAfee Online Backup\MOBKshell.dll
c:\program files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
c:\program files\ATI Technologies\ATI.ACE\Core-Static\atiamdeu.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
c:\program files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe
c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe
c:\windows\system32\mfevtps.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\windows\system32\rundll32.exe
c:\program files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\windows\System32\TUProgSt.exe
c:\program files\Common Files\McAfee\SystemCore\mcshield.exe
c:\program files\Common Files\McAfee\SystemCore\mfefire.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\McAfee Online Backup\MOBKbackup.exe
c:\program files\McAfee Online Backup\MOBKbackup.exe
c:\program files\McAfee Online Backup\MOBKbackup.exe
c:\windows\system32\conime.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-04  23:01:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-04 21:01
.
Vor Suchlauf: 22 Verzeichnis(se), 35.734.511.616 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 19.170.992.128 Bytes frei
.
- - End Of File - - 7093E31B7683D2B0249A7090130894FC
Zitat:
Zitat von cosinus Beitrag anzeigen
Installiere nicht irgendeinen Quatsch ohne nachzudenken bzw. was du nicht brauchst
Und Software immer nur aus vertrauenswürdigen Quellen runterladen
Das sollte keine Beschwerde oder Kritik sein!
Bitte nicht falsch verstehen!
Ich wollte mich nur zu den Änderungen informieren, da ich natürlich auch etwas aus der Situation lernen möchte.
__________________

Geändert von Patient X (04.07.2012 um 22:22 Uhr)

Alt 05.07.2012, 10:27   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________
__________________
Alt 06.07.2012, 13:47   #19
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Alles ohne Abstürze gelaufen!

Gmer:

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-05 22:11:51
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS545050B9A300 rev.PB4OC60F
Running: yn3nqeok.exe; Driver: C:\Users\DD\AppData\Local\Temp\fxldapog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwAdjustPrivilegesToken [0x91A8A28A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwAlpcConnectPort [0x91AA4342]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwAlpcCreatePort [0x91AA4678]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwAlpcSendWaitReceivePort [0x91AA49EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwClose [0x91A8AD04]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwConnectPort [0x91AA402A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateEvent [0x91A8B276]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateMutant [0x91A8B164]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreatePort [0x91AA44E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateSection [0x91A8A046]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateSemaphore [0x91A8B38E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateThread [0x91A8A8BA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateWaitablePort [0x91AA45B0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwDebugActiveProcess [0x91A8B74E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwDeviceIoControlFile [0x91A8AD46]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwDuplicateObject [0x91A8C750]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwLoadDriver [0x91A8B840]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwMapViewOfSection [0x91A8BDAC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwNotifyChangeKey [0x91AA2840]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenEvent [0x91A8B308]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenMutant [0x91A8B1F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenProcess [0x91A8A4C4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenSection [0x91A8BB90]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenSemaphore [0x91A8B420]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwOpenThread [0x91A8A3B8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwQueryDirectoryObject [0x91A8B55C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwQueryObject [0x91AA2A38]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwQuerySection [0x91A8C0D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwQueueApcThread [0x91A8B9E0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwReplyPort [0x91AA47DC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwReplyWaitReceivePort [0x91AA472A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwRequestWaitReplyPort [0x91AA4848]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwResumeThread [0x91A8C5F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSecureConnectPort [0x91AA41B2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSetContextThread [0x91A8ABA4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSetInformationToken [0x91A8B5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSetSystemInformation [0x91A8C222]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSuspendProcess [0x91A8C316]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSuspendThread [0x91A8C450]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwSystemDebugControl [0x91A8B670]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwTerminateProcess [0x91A8A664]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwTerminateThread [0x91A8A5BA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwUnmapViewOfSection [0x91A8BF8A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwWriteVirtualMemory [0x91A8A750]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateThreadEx [0x91A8AA2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                    ZwCreateUserProcess [0x91A8B4A6]

Code            \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                              ZwMapViewOfSection [0x8078C5A8]
Code            \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                              ZwYieldExecution [0x8078C594]
Code            \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                              NtMapViewOfSection

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwYieldExecution                                                                                           83033992 5 Bytes  JMP 8078C598 \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
.text           ntkrnlpa.exe!KeSetEvent + 119                                                                                           830B47DC 4 Bytes  [8A, A2, A8, 91]
.text           ntkrnlpa.exe!KeSetEvent + 13D                                                                                           830B4800 8 Bytes  [42, 43, AA, 91, 78, 46, AA, ...] {INC EDX; INC EBX; STOSB ; XCHG ECX, EAX; JS 0x4c; STOSB ; XCHG ECX, EAX}
.text           ntkrnlpa.exe!KeSetEvent + 181                                                                                           830B4844 4 Bytes  [EE, 49, AA, 91] {OUT DX, AL ; DEC ECX; STOSB ; XCHG ECX, EAX}
.text           ntkrnlpa.exe!KeSetEvent + 1A9                                                                                           830B486C 4 Bytes  [04, AD, A8, 91] {ADD AL, 0xad; TEST AL, 0x91}
.text           ntkrnlpa.exe!KeSetEvent + 1C1                                                                                           830B4884 4 Bytes  [2A, 40, AA, 91] {SUB AL, [EAX-0x56]; XCHG ECX, EAX}
.text           ...                                                                                                                     
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                                                         8321889A 7 Bytes  JMP 8078C5AC \SystemRoot\system32\drivers\mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
.text           C:\Windows\system32\DRIVERS\atipmdag.sys                                                                                section is writeable [0x9060C000, 0x25826A, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\svchost.exe[572] ntdll.dll!NtCreateFile                                                             77844244 5 Bytes  JMP 00140FEF 
.text           C:\Windows\system32\svchost.exe[572] ntdll.dll!NtCreateProcess                                                          77844304 5 Bytes  JMP 0014000A 
.text           C:\Windows\system32\svchost.exe[572] ntdll.dll!NtProtectVirtualMemory                                                   77844BA4 5 Bytes  JMP 00140FDE 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!GetStartupInfoW                                                       77961929 5 Bytes  JMP 001800A2 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!GetStartupInfoA                                                       779619C9 5 Bytes  JMP 00180F5C 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateProcessW                                                        77961BF3 5 Bytes  JMP 001800CE 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateProcessA                                                        77961C28 5 Bytes  JMP 00180F41 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!VirtualProtect                                                        77961DC3 5 Bytes  JMP 00180F88 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateNamedPipeA                                                      77962EF5 5 Bytes  JMP 00180014 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateNamedPipeW                                                      77965C0C 5 Bytes  JMP 00180025 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreatePipe                                                            77988F06 5 Bytes  JMP 00180F77 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!LoadLibraryExW                                                        7798927C 5 Bytes  JMP 0018006C 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!LoadLibraryW                                                          77989400 5 Bytes  JMP 00180040 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!LoadLibraryExA                                                        77989554 5 Bytes  JMP 00180051 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!LoadLibraryA                                                          7798957C 5 Bytes  JMP 00180FB9 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!VirtualProtectEx                                                      7798DC52 5 Bytes  JMP 0018007D 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!GetProcAddress                                                        779A925B 5 Bytes  JMP 001800E9 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateFileW                                                           779AB0EB 5 Bytes  JMP 00180FDE 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!CreateFileA                                                           779AD07F 5 Bytes  JMP 00180FEF 
.text           C:\Windows\system32\svchost.exe[572] kernel32.dll!WinExec                                                               779F60CF 5 Bytes  JMP 001800BD 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!_wsystem                                                                77067F3F 5 Bytes  JMP 00170FCF 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!system                                                                  7706805B 5 Bytes  JMP 0017005A 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!_creat                                                                  7706BBF1 5 Bytes  JMP 0017002E 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!_open                                                                   7706D116 5 Bytes  JMP 00170000 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!_wcreat                                                                 7706D336 5 Bytes  JMP 00170049 
.text           C:\Windows\system32\svchost.exe[572] msvcrt.dll!_wopen                                                                  7706D511 5 Bytes  JMP 0017001D 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegCreateKeyExA                                                       762639AB 5 Bytes  JMP 00150F7C 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegCreateKeyA                                                         76263BA9 5 Bytes  JMP 00150FA8 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegOpenKeyA                                                           762689C7 5 Bytes  JMP 00150000 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegCreateKeyW                                                         7627391E 5 Bytes  JMP 00150F8D 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegCreateKeyExW                                                       762741F1 5 Bytes  JMP 00150043 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegOpenKeyExA                                                         76277C42 5 Bytes  JMP 00150FD4 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegOpenKeyW                                                           7627E2B5 5 Bytes  JMP 00150FE5 
.text           C:\Windows\system32\svchost.exe[572] ADVAPI32.dll!RegOpenKeyExW                                                         76287BA1 5 Bytes  JMP 00150FB9 
.text           C:\Windows\system32\svchost.exe[572] WS2_32.dll!socket                                                                  76F536D1 5 Bytes  JMP 00160FE5 
.text           C:\Windows\System32\svchost.exe[668] ntdll.dll!NtCreateFile                                                             77844244 5 Bytes  JMP 00D4000A 
.text           C:\Windows\System32\svchost.exe[668] ntdll.dll!NtCreateProcess                                                          77844304 5 Bytes  JMP 00D40FE5 
.text           C:\Windows\System32\svchost.exe[668] ntdll.dll!NtProtectVirtualMemory                                                   77844BA4 5 Bytes  JMP 00D4001B 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!GetStartupInfoW                                                       77961929 5 Bytes  JMP 00D80F55 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!GetStartupInfoA                                                       779619C9 5 Bytes  JMP 00D8009B 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateProcessW                                                        77961BF3 5 Bytes  JMP 00D800C7 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateProcessA                                                        77961C28 5 Bytes  JMP 00D800B6 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!VirtualProtect                                                        77961DC3 5 Bytes  JMP 00D80F7A 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateNamedPipeA                                                      77962EF5 5 Bytes  JMP 00D8001E 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateNamedPipeW                                                      77965C0C 5 Bytes  JMP 00D80FCD 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreatePipe                                                            77988F06 5 Bytes  JMP 00D80080 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!LoadLibraryExW                                                        7798927C 5 Bytes  JMP 00D80F97 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!LoadLibraryW                                                          77989400 5 Bytes  JMP 00D80043 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!LoadLibraryExA                                                        77989554 5 Bytes  JMP 00D80054 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!LoadLibraryA                                                          7798957C 5 Bytes  JMP 00D80FB2 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!VirtualProtectEx                                                      7798DC52 5 Bytes  JMP 00D8006F 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!GetProcAddress                                                        779A925B 5 Bytes  JMP 00D80F15 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateFileW                                                           779AB0EB 5 Bytes  JMP 00D80FDE 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!CreateFileA                                                           779AD07F 5 Bytes  JMP 00D80FEF 
.text           C:\Windows\System32\svchost.exe[668] kernel32.dll!WinExec                                                               779F60CF 5 Bytes  JMP 00D80F44 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!_wsystem                                                                77067F3F 5 Bytes  JMP 00D7001D 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!system                                                                  7706805B 5 Bytes  JMP 00D70F9C 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!_creat                                                                  7706BBF1 5 Bytes  JMP 00D70FC8 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!_open                                                                   7706D116 5 Bytes  JMP 00D70000 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!_wcreat                                                                 7706D336 5 Bytes  JMP 00D70FAD 
.text           C:\Windows\System32\svchost.exe[668] msvcrt.dll!_wopen                                                                  7706D511 5 Bytes  JMP 00D70FE3 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegCreateKeyExA                                                       762639AB 5 Bytes  JMP 00D6002F 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegCreateKeyA                                                         76263BA9 5 Bytes  JMP 00D60FA8 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegOpenKeyA                                                           762689C7 5 Bytes  JMP 00D60FEF 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegCreateKeyW                                                         7627391E 5 Bytes  JMP 00D60F8D 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegCreateKeyExW                                                       762741F1 5 Bytes  JMP 00D60F72 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegOpenKeyExA                                                         76277C42 5 Bytes  JMP 00D60FB9 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegOpenKeyW                                                           7627E2B5 5 Bytes  JMP 00D60FCA 
.text           C:\Windows\System32\svchost.exe[668] ADVAPI32.dll!RegOpenKeyExW                                                         76287BA1 5 Bytes  JMP 00D60014 
.text           C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe[824] kernel32.dll!LoadLibraryW                              77989400 5 Bytes  JMP 70D69A63 C:\Program Files\Common Files\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)
.text           C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe[824] kernel32.dll!LoadLibraryA                              7798957C 5 Bytes  JMP 70D699A1 C:\Program Files\Common Files\McAfee\McProxy\mcproxy.dll (McAfee Proxy Service Module/McAfee, Inc.)
.text           C:\Windows\system32\services.exe[872] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00130FEF 
.text           C:\Windows\system32\services.exe[872] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 0013001B 
.text           C:\Windows\system32\services.exe[872] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00130000 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 002C0F68 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 002C00AE 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 002C0F32 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 002C00C9 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 002C0F8D 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 002C001B 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 002C002C 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 002C0093 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 002C0F9E 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 002C0FC0 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 002C0FAF 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 002C003D 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 002C0082 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 002C00DA 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 002C000A 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 002C0FEF 
.text           C:\Windows\system32\services.exe[872] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 002C0F57 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00290FC0 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00290058 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00290000 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00290FD1 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00290FAF 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 0029002C 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 0029001B 
.text           C:\Windows\system32\services.exe[872] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 0029003D 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 002B0F89 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 002B0FA4 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 002B0FC6 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 002B0FEF 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 002B0FB5 
.text           C:\Windows\system32\services.exe[872] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 002B0000 
.text           C:\Windows\system32\services.exe[872] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 002A0000 
.text           C:\Windows\system32\lsass.exe[884] ntdll.dll!NtCreateFile                                                               77844244 5 Bytes  JMP 00140FEF 
.text           C:\Windows\system32\lsass.exe[884] ntdll.dll!NtCreateProcess                                                            77844304 5 Bytes  JMP 0014000A 
.text           C:\Windows\system32\lsass.exe[884] ntdll.dll!NtProtectVirtualMemory                                                     77844BA4 5 Bytes  JMP 00140FDE 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!GetStartupInfoW                                                         77961929 5 Bytes  JMP 004C0F33 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!GetStartupInfoA                                                         779619C9 5 Bytes  JMP 004C0F44 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateProcessW                                                          77961BF3 5 Bytes  JMP 004C0F07 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateProcessA                                                          77961C28 5 Bytes  JMP 004C009E 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!VirtualProtect                                                          77961DC3 5 Bytes  JMP 004C0F70 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateNamedPipeA                                                        77962EF5 5 Bytes  JMP 004C0FCA 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateNamedPipeW                                                        77965C0C 5 Bytes  JMP 004C0FB9 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreatePipe                                                              77988F06 5 Bytes  JMP 004C0F55 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!LoadLibraryExW                                                          7798927C 5 Bytes  JMP 004C0F8D 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!LoadLibraryW                                                            77989400 5 Bytes  JMP 004C0FA8 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!LoadLibraryExA                                                          77989554 5 Bytes  JMP 004C004A 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!LoadLibraryA                                                            7798957C 5 Bytes  JMP 004C002F 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!VirtualProtectEx                                                        7798DC52 5 Bytes  JMP 004C0065 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!GetProcAddress                                                          779A925B 5 Bytes  JMP 004C0EE2 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateFileW                                                             779AB0EB 5 Bytes  JMP 004C0FE5 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!CreateFileA                                                             779AD07F 5 Bytes  JMP 004C0000 
.text           C:\Windows\system32\lsass.exe[884] kernel32.dll!WinExec                                                                 779F60CF 5 Bytes  JMP 004C0F22 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegCreateKeyExA                                                         762639AB 5 Bytes  JMP 00150040 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegCreateKeyA                                                           76263BA9 5 Bytes  JMP 00150FA8 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegOpenKeyA                                                             762689C7 5 Bytes  JMP 00150FEF 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegCreateKeyW                                                           7627391E 5 Bytes  JMP 0015002F 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegCreateKeyExW                                                         762741F1 5 Bytes  JMP 00150051 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegOpenKeyExA                                                           76277C42 5 Bytes  JMP 00150000 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegOpenKeyW                                                             7627E2B5 5 Bytes  JMP 00150FCA 
.text           C:\Windows\system32\lsass.exe[884] ADVAPI32.dll!RegOpenKeyExW                                                           76287BA1 5 Bytes  JMP 00150FB9 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!_wsystem                                                                  77067F3F 5 Bytes  JMP 004B0049 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!system                                                                    7706805B 5 Bytes  JMP 004B002E 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!_creat                                                                    7706BBF1 5 Bytes  JMP 004B001D 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!_open                                                                     7706D116 5 Bytes  JMP 004B0FEF 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!_wcreat                                                                   7706D336 5 Bytes  JMP 004B0FBE 
.text           C:\Windows\system32\lsass.exe[884] msvcrt.dll!_wopen                                                                    7706D511 5 Bytes  JMP 004B000C 
.text           C:\Windows\system32\lsass.exe[884] WS2_32.dll!socket                                                                    76F536D1 5 Bytes  JMP 00160FEF 
.text           C:\Windows\system32\svchost.exe[1080] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 001F0000 
.text           C:\Windows\system32\svchost.exe[1080] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 001F002C 
.text           C:\Windows\system32\svchost.exe[1080] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 001F001B 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 002300A9 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00230098 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 002300CB 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 00230F34 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 0023005B 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 0023000A 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 0023001B 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 00230087 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 0023004A 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00230F9E 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00230F8D 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 00230FAF 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 00230076 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 002300DC 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00230FD4 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00230FE5 
.text           C:\Windows\system32\svchost.exe[1080] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 002300BA 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00220042 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00220031 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 0022000C 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00220FE3 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00220FC1 
.text           C:\Windows\system32\svchost.exe[1080] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00220FD2 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00200051 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00200FC0 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00200000 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00200FAF 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 0020006C 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00200022 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00200011 
.text           C:\Windows\system32\svchost.exe[1080] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00200FD1 
.text           C:\Windows\system32\svchost.exe[1080] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00210000 
.text           C:\Windows\system32\svchost.exe[1140] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00190FE5 
.text           C:\Windows\system32\svchost.exe[1140] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00190FC3 
.text           C:\Windows\system32\svchost.exe[1140] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00190FD4 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 006D006C 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 006D0F30 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 006D00B3 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 006D00A2 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 006D0F77 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 006D002C 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 006D0FD1 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 006D0F41 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 006D0F94 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 006D0FC0 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 006D0FA5 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 006D003D 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 006D0F5C 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 006D0EF7 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 006D001B 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 006D000A 
.text           C:\Windows\system32\svchost.exe[1140] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 006D0087 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00640FC1 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 0064004C 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 00640FD2 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 0064000C 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00640027 
.text           C:\Windows\system32\svchost.exe[1140] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00640FE3 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00620058 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00620FCA 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 0062000A 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00620047 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00620069 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 0062002C 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 0062001B 
.text           C:\Windows\system32\svchost.exe[1140] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00620FDB 
.text           C:\Windows\system32\svchost.exe[1140] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00630FEF 
.text           C:\Windows\System32\svchost.exe[1252] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00200FEF 
.text           C:\Windows\System32\svchost.exe[1252] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00200FC3 
.text           C:\Windows\System32\svchost.exe[1252] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00200FDE 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 00380F6B 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00380F7C 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 00380F2B 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 003800C2 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00380FA8 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 00380FDB 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 00380036 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 00380F97 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00380076 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00380FB9 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00380065 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 00380FCA 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 003800A7 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 00380F10 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00380011 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00380000 
.text           C:\Windows\System32\svchost.exe[1252] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 00380F46 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00330053 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00330FC8 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 0033001D 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00330FE3 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 0033002E 
.text           C:\Windows\System32\svchost.exe[1252] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00330000 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00300F97 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 0030002F 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00300FEF 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00300FA8 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00300F7C 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00300FC3 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00300FDE 
.text           C:\Windows\System32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 0030001E 
.text           C:\Windows\System32\svchost.exe[1252] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00320FEF 
.text           C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 01030000 
.text           C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 01030040 
.text           C:\Windows\System32\svchost.exe[1292] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 0103001B 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 015A0F48 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 015A0F63 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 015A0EFE 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 015A009F 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 015A0F99 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 015A0025 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 015A0FCA 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 015A0F7E 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 015A0073 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 015A0051 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 015A0062 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 015A0036 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 015A008E 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 015A0EED 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 015A000A 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 015A0FEF 
.text           C:\Windows\System32\svchost.exe[1292] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 015A0F2D 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 01550FB5 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 01550FC6 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 01550011 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 01550FE3 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 01550036 
.text           C:\Windows\System32\svchost.exe[1292] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 01550000 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 01080F7C 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 01080F97 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 01080FEF 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 0108001E 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 01080039 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 01080FC3 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 01080FDE 
.text           C:\Windows\System32\svchost.exe[1292] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 01080FB2 
.text           C:\Windows\System32\svchost.exe[1292] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 01100000 
.text           C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 009C0FEF 
.text           C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 009C0014 
.text           C:\Windows\system32\svchost.exe[1308] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 009C0FDE 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 0101008B 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 01010070 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 010100CB 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 01010F34 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 01010055 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 01010011 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 01010022 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 01010F45 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 01010044 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 01010033 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 01010F87 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 01010FAC 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!VirtualProtectEx                                                     7798DC52 1 Byte  [E9]
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 01010F56 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 010100E6 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 01010000 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 01010FE5 
.text           C:\Windows\system32\svchost.exe[1308] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 010100A6 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 0100002C 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 01000FA1 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 01000FCD 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 01000000 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 01000FBC 
.text           C:\Windows\system32\svchost.exe[1308] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 01000011 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00DE006C 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00DE0040 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00DE0FEF 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00DE0051 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00DE0087 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00DE0025 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00DE000A 
.text           C:\Windows\system32\svchost.exe[1308] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00DE0FD4 
.text           C:\Windows\system32\svchost.exe[1308] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00DF0000 
.text           C:\Windows\system32\svchost.exe[1452] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00070FEF 
.text           C:\Windows\system32\svchost.exe[1452] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00070014 
.text           C:\Windows\system32\svchost.exe[1452] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00070FD4 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 000B00C6 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 000B0F80 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 000B00FC 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 000B00EB 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 000B0090 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 000B0FCA 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 000B001B 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 000B0F9B 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 000B007F 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 000B0047 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 000B0062 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 000B0036 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 000B00A1 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 000B010D 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 000B0000 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 000B0FE5 
.text           C:\Windows\system32\svchost.exe[1452] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 000B0F6F 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 000A0FBC 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 000A0FCD 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 000A0FEF 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 000A0000 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 000A0FDE 
.text           C:\Windows\system32\svchost.exe[1452] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 000A0029 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00080040 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00080025 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 0008000A 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00080F9E 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00080F83 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00080FCA 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00080FEF 
.text           C:\Windows\system32\svchost.exe[1452] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00080FB9 
.text           C:\Windows\system32\svchost.exe[1452] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00090000 
.text           C:\Windows\system32\svchost.exe[1516] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 009A0FE5 
.text           C:\Windows\system32\svchost.exe[1516] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 009A0014 
.text           C:\Windows\system32\svchost.exe[1516] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 009A0FD4 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 015000AC 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 01500091 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 01500F26 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 01500F41 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 01500F88 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 01500025 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 01500036 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 01500F66 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 01500062 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 01500FC0 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 01500FAF 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 01500047 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 01500F77 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 015000CE 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateFileW                                                          779AB0EB 1 Byte  [E9]
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 01500FEF 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 01500000 
.text           C:\Windows\system32\svchost.exe[1516] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 015000BD 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00DF003F 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00DF0FB4 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 00DF0FD9 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_open                                                                  7706D116 3 Bytes  JMP 00DF0000 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_open + 4                                                              7706D11A 1 Byte  [89]
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00DF002E 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_wopen                                                                 7706D511 3 Bytes  JMP 00DF0011 
.text           C:\Windows\system32\svchost.exe[1516] msvcrt.dll!_wopen + 4                                                             7706D515 1 Byte  [89]
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00A40F97 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00A40FB9 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00A40000 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00A40FA8 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00A4005E 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00A40FE5 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00A4001B 
.text           C:\Windows\system32\svchost.exe[1516] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00A40FCA 
.text           C:\Windows\system32\svchost.exe[1516] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00A50000 
.text           C:\Windows\system32\svchost.exe[1516] WININET.dll!InternetOpenA                                                         7763D6A8 5 Bytes  JMP 00A20FEF 
.text           C:\Windows\system32\svchost.exe[1516] WININET.dll!InternetOpenW                                                         7763DB21 5 Bytes  JMP 00A20FDE 
.text           C:\Windows\system32\svchost.exe[1516] WININET.dll!InternetOpenUrlA                                                      7763F3BC 5 Bytes  JMP 00A20FCD 
.text           C:\Windows\system32\svchost.exe[1516] WININET.dll!InternetOpenUrlW                                                      77686DFF 5 Bytes  JMP 00A20FBC 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ntdll.dll!NtCreateFile                      77844244 5 Bytes  JMP 4B110000 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ntdll.dll!NtCreateProcess                   77844304 5 Bytes  JMP 4B11001B 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ntdll.dll!NtProtectVirtualMemory            77844BA4 5 Bytes  JMP 4B110FDB 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!GetStartupInfoW                77961929 5 Bytes  JMP 4B4E0087 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!GetStartupInfoA                779619C9 5 Bytes  JMP 4B4E0076 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateProcessW                 77961BF3 5 Bytes  JMP 4B4E0F0B 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateProcessA                 77961C28 5 Bytes  JMP 4B4E0F1C 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!VirtualProtect                 77961DC3 5 Bytes  JMP 4B4E005B 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateNamedPipeA               77962EF5 5 Bytes  JMP 4B4E0011 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateNamedPipeW               77965C0C 5 Bytes  JMP 4B4E0022 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreatePipe                     77988F06 5 Bytes  JMP 4B4E0F4B 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!LoadLibraryExW                 7798927C 5 Bytes  JMP 4B4E0F8D 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!LoadLibraryW                   77989400 5 Bytes  JMP 4B4E0FAF 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!LoadLibraryExA                 77989554 5 Bytes  JMP 4B4E0F9E 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!LoadLibraryA                   7798957C 5 Bytes  JMP 4B4E0FC0 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!VirtualProtectEx               7798DC52 5 Bytes  JMP 4B4E0F5C 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!GetProcAddress                 779A925B 5 Bytes  JMP 4B4E0EFA 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateFileW                    779AB0EB 5 Bytes  JMP 4B4E0000 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!CreateFileA                    779AD07F 5 Bytes  JMP 4B4E0FEF 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] kernel32.dll!WinExec                        779F60CF 5 Bytes  JMP 4B4E00A2 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!_wsystem                         77067F3F 5 Bytes  JMP 4B4D0070 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!system                           7706805B 5 Bytes  JMP 4B4D0055 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!_creat                           7706BBF1 5 Bytes  JMP 4B4D003A 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!_open                            7706D116 5 Bytes  JMP 4B4D0000 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!_wcreat                          7706D336 5 Bytes  JMP 4B4D0FDB 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] msvcrt.dll!_wopen                           7706D511 5 Bytes  JMP 4B4D001D 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegCreateKeyExA                762639AB 5 Bytes  JMP 4B4B004E 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegCreateKeyA                  76263BA9 5 Bytes  JMP 4B4B002C 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegOpenKeyA                    762689C7 5 Bytes  JMP 4B4B0FEF 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegCreateKeyW                  7627391E 5 Bytes  JMP 4B4B003D 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegCreateKeyExW                762741F1 5 Bytes  JMP 4B4B0F9B 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegOpenKeyExA                  76277C42 5 Bytes  JMP 4B4B0011 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegOpenKeyW                    7627E2B5 5 Bytes  JMP 4B4B0000 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] ADVAPI32.dll!RegOpenKeyExW                  76287BA1 5 Bytes  JMP 4B4B0FC0 
.text           c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe[1664] WS2_32.dll!socket                           76F536D1 5 Bytes  JMP 4B4C0FE5 
.text           C:\Windows\system32\svchost.exe[1724] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00C60FEF 
.text           C:\Windows\system32\svchost.exe[1724] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00C60FD4 
.text           C:\Windows\system32\svchost.exe[1724] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00C6000A 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 00CE00B1 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00CE0F6B 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 00CE00D3 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 00CE0F3C 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00CE0082 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 00CE0FD4 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 00CE0FC3 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 00CE0F86 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00CE0071 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00CE0FB2 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00CE0054 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 00CE0039 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 00CE0F97 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 00CE00EE 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateFileW                                                          779AB0EB 1 Byte  [E9]
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00CE0FEF 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00CE0000 
.text           C:\Windows\system32\svchost.exe[1724] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 00CE00C2 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00CD0F92 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00CD0FAD 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 00CD0FD2 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00CD000C 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00CD001D 
.text           C:\Windows\system32\svchost.exe[1724] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00CD0FEF 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00CB0F94 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 00CB0036 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00CB0FE5 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00CB0FA5 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00CB0F6F 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00CB000A 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 00CB0FD4 
.text           C:\Windows\system32\svchost.exe[1724] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00CB001B 
.text           C:\Windows\system32\svchost.exe[1724] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00CC0FE5 
.text           C:\Windows\system32\svchost.exe[2400] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 0041000A 
.text           C:\Windows\system32\svchost.exe[2400] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00410FD4 
.text           C:\Windows\system32\svchost.exe[2400] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00410FE5 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 00CC00A6 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00CC0F60 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 00CC0F2D 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 00CC0F3E 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00CC0070 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 00CC0FC0 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 00CC0011 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 00CC008B 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00CC005F 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00CC0033 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00CC004E 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 00CC0022 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 00CC0F7B 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 00CC00DF 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00CC0000 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00CC0FE5 
.text           C:\Windows\system32\svchost.exe[2400] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 00CC0F4F 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00CB0FA8 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00CB0FC3 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 00CB0FEF 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00CB000C 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00CB0FD4 
.text           C:\Windows\system32\svchost.exe[2400] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00CB001D 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 008C002C 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 008C0FA5 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 008C0000 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 008C0F8A 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 008C0F6F 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 008C0FC0 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 008C0FE5 
.text           C:\Windows\system32\svchost.exe[2400] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 008C0011 
.text           C:\Windows\system32\svchost.exe[2400] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00CA0FEF 
.text           C:\Windows\system32\wuauclt.exe[2600] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00040000 
.text           C:\Windows\system32\wuauclt.exe[2600] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00040FEF 
.text           C:\Windows\system32\wuauclt.exe[2600] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00040025 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 00010F92 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 000100E2 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 0001010E 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 00010F77 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00010FC1 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 0001002F 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 0001004A 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 000100C7 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00010FDE 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00010076 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00010091 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 0001005B 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 000100B6 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 0001011F 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateFileW                                                          779AB0EB 1 Byte  [E9]
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00010FEF 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00010000 
.text           C:\Windows\system32\wuauclt.exe[2600] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 000100F3 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00070F8D 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00070022 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 00070FCD 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00070FEF 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 00070FB2 
.text           C:\Windows\system32\wuauclt.exe[2600] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00070FDE 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 0008006C 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 0008005B 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 0008000A 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00080FCA 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00080FAF 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 00080FEF 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 0008001B 
.text           C:\Windows\system32\wuauclt.exe[2600] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 00080040 
.text           C:\Windows\Explorer.EXE[3868] ntdll.dll!NtCreateFile                                                                    77844244 5 Bytes  JMP 0004000A 
.text           C:\Windows\Explorer.EXE[3868] ntdll.dll!NtCreateProcess                                                                 77844304 5 Bytes  JMP 00040FDE 
.text           C:\Windows\Explorer.EXE[3868] ntdll.dll!NtProtectVirtualMemory                                                          77844BA4 5 Bytes  JMP 00040FEF 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!GetStartupInfoW                                                              77961929 5 Bytes  JMP 00010096 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!GetStartupInfoA                                                              779619C9 5 Bytes  JMP 00010F50 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateProcessW                                                               77961BF3 5 Bytes  JMP 00010F24 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateProcessA                                                               77961C28 5 Bytes  JMP 000100BB 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!VirtualProtect                                                               77961DC3 5 Bytes  JMP 00010F90 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateNamedPipeA                                                             77962EF5 5 Bytes  JMP 00010FCD 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateNamedPipeW                                                             77965C0C 5 Bytes  JMP 00010FB2 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreatePipe                                                                   77988F06 5 Bytes  JMP 00010F6B 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!LoadLibraryExW                                                               7798927C 5 Bytes  JMP 00010FA1 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!LoadLibraryW                                                                 77989400 5 Bytes  JMP 00010043 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!LoadLibraryExA                                                               77989554 5 Bytes  JMP 0001005E 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!LoadLibraryA                                                                 7798957C 5 Bytes  JMP 0001001E 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!VirtualProtectEx                                                             7798DC52 5 Bytes  JMP 00010085 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!GetProcAddress                                                               779A925B 5 Bytes  JMP 00010F13 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateFileW                                                                  779AB0EB 5 Bytes  JMP 00010FDE 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!CreateFileA                                                                  779AD07F 5 Bytes  JMP 00010FEF 
.text           C:\Windows\Explorer.EXE[3868] kernel32.dll!WinExec                                                                      779F60CF 5 Bytes  JMP 00010F35 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegCreateKeyExA                                                              762639AB 5 Bytes  JMP 0006002C 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegCreateKeyA                                                                76263BA9 5 Bytes  JMP 0006001B 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegOpenKeyA                                                                  762689C7 5 Bytes  JMP 00060FEF 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegCreateKeyW                                                                7627391E 5 Bytes  JMP 00060F94 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegCreateKeyExW                                                              762741F1 5 Bytes  JMP 00060F6F 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegOpenKeyExA                                                                76277C42 5 Bytes  JMP 00060000 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegOpenKeyW                                                                  7627E2B5 5 Bytes  JMP 00060FD4 
.text           C:\Windows\Explorer.EXE[3868] ADVAPI32.dll!RegOpenKeyExW                                                                76287BA1 5 Bytes  JMP 00060FAF 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!_wsystem                                                                       77067F3F 5 Bytes  JMP 00070049 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!system                                                                         7706805B 5 Bytes  JMP 0007002E 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!_creat                                                                         7706BBF1 5 Bytes  JMP 0007001D 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!_open                                                                          7706D116 5 Bytes  JMP 00070FEF 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!_wcreat                                                                        7706D336 5 Bytes  JMP 00070FBE 
.text           C:\Windows\Explorer.EXE[3868] msvcrt.dll!_wopen                                                                         7706D511 5 Bytes  JMP 0007000C 
.text           C:\Windows\Explorer.EXE[3868] WININET.dll!InternetOpenA                                                                 7763D6A8 5 Bytes  JMP 01BE0000 
.text           C:\Windows\Explorer.EXE[3868] WININET.dll!InternetOpenW                                                                 7763DB21 5 Bytes  JMP 01BE0011 
.text           C:\Windows\Explorer.EXE[3868] WININET.dll!InternetOpenUrlA                                                              7763F3BC 5 Bytes  JMP 01BE0FDB 
.text           C:\Windows\Explorer.EXE[3868] WININET.dll!InternetOpenUrlW                                                              77686DFF 5 Bytes  JMP 01BE002C 
.text           C:\Windows\Explorer.EXE[3868] WS2_32.dll!socket                                                                         76F536D1 5 Bytes  JMP 02C70FEF 
.text           C:\Windows\system32\svchost.exe[5136] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00040000 
.text           C:\Windows\system32\svchost.exe[5136] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 0004002C 
.text           C:\Windows\system32\svchost.exe[5136] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00040011 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 00010F63 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00010F7E 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 000100DF 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 000100CE 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00010FBE 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 00010025 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 00010036 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 000100B3 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00010098 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00010076 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00010087 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 0001005B 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 00010FA3 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 000100FA 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00010FE5 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00010000 
.text           C:\Windows\system32\svchost.exe[5136] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 00010F48 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 00060F9C 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 00060FAD 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 0006000C 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 00060FEF 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 0006001D 
.text           C:\Windows\system32\svchost.exe[5136] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 00060FD2 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 00070F9B 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 0007003D 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 00070FEF 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 00070FAC 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 00070F8A 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 0007001B 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 0007000A 
.text           C:\Windows\system32\svchost.exe[5136] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 0007002C 
.text           C:\Windows\system32\svchost.exe[5136] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 00080000 
.text           C:\Windows\system32\svchost.exe[5452] ntdll.dll!NtCreateFile                                                            77844244 5 Bytes  JMP 00080FEF 
.text           C:\Windows\system32\svchost.exe[5452] ntdll.dll!NtCreateProcess                                                         77844304 5 Bytes  JMP 00080FCD 
.text           C:\Windows\system32\svchost.exe[5452] ntdll.dll!NtProtectVirtualMemory                                                  77844BA4 5 Bytes  JMP 00080FDE 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!GetStartupInfoW                                                      77961929 5 Bytes  JMP 000100AE 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!GetStartupInfoA                                                      779619C9 5 Bytes  JMP 00010093 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateProcessW                                                       77961BF3 5 Bytes  JMP 000100EE 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateProcessA                                                       77961C28 5 Bytes  JMP 00010F4D 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!VirtualProtect                                                       77961DC3 5 Bytes  JMP 00010F83 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateNamedPipeA                                                     77962EF5 5 Bytes  JMP 00010000 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateNamedPipeW                                                     77965C0C 5 Bytes  JMP 0001001B 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreatePipe                                                           77988F06 5 Bytes  JMP 00010078 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!LoadLibraryExW                                                       7798927C 5 Bytes  JMP 00010051 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!LoadLibraryW                                                         77989400 5 Bytes  JMP 00010036 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!LoadLibraryExA                                                       77989554 5 Bytes  JMP 00010F94 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!LoadLibraryA                                                         7798957C 5 Bytes  JMP 00010FAF 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!VirtualProtectEx                                                     7798DC52 5 Bytes  JMP 00010F72 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!GetProcAddress                                                       779A925B 5 Bytes  JMP 000100FF 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateFileW                                                          779AB0EB 5 Bytes  JMP 00010FD4 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!CreateFileA                                                          779AD07F 5 Bytes  JMP 00010FE5 
.text           C:\Windows\system32\svchost.exe[5452] kernel32.dll!WinExec                                                              779F60CF 5 Bytes  JMP 000100C9 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!_wsystem                                                               77067F3F 5 Bytes  JMP 000A0FBC 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!system                                                                 7706805B 5 Bytes  JMP 000A0FCD 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!_creat                                                                 7706BBF1 5 Bytes  JMP 000A0018 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!_open                                                                  7706D116 5 Bytes  JMP 000A0FEF 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!_wcreat                                                                7706D336 5 Bytes  JMP 000A0033 
.text           C:\Windows\system32\svchost.exe[5452] msvcrt.dll!_wopen                                                                 7706D511 5 Bytes  JMP 000A0FDE 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegCreateKeyExA                                                      762639AB 5 Bytes  JMP 000B0069 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegCreateKeyA                                                        76263BA9 5 Bytes  JMP 000B0047 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegOpenKeyA                                                          762689C7 5 Bytes  JMP 000B0FEF 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegCreateKeyW                                                        7627391E 5 Bytes  JMP 000B0058 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegCreateKeyExW                                                      762741F1 5 Bytes  JMP 000B0FAC 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegOpenKeyExA                                                        76277C42 5 Bytes  JMP 000B0025 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegOpenKeyW                                                          7627E2B5 5 Bytes  JMP 000B0014 
.text           C:\Windows\system32\svchost.exe[5452] ADVAPI32.dll!RegOpenKeyExW                                                        76287BA1 5 Bytes  JMP 000B0036 
.text           C:\Windows\system32\svchost.exe[5452] WS2_32.dll!socket                                                                 76F536D1 5 Bytes  JMP 000C000A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                  mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                  MOBK.sys (Mozy Change Monitor Filter Driver/Mozy, Inc.)

---- Services - GMER 1.0.15 ----

Service         C:\Windows\system32 (*** hidden *** )                                                                                   [MANUAL] BFE                                                                                                                         <-- ROOTKIT !!!
Service         C:\Windows\system32 (*** hidden *** )                                                                                   [MANUAL] MpsSvc                                                                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00027241b5f7                                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                     0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                  0x4A 0x3E 0x03 0xA6 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{17cdcd1f-0cd7-4c7b-9723-8a919a1ae7e2}@Dhcpv6Iaid   335675476
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{17cdcd1f-0cd7-4c7b-9723-8a919a1ae7e2}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1c5868cf-96af-44ac-8bba-f0bf22641a77}@Dhcpv6Iaid   218112858
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1c5868cf-96af-44ac-8bba-f0bf22641a77}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1c6e75d3-c364-4a41-a1f0-0591696e0b3c}@Dhcpv6Iaid   201335147
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{1c6e75d3-c364-4a41-a1f0-0591696e0b3c}@Dhcpv6State  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{617fe795-3606-41ba-b8be-2f7833e111dd}@Dhcpv6Iaid   285212672
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{617fe795-3606-41ba-b8be-2f7833e111dd}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{7ab1513e-661c-46a5-a196-5a37690067b4}@Dhcpv6Iaid   536870912
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{7ab1513e-661c-46a5-a196-5a37690067b4}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6Iaid   117445666
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}@Dhcpv6Iaid   201331746
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6Iaid   100668450
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6State  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}@Dhcpv6Iaid   234886178
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}@Dhcpv6State  0
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00027241b5f7 (not active ControlSet)                         
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                    
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                         0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                      0x4A 0x3E 0x03 0xA6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{17cdcd1f-0cd7-4c7b-9723-8a919a1ae7e2}@Dhcpv6Iaid       335675476
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{17cdcd1f-0cd7-4c7b-9723-8a919a1ae7e2}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{1c5868cf-96af-44ac-8bba-f0bf22641a77}@Dhcpv6Iaid       218112858
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{1c5868cf-96af-44ac-8bba-f0bf22641a77}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{1c6e75d3-c364-4a41-a1f0-0591696e0b3c}@Dhcpv6Iaid       201335147
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{1c6e75d3-c364-4a41-a1f0-0591696e0b3c}@Dhcpv6State      1
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{617fe795-3606-41ba-b8be-2f7833e111dd}@Dhcpv6Iaid       285212672
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{617fe795-3606-41ba-b8be-2f7833e111dd}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{7ab1513e-661c-46a5-a196-5a37690067b4}@Dhcpv6Iaid       536870912
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{7ab1513e-661c-46a5-a196-5a37690067b4}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6Iaid       117445666
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}@Dhcpv6Iaid       201331746
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6Iaid       100668450
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}@Dhcpv6State      0
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}@Dhcpv6Iaid       234886178
Reg             HKLM\SYSTEM\ControlSet003\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}@Dhcpv6State      0

---- EOF - GMER 1.0.15 ----

Alt 06.07.2012, 13:50   #20
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Und die 2 restlichen Logs
osam:

Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:19:40 on 05.07.2012

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 13.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000Core.job" - "Google Inc." - C:\Users\DD\AppData\Local\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000UA.job" - "Google Inc." - C:\Users\DD\AppData\Local\Google\Update\GoogleUpdate.exe
"FacebookUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000Core.job" - "Facebook Inc." - C:\Users\DD\AppData\Local\Facebook\Update\FacebookUpdate.exe
"FacebookUpdateTaskUserS-1-5-21-4170860937-2119410488-3439256695-1000UA.job" - "Facebook Inc." - C:\Users\DD\AppData\Local\Facebook\Update\FacebookUpdate.exe
"Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - C:\Program Files\TuneUp Utilities 2009\OneClickStarter.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Dritek General Port I/O" (DritekPortIO) - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\DPortIO.sys
"fxldapog" (fxldapog) - ? - C:\Users\DD\AppData\Local\Temp\fxldapog.sys  (Hidden registry entry, rootkit activity | File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys
"MOBKFilter" (MOBKFilter) - "Mozy, Inc." - C:\Windows\System32\DRIVERS\MOBK.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"UBHelper" (UBHelper) - "NewTech Infosystems Corporation" - C:\Windows\system32\drivers\UBHelper.sys
"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\Windows\System32\Drivers\NTIDrvr.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{16148659-720A-457d-850B-2DBD87BB129D} "{16148659-720A-457d-850B-2DBD87BB129D}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{3EF5086B-5478-4598-A054-786C45D75692} "McInternetProtocolRoot Class" - "McAfee, Inc." - c:\progra~1\mcafee\msc\mcsniepl.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
{5513F07E-936B-4E52-9B00-067394E91CC5} "McAfee SACore Protocol Handler" - "McAfee, Inc." - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
{5513F07E-936B-4E52-9B00-067394E91CC5} "McAfee SACore Protocol Handler" - "McAfee, Inc." - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - c:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{16148659-720A-457d-850B-2DBD87BB129D} "Audible Shlell Extension" - ? -   (File not found | COM-object registry key not found)
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{8A0265BC-EBA5-4F6A-8972-AFCDFB89516A} "FILEminimizer Shell Extension" - ? - C:\Program Files\FILEminimizer Pictures\FILEMShell.dll  (File found, but it contains no detailed information)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{781bca65-20ed-8f6a-368f-b523ec4f51b2} "McAfee Online Backup" - "McAfee, Inc." - C:\Program Files\McAfee Online Backup\MOBKshell.dll
{3c3f3c1a-9153-7c05-f938-622e7003894d} "McAfee Online Backup Shell-Erweiterungen" - "McAfee, Inc." - C:\Program Files\McAfee Online Backup\MOBKshell.dll
{e6ea1d7d-144e-b977-98c4-84c53c1a69d0} "McAfee Online Backup Shell-Erweiterungen Icon Overlay 2" - "McAfee, Inc." - C:\Program Files\McAfee Online Backup\MOBKshell.dll
{b4caf489-1eec-c617-49ad-8d7088598c06} "McAfee Online Backup Shell-Erweiterungen Icon Overlay 3" - "McAfee, Inc." - C:\Program Files\McAfee Online Backup\MOBKshell.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{6F5C0F40-1419-4DC8-8D2F-D5EC5FCF07AB} "Sprint.ExplorerIntegration.9" - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Integration\SprintIntegration.dll
{BD88A479-9623-4897-8546-BC62B9628F44} "SPTHandler" - ? -   (File not found | COM-object registry key not found)
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Program Files\TuneUp Utilities 2009\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Program Files\TuneUp Utilities 2009\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\Windows\System32\uxtuneup.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "@C:\Windows\WindowsMobile\INetRepl.dll,-222" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Windows\WindowsMobile\INetRepl.dll
"ICQ7.2" - "ICQ, LLC." - C:\Program Files\ICQ7.2\ICQ.exe
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} "McAfee SiteAdvisor" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll
{B164E929-A1B6-4A06-B104-2CD0E90A88FF} "McAfee SiteAdvisor BHO" - "McAfee, Inc." - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
{7DB2D5A0-7241-4E79-B68D-6309F01C5231} "scriptproxy" - "McAfee, Inc." - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120430014745.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SmpcSys" - "Acer Incorporated" - C:\Program Files\PACKARD BELL\SetupMyPC\SmpSys.exe
"Spotify" - "Spotify Ltd" - "C:\Users\DD\AppData\Roaming\Spotify\Spotify.exe" /uri spotify:autostart
"Spotify Web Helper" - ? - "C:\Users\DD\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"  (File found, but it contains no detailed information)
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acer ePower Management" - "Acer Incorporated" - C:\Program Files\Packard Bell\Packard Bell PowerSave Solution\ePowerTray.exe
"APSDaemon" - "Apple Inc." - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
"avp" - "Kaspersky Lab ZAO" - "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
"LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\LManager.exe
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"1%" (MOBKbackup) - "McAfee, Inc." - C:\Program Files\McAfee Online Backup\MOBKbackup.exe
"@%SystemRoot%\System32\TuneUpDefragService.exe,-1" (TuneUp.Defrag) - "TuneUp Software" - C:\Windows\System32\TuneUpDefragService.exe
"@%SystemRoot%\System32\TUProgSt.exe,-1" (TuneUp.ProgramStatisticsSvc) - "TuneUp Software" - C:\Windows\System32\TUProgSt.exe
"@%SystemRoot%\System32\uxtuneup.dll,-4096" (UxTuneUp) - "TuneUp Software" - C:\Windows\System32\uxtuneup.dll
"@c:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"ABBYY FineReader 9.0 Sprint Licensing Service" (ABBYY.Licensing.FineReader.Sprint.9.0) - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
"Acer ePower Service" (ePowerSvc) - "Acer Incorporated" - C:\Program Files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe
"Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
"Adobe Active File Monitor V6" (AdobeActiveFileMonitor6.0) - ? - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe  (File found, but it contains no detailed information)
"Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
"BFE" (BFE) - ? - .  (File not found)
"Defragmentation-Service" (DfSdkS) - "mst software GmbH, Germany" - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 7\Dfsdks.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"getPlus(R) Helper 3004" (nosGetPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper_3004.dll
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"ICQ Service" (ICQ Service) - ? - C:\Program Files\ICQ6Toolbar\ICQ Service.exe  (File not found)
"iPod-Dienst" (iPod Service) - ? - "C:\Program Files\iPod\bin\iPodService.exe"  (File not found)
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
"McAfee Anti-Spam Service" (MSK80Service) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee Firewall Core Service" (mfefire) - "McAfee, Inc." - C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
"McAfee McShield" (McShield) - "McAfee, Inc." - C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe
"McAfee Network Agent" (McNASvc) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee Personal Firewall Service" (McMPFSvc) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee Proxy Service" (McProxy) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee Services" (mcmscsvc) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee SiteAdvisor Service" (McAfee SiteAdvisor Service) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
"McAfee Validation Trust Protection Service" (mfevtp) - "McAfee, Inc." - C:\Windows\system32\mfevtps.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe
"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
"MpsSvc" (MpsSvc) - ? - .  (File not found)
"NTI IScheduleSvc" (NTI IScheduleSvc) - "NewTech Infosystems, Inc." - C:\Program Files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"SQL Server (MYMOVIES)" (MSSQL$MYMOVIES) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
"SQL Server Browser" (SQLBrowser) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
"TomTomHOMEService" (TomTomHOMEService) - "TomTom" - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

[Winlogon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab ZAO" - C:\Windows\system32\klogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

aswMBR:

Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-05 22:25:41
-----------------------------
22:25:41.658    OS Version: Windows 6.0.6002 Service Pack 2
22:25:41.658    Number of processors: 2 586 0x170A
22:25:41.661    ComputerName: ODIN  UserName: DD
22:25:44.638    Initialize success
22:26:35.427    AVAST engine defs: 12070501
22:29:41.846    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
22:29:41.850    Disk 0 Vendor: Hitachi_HTS545050B9A300 PB4OC60F Size: 476940MB BusType: 3
22:29:42.198    Disk 0 MBR read successfully
22:29:42.200    Disk 0 MBR scan
22:29:42.207    Disk 0 Windows VISTA default MBR code
22:29:42.369    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        13319 MB offset 63
22:29:42.490    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       463619 MB offset 27279360
22:29:43.094    Disk 0 scanning sectors +976771072
22:29:43.979    Disk 0 scanning C:\Windows\system32\drivers
22:32:54.571    Service scanning
22:33:05.217    Service KL1 C:\Windows\system32\DRIVERS\kl1.sys **LOCKED** 5
22:33:05.274    Service kl2 C:\Windows\system32\DRIVERS\kl2.sys **LOCKED** 5
22:33:05.802    Service KLIM6 C:\Windows\system32\DRIVERS\klim6.sys **LOCKED** 5
22:33:06.207    Service klmouflt C:\Windows\system32\DRIVERS\klmouflt.sys **LOCKED** 5
22:33:27.260    Modules scanning
22:37:17.982    Disk 0 trace - called modules:
22:37:18.089    
22:37:20.641    AVAST engine scan C:\Windows
22:45:08.994    AVAST engine scan C:\Windows\system32
23:46:24.991    AVAST engine scan C:\Windows\system32\drivers
23:57:51.704    AVAST engine scan C:\Users\DD
08:10:37.559    AVAST engine scan C:\ProgramData
13:13:24.887    Scan finished successfully
14:35:25.182    Disk 0 MBR has been saved successfully to "C:\Users\DD\Desktop\MBR.dat"
14:35:25.188    The log file has been saved successfully to "C:\Users\DD\Desktop\aswMBR.txt"


Alt 06.07.2012, 14:39   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Code:
ATTFilter
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
"McAfee Anti-Spam Service" (MSK80Service) - "McAfee, Inc." - C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe
Das fällt mir ja jetzt erst auf!

Warum hast du Kasperksy und McAfee installiert? Willst du dein System in die Knie zwingen? Zwei solcher Virenscanner installiert man niemals parallel! Deinstalliere einen der beiden!

Max. Malwarebytes kann man zu einem installierten Virenscanner benutzen.
(die anderen Scanner die ich hier in der Bereinigung/Analyse verwende kommen den anderen auch nichts ins Gehege)
__________________
--> Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph

Alt 06.07.2012, 15:52   #22
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Leider wieder das Ergebnis von gefährlichem Halbwissen.

Nach Ablauf des McAfee-Abos wollte Ich Kaspersky testen.

Dieses hat mich bei der Installation gefragt ob es McAfee deinstallieren soll.

Ich hab das bestätigt und wie man sieht scheint das nicht gründlich genug gewesen zu sein.

Ich habe auch schon versucht über die Systemsteuerung und auch mit TuneUp 2009 das Programm zu entfernen.
Leider ohne Erfolg wie Du siehst.

Wenn es der laufenden Trojaner-Bekämpfung nicht schadet, würde Ich versuchen das Programm nochmal von McAfee zu laden und danach eine Neu Installation mit anschließender Deinstallation direkt von McAfee selbst durch zu führen.

Würde das gehen oder hast Du einen anderen Tipp?


Bei der Gelegenheit würde Ich gerne noch einen Tipp bekommen welches Anti-Virus-Programm zu empfehlen ist.
Kaspersky Internet Security 2012 läuft jetzt noch 15 Tage bis die Testphase beendet wird.

Hat sich erledigt!
Habe von McAfee ein Consumer Product Removal Tool gefunden.
Und damit hoffentlich alles entfernt.


Wie geht es weiter?

Bei welchem Status sind wir jetzt?
Wenn man das so sagen kann.

Alt 08.07.2012, 19:07   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.07.2012, 19:20   #24
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Erledigt!

Malewarebytes

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.08.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
DD :: ODIN [Administrator]

Schutz: Aktiviert

08.07.2012 22:09:53
mbam-log-2012-07-08 (22-09-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 535441
Laufzeit: 2 Stunde(n), 47 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Superantispyware

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/09/2012 at 07:52 PM

Application Version : 5.5.1006

Core Rules Database Version : 8862
Trace Rules Database Version: 6674

Scan type       : Complete Scan
Total Scan Time : 04:51:53

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Memory items scanned      : 787
Memory threats detected   : 0
Registry items scanned    : 39024
Registry threats detected : 0
File items scanned        : 254468
File threats detected     : 21

Adware.Tracking Cookie
	accounts.google.com [ C:\USERS\DD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	accounts.google.com [ C:\USERS\DD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	accounts.google.com [ C:\USERS\DD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	accounts.youtube.com [ C:\USERS\DD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	accounts.youtube.com [ C:\USERS\DD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
	.doubleclick.net [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.apmebf.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	accounts.youtube.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.invitemedia.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.invitemedia.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	.invitemedia.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	accounts.google.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]
	accounts.google.com [ C:\USERS\DD\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N63AA2N9.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-FakeAV
	C:\PROGRAM FILES\WINRAR\DEFAULT.SFX
Das ist wohl doch noch etwas!

Alt 10.07.2012, 10:31   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Sieht ok aus, da wurden nur Cookies gefunden. Und ein Fehlalarm war dabei
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.07.2012, 12:05   #26
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Ich habe jetzt ausser den letzten Meldungen von SUPERAntiSpyware keine Mängel festgestellt.
Aber das ist ja ein Fehlalarm.

Wenn Du jetzt das Ok gibst sehe Ich meinen Rechner wieder als clean.

In der Checkliste steht ja der Helfer sagt wenn alles wieder OK ist.

Für mich stellt sich jetzt noch die Frage welchen AntiVirus ich dauerhaft nehmen soll.

McAfee war jetzt wohl 1 Jahr drauf und ist im Juni ausgelaufen.
Aktuell ist Kaspersky in der Testphase die aber in 10 Tagen abläuft.

Kannst Du mir da etwas empfehlen?


Ansonsten hab Ich nix mehr.

Alt 10.07.2012, 14:11   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Also ich weiß nicht wie oft ich das schon gepostet hab, das steht hier auch schon zuhauf in vielen Diskussionen - es ist eigentlich immer wieder das gleiche Fazit => Es gibt nicht den besten Virenscanner!

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:
  1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
  2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
  3. Führe regelmäßig Backups auf externe Medien durch
  4. Arbeite mit eingeschränkten Rechten
  5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
  6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
  7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
  8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
  9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
  10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.


Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => http://www.adobe.com/products/flashp...ribution3.html

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.07.2012, 14:12   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


sry doppelt
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.07.2012, 15:17   #29
Patient X
 
Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Standard

Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


Dann möchte Ich mich hiermit recht herzlich für deine Geduld, Mühen und Arbeit bedanken!

Deine Tipps und Ratschläge werde Ich, soweit Ich kann, umsetzen und verinnerlichen.

Vielen Dank für die Rettung!!

Antwort
Seite 2 von 2 1 2

Themen zu Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
adblock, avp.exe, bho, browser, calculator, cloud, computer, computern, ebay, error, excel, fehler, firefox 13.0.1, flash player, gmx.net, google, home, install.exe, jdownloader, kaspersky, launch, limited.com/facebook, malware, microsoft office word, mozilla, office 2007, packard bell, plug-in, problem, realtek, registry, scan, searchscopes, security, server, siteadvisor, software, super, tastatur, usb, usb 2.0, version=1.0, vista, visual studio


« 12 KB Trojaner Version mit Buchstabensalat ohne Endung | Trojan.FakeFireFox durch mbam in Quarantäne und in AntiVir werden versteckte Objekte gemeldet »


Ähnliche Themen: Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  3. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  4. Backdoor.Win32.ZAccess.eqwk / .epsi und HEUR:Exploit.Java.Generic auf meinem Rechner
    Log-Analyse und Auswertung - 26.11.2013 (17)
  5. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  6. Virenfund: Trojan.Win32.zapchast.acwq und Trojan.Win32.small.bmrh
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (27)
  7. trojan.win32.small.bmrh, Trojan.win32.small.Zapchast.acjy
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (22)
  8. Backdoor.Win32.ZAccess.uru und weitere
    Log-Analyse und Auswertung - 19.07.2012 (2)
  9. Trojaner Backdoor.Win32.ZAccess.ob
    Log-Analyse und Auswertung - 25.08.2011 (1)
  10. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  11. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  12. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  13. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  14. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (1)
  15. atlgs.exe und Backdoor.Win32.Small.dc
    Log-Analyse und Auswertung - 13.02.2005 (0)
  16. about:blank - Backdoor.Win32.Small.dc HELP
    Plagegeister aller Art und deren Bekämpfung - 13.02.2005 (2)
  17. Hilfe ! Hideproc.a und Backdoor.Win32.Small.dc
    Log-Analyse und Auswertung - 22.01.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph - Damit wird doch nur gemeint, dass ich was gefixt habe, was du noch weiterhin verwenden wolltest! Das kann immer wieder mal vorkommen, ich kann ja schlecht bei jeder Zeile nachfragen - Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph...
Archiv
Du betrachtest: Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55