| |
| |||||||
Log-Analyse und Auswertung: Diverse Mailware (BrowserDefender, Babylon, LoadTubes...)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.08.2013, 00:01
| #1 |
 |  Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Hallo, ich bin neu hier und habe das Forum heute zufällig entdeckt, als ich bezüglich Maleware am recherchieren war. Ganz kurz zur Sachlage: Ich habe heute mit Spybot S&D mein System gescannt und er hat auch prompt einen Befall entdeckt. Es handelte sich um drei Toolbars. Eine davon war die Delta-Toolbar. Eine andere war irgendetwas mit "WebSearch". Die dritte weiß ich leider nicht mehr. Nach dem Entfernen hat er mir beim booten gemeckert, dass er eine "NetRedirect.dll" nicht mehr findet. Ich denke, Spybot hat die wohl entfernt. In der Registry war im Autorun noch ein Eintrag, der eine GoogleUpdate.exe /c starten wollte. Dieser Prozess griff wohl auf die Assembly zurück. Ich habe den Eintrag entfernt. Anschließend hab ich mit Malewarebytes gescannt. Folgendes wurde dabei zutage gefördert: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.08.01.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 Togge :: TOGGE-PC [Administrator] 01.08.2013 16:12:00 mbam-log-2013-08-01 (16-12-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 617502 Laufzeit: 1 Stunde(n), 44 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Users\Togge\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1LCJZW0N\pack[1].7z (PUP.Optional.BrowserDefender.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Togge\AppData\Roaming\OpenCandy\0ADA33FA5215497C8BECCABB73176E99\DeltaTB.exe (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Togge\Downloads\setup_codec_3dx.exe (PUP.LoadTubes) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.306 - Datei am 01/08/2013 um 18:05:18 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Togge - TOGGE-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Togge\Desktop\adwcleaner06.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Users\BF3\AppData\Roaming\Mozilla\Firefox\Profiles\fm0z2t6c.default\searchplugins\safesearch.xml
Datei Gelöscht : C:\Users\Carina\AppData\Roaming\Mozilla\Firefox\Profiles\lfc2biuk.default\searchplugins\safesearch.xml
Datei Gelöscht : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\sz6x1p5a.default\searchplugins\safesearch.xml
Datei Gelöscht : C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\foxydeal.sqlite
Ordner Gelöscht : C:\ProgramData\Ask
Ordner Gelöscht : C:\Users\Togge\AppData\Local\PackageAware
Ordner Gelöscht : C:\Users\Togge\AppData\Local\Temp\AskSearch
Ordner Gelöscht : C:\Users\Togge\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\Togge\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Users\Togge\AppData\Roaming\OpenCandy
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN PIP
Schlüssel Gelöscht : HKCU\Software\PIP
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKCU\Software\f55d98cb139e542
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\Software\PIP
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F05B12E1-ADE8-4485-B45B-898748B53C37}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\f55d98cb139e542
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F05B12E1-ADE8-4485-B45B-898748B53C37}
***** [Internet Browser] *****
-\\ Internet Explorer v10.0.9200.16635
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v22.0 (de)
Datei : C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\prefs.js
C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\user.js ... Gelöscht !
Gelöscht : user_pref("browser.newtab.url", "hxxp://www1.delta-search.com/?babsrc=NT_ss&mntrId=DC7E001FD022284C&[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Delta Search");
Gelöscht : user_pref("extensions.delta.admin", false);
Gelöscht : user_pref("extensions.delta.aflt", "babsst");
Gelöscht : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Gelöscht : user_pref("extensions.delta.autoRvrt", "false");
Gelöscht : user_pref("extensions.delta.dfltLng", "de");
Gelöscht : user_pref("extensions.delta.excTlbr", false);
Gelöscht : user_pref("extensions.delta.ffxUnstlRst", true);
Gelöscht : user_pref("extensions.delta.id", "dc7e5593000000000000001fd022284c");
Gelöscht : user_pref("extensions.delta.instlDay", "15918");
Gelöscht : user_pref("extensions.delta.instlRef", "sst");
Gelöscht : user_pref("extensions.delta.newTab", false);
Gelöscht : user_pref("extensions.delta.prdct", "delta");
Gelöscht : user_pref("extensions.delta.prtnrId", "delta");
Gelöscht : user_pref("extensions.delta.rvrt", "false");
Gelöscht : user_pref("extensions.delta.smplGrp", "none");
Gelöscht : user_pref("extensions.delta.tlbrId", "base");
Gelöscht : user_pref("extensions.delta.tlbrSrchUrl", "");
Gelöscht : user_pref("extensions.delta.vrsn", "1.8.22.0");
Gelöscht : user_pref("extensions.delta.vrsnTs", "1.8.22.02:55:27");
Gelöscht : user_pref("extensions.delta.vrsni", "1.8.22.0");
Gelöscht : user_pref("extensions.delta_i.babExt", "");
Gelöscht : user_pref("extensions.delta_i.babTrack", "affID=121564&tsp=4961");
Gelöscht : user_pref("extensions.delta_i.srcExt", "ss");
Datei : C:\Users\Carina\AppData\Roaming\Mozilla\Firefox\Profiles\lfc2biuk.default\prefs.js
[OK] Die Datei ist sauber.
Datei : C:\Users\BF3\AppData\Roaming\Mozilla\Firefox\Profiles\fm0z2t6c.default\prefs.js
[OK] Die Datei ist sauber.
Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\sz6x1p5a.default\prefs.js
[OK] Die Datei ist sauber.
-\\ Google Chrome v [Version kann nicht ermittelt werden]
Datei : C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gelöscht [l.2170] : homepage = "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=DC7E001FD022284C&affID=121564&tsp=[...]
Gelöscht [l.2405] : urls_to_restore_on_startup ="session": {"restore_on_startup": 4, [ "hxxp://www1.delta-search.co[...]
*************************
AdwCleaner[R1].txt - [6377 octets] - [01/08/2013 18:04:21]
AdwCleaner[S1].txt - [6193 octets] - [01/08/2013 18:05:18]
########## EOF - C:\AdwCleaner[S1].txt - [6253 octets] ##########
Da ich jetzt aber immer noch unsicher bin, hab ich mir gedacht, ich suche mir hier doch mal kompetente Hilfe, bei einer Systemanalyse, da ich mit diesen Logfiles nicht viel anfangen kann. Nun zu den Logfiles, welche ihr benötigt. Addition: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 30-07-2013 03 Ran by Togge at 2013-08-01 18:09:25 Running from C:\Users\Togge\Desktop Boot Mode: Normal ========================================================== ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.94) Adobe Reader XI (11.0.03) - Deutsch (x32 Version: 11.0.03) Apple Application Support (x32 Version: 2.3.4) Apple Mobile Device Support (Version: 6.1.0.13) Apple Software Update (x32 Version: 2.1.3.127) Batman: Arkham City™ PC (x32) Battlefield 3™ (x32 Version: 1.0.0.0) Battlelog Web Plugins (x32 Version: 1.104.0) BioShock Infinite (x32) Bonjour (Version: 3.0.0.10) BoxCryptor 1.5 (x32 Version: 1.5.413.155) Canon Easy-PhotoPrint EX (x32) Canon Easy-WebPrint EX (x32) Canon IJ Network Scan Utility (x32) Canon IJ Network Tool (x32) Canon Inkjet Printer/Scanner/Fax Extended Survey Program (x32) Canon MG5200 series Benutzerregistrierung (x32) Canon MG5200 series MP Drivers Canon MP Navigator EX 4.0 (x32) Canon My Printer (x32) Canon Solution Menu EX (x32) CD-LabelPrint (x32) Compatibility Pack für 2007 Office System (x32 Version: 12.0.6612.1000) CPUID CPU-Z OC 1.62.2 (Version: 1.62.2) Creative ALchemy (x32 Version: 1.41) Creative Audio-Systemsteuerung (x32 Version: 2.00) Creative Konsole Starter (x32) Creative MediaSource 5 (x32 Version: 5.26) Creative Smart Recorder (x32) Creative Software AutoUpdate (x32 Version: 1.40) Creative Sound Blaster Properties x64 Edition (x32) Creative WaveStudio 7 (x32 Version: 7.12) Crystal Reports for Visual Studio (x32 Version: 12.51.0.240) Dead Island (x32) Dotfuscator Software Services - Community Edition (x32 Version: 5.0.2300.0) Downloader (x32) Driver Sweeper Version 3.2.0 (x32 Version: 3.2.0) Dropbox (HKCU Version: 2.0.22) Dual-Core Optimizer (x32 Version: 1.1.4.0169) EA SPORTS Gameface Browser Plugin 1.3.1.0 (HKCU Version: 1.3.1.0) ESN Sonar (x32 Version: 0.70.0) ESN Sonar (x32 Version: 0.70.4) Fallout 3 (x32 Version: 1.00.0000) Fiddler (x32 Version: 4.4.0.6) FileZilla Client 3.6.0.2 (x32 Version: 3.6.0.2) FormatFactory 3.0.1 (x32 Version: 3.0.1) Free YouTube Download version 2.10.29 (x32) Free YouTube to MP3 Converter version 3.12.9.725 (x32 Version: 3.12.9.725) Freeciv 2.3.0 (GTK+ client) (x32) FRITZ!Box-Fernzugang einrichten (x32 Version: 1.0.3) Hitman: Absolution (x32) iTunes (Version: 11.0.4.4) Java 7 Update 25 (x32 Version: 7.0.250) Java Auto Updater (x32 Version: 2.1.9.5) Mafia II (x32 Version: 1.0) Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300) MechWarrior Online (HKCU Version: 1.2.0.0) MechWarrior Online (x32 Version: 1.2.0.0) MEDUSA NX USB 5.1 Gaming Headset Metro 2033 (x32) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30320) Microsoft .NET Framework 4 Extended (Version: 4.0.30320) Microsoft .NET Framework 4 Multi-Targeting Pack (x32 Version: 4.0.30319) Microsoft Application Error Reporting (Version: 12.0.6015.5000) Microsoft Application Error Reporting (x32 Version: 12.0.6012.5000) Microsoft ASP.NET MVC 2 - Visual Studio 2010 Tools (x32 Version: 2.0.50217.0) Microsoft ASP.NET MVC 2 (x32 Version: 2.0.50217.0) Microsoft Games for Windows - LIVE Redistributable (x32 Version: 3.5.92.0) Microsoft Games for Windows Marketplace (x32 Version: 3.5.50.0) Microsoft Help Viewer 1.0 (Version: 1.0.30319) Microsoft Office Excel Viewer (x32 Version: 12.0.6612.1000) Microsoft Office Word Viewer 2003 (x32 Version: 11.0.8173.0) Microsoft Silverlight (Version: 5.1.20513.0) Microsoft Silverlight 3 SDK (x32 Version: 3.0.40818.0) Microsoft SQL Server 2008 (64-bit) Microsoft SQL Server 2008 Browser (x32 Version: 10.1.2531.0) Microsoft SQL Server 2008 Common Files (Version: 10.0.1600.22) Microsoft SQL Server 2008 Common Files (Version: 10.1.2531.0) Microsoft SQL Server 2008 Database Engine Services (Version: 10.1.2531.0) Microsoft SQL Server 2008 Database Engine Shared (Version: 10.1.2531.0) Microsoft SQL Server 2008 Native Client (Version: 10.1.2531.0) Microsoft SQL Server 2008 R2 Data-Tier Application Framework (x32 Version: 10.50.1447.4) Microsoft SQL Server 2008 R2 Data-Tier Application Project (x32 Version: 10.50.1447.4) Microsoft SQL Server 2008 R2 Management Objects (x32 Version: 10.50.1447.4) Microsoft SQL Server 2008 R2 Management Objects (x64) (Version: 10.50.1447.4) Microsoft SQL Server 2008 R2 Transact-SQL Language Service (x32 Version: 10.50.1447.4) Microsoft SQL Server 2008 RsFx Driver (Version: 10.1.2531.0) Microsoft SQL Server 2008 Setup Support Files (Version: 10.1.2731.0) Microsoft SQL Server Compact 3.5 SP2 ENU (x32 Version: 3.5.8080.0) Microsoft SQL Server Compact 3.5 SP2 x64 ENU (Version: 3.5.8080.0) Microsoft SQL Server Database Publishing Wizard 1.4 (x32 Version: 10.1.2512.8) Microsoft SQL Server System CLR Types (x32 Version: 10.50.1447.4) Microsoft SQL Server System CLR Types (x64) (Version: 10.50.1447.4) Microsoft SQL Server VSS Writer (Version: 10.1.2531.0) Microsoft Sync Framework Runtime v1.0 SP1 (x64) (Version: 1.0.3010.0) Microsoft Sync Framework SDK v1.0 SP1 (x32 Version: 1.0.3010.0) Microsoft Sync Framework Services v1.0 SP1 (x64) (Version: 1.0.3010.0) Microsoft Sync Services for ADO.NET v2.0 SP1 (x64) (Version: 2.0.3010.0) Microsoft Team Foundation Server 2010 Object Model - ENU (Version: 10.0.30319) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (x32 Version: 9.0.21022) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (x32 Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 (x32 Version: 9.0.30729.4974) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161) Microsoft Visual C++ 2010 x64 Designtime - 10.0.30319 (Version: 10.0.30319) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (Version: 10.0.40219) Microsoft Visual C++ 2010 x64 Runtime - 10.0.30319 (Version: 10.0.30319) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219) Microsoft Visual C++ 2010 x86 Runtime - 10.0.30319 (x32 Version: 10.0.30319) Microsoft Visual F# 2.0 Runtime (x32 Version: 10.0.30319) Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools (x32 Version: 10.0.30319) Microsoft Visual Studio 2010 IntelliTrace Collection (x64) (Version: 10.0.30319) Microsoft Visual Studio 2010 Office Developer Tools (x64) (Version: 10.0.30319) Microsoft Visual Studio 2010 Performance Collection Tools - ENU (Version: 10.0.30319) Microsoft Visual Studio 2010 SharePoint Developer Tools (x32 Version: 10.0.30319) Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (Version: 10.0.40303) Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (Version: 10.0.40308) Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - DEU (Version: 10.0.40303) Microsoft Visual Studio 2010 Ultimate - ENU (x32 Version: 10.0.30319) Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x64) Language Pack - DEU (Version: 10.0.40303) Microsoft Visual Studio Macro Tools (x32 Version: 9.0.30729) Mozilla Firefox 22.0 (x86 de) (x32 Version: 22.0) Mozilla Maintenance Service (x32 Version: 22.0) MP4 To MP3 Converter V3.0 (x32) MSI Afterburner 2.2.0 Beta 14 (x32 Version: 2.2.0 Beta 14) MyFreeCodec (HKCU) Need For Speed™ World (x32 Version: 1.0.0.131) No23 Recorder (x32 Version: 2.1.0.3) Norton Internet Security (x32 Version: 20.4.0.40) NovaflatClient Version 1.2.1 (x32 Version: 1.2.1) NVIDIA 3D Vision Controller Driver (x32 Version: 280.19) NVIDIA 3D Vision Controller-Treiber 306.23 (Version: 306.23) NVIDIA 3D Vision Treiber 311.06 (Version: 311.06) NVIDIA Grafiktreiber 311.06 (Version: 311.06) NVIDIA HD-Audiotreiber 1.3.18.0 (Version: 1.3.18.0) NVIDIA Install Application (Version: 2.1002.108.688) NVIDIA PhysX (x32 Version: 9.12.0604) NVIDIA PhysX-Systemsoftware 9.12.0604 (Version: 9.12.0604) NVIDIA Stereoscopic 3D Driver (x32 Version: 7.17.13.1106) NVIDIA Systemsteuerung 311.06 (Version: 311.06) NVIDIA Update 1.10.8 (Version: 1.10.8) NVIDIA Update Components (Version: 1.10.8) OpenAL (x32) OpenOffice.org 3.3 (x32 Version: 3.3.9567) Origin (x32 Version: 8.3.7.3619) Paint.NET v3.5.10 (Version: 3.60.0) PunkBuster Services (x32 Version: 0.991) QuickTime (x32 Version: 7.74.80.86) Rapture3D 2.3.22 Game (x32) Razer Synapse 2.0 (x32 Version: 1.3.7) RIFT (HKCU) Samsung Kies (x32 Version: 2.3.1.12044_18) SAMSUNG USB Driver for Mobile Phones (Version: 1.5.15.0) Sandboxie 3.60 (64-bit) Schlag den Raab (x32) Service Pack 1 for SQL Server 2008 (KB968369) (64-bit) (Version: 10.1.2531.0) Shrew Soft VPN Client Skype™ 5.10 (x32 Version: 5.10.116) SoulSeek 157 NS 13e (x32) SoundFont-Bank-Manager (x32 Version: 3.21) Spybot - Search & Destroy (x32 Version: 1.6.2) Sql Server Customer Experience Improvement Program (Version: 10.1.2531.0) Star Wars: The Old Republic (x32 Version: 1.00) Steam (x32 Version: 1.0.0.0) TeamSpeak 3 Client (x32) TeamViewer 8 (x32 Version: 8.0.16642) The Elder Scrolls V: Skyrim (x32) Uninstall 1.0.0.1 (x32) Unity Web Player (HKCU Version: ) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1) Update for Microsoft .NET Framework 4 Extended (KB2468871) (x32 Version: 1) Update for Microsoft .NET Framework 4 Extended (KB2533523) (x32 Version: 1) Update for Microsoft .NET Framework 4 Extended (KB2600217) (x32 Version: 1) us Mod Manager (Version: 0.16.4) Visual Studio 2010 Prerequisites - English (Version: 10.0.30319) Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU (x32 Version: 4.0.8080.0) VLC media player 2.0.5 (x32 Version: 2.0.5) Web Deployment Tool (Version: 1.1.0618) Windows Live ID Sign-in Assistant (Version: 6.500.3165.0) WinRAR 4.01 (64-Bit) (Version: 4.01.0) World of Warcraft (x32 Version: 5.0.5.16057) Xilisoft Download YouTube Video (x32 Version: 3.1.1.0526) Yahoo! Detect (x32) YTD Video Downloader 4.1 (x32 Version: 4.1) ZipGenius 6 (6.3.1.2590) (x32 Version: 6.3) ==================== Restore Points ========================= 03-07-2013 21:37:57 Geplanter Prüfpunkt 10-07-2013 23:49:29 Windows Update 11-07-2013 18:50:27 Windows Update 11-07-2013 23:43:28 Windows Update 01-08-2013 01:01:27 TuneUp Utilities 2013 wird entfernt 01-08-2013 01:02:56 TuneUp Utilities Language Pack (de-DE) wird entfernt ==================== Hosts content: ========================== 2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____N C:\Windows\system32\Drivers\etc\hosts ==================== Scheduled Tasks (whitelisted) ============= Task: {1A46DB77-E17B-4ECD-BC38-68096C410D58} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-11] (Adobe Systems Incorporated) Task: {1F268803-41B2-44C8-AE10-C3AC44BFAF2C} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\SymErr.exe [2013-06-04] (Symantec Corporation) Task: {334B199B-9366-4BDE-871F-5A8F01A17C8E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-11-20] (Microsoft Corporation) Task: {404B1339-1F49-40A4-BF3B-29E8A7060FC0} - System32\Tasks\SidebarExecute => C:\Program Files (x86)\Windows Sidebar\sidebar.exe [2010-11-20] (Microsoft Corporation) Task: {863E0565-A927-4180-AF19-13F035CB210D} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-23] (Microsoft Corporation) Task: {8F45ABA8-E63B-426B-AD57-5DEBA9275FCA} - System32\Tasks\EPUpdater => C:\Users\Togge\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File Task: {AB81750E-2B02-4747-89C7-9047F22F8D9F} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.) Task: {B58360A1-347F-449B-9E99-F139242390F0} - System32\Tasks\{000D7866-695E-46C5-B0A0-6DE54C856254} => C:\Users\Togge\Downloads\lsl3\INSTALL.EXE No File Task: {C891CFFD-D456-430F-A854-3C7C80663D85} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\WSCStub.exe [2013-06-04] (Symantec Corporation) Task: {C912B886-EF9C-44C3-B7A6-38548E26DF51} - System32\Tasks\{9AD2ECCB-7057-49AC-A042-9150D5B00991} => C:\Program Files (x86)\Skype\\Phone\Skype.exe [2012-07-13] (Skype Technologies S.A.) Task: {CDCD503A-83A8-47B2-9159-7A8CBFE5E771} - System32\Tasks\WPD\SqmUpload_S-1-5-21-3122368647-1591031522-4049187639-1008 => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation) Task: {ECBAF354-5893-44F4-9514-7E86B383CEFB} - System32\Tasks\{7D72E474-18B2-477B-841C-BB871EA4D9BE} => C:\Users\Togge\Downloads\mi2demo\mi2demo.exe No File Task: {ED63F73F-FA32-4F0F-BDAA-A8868F767C4A} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\SymErr.exe [2013-06-04] (Symantec Corporation) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe ==================== Faulty Device Manager Devices ============= Name: Shrew Soft Virtual Adapter Description: Shrew Soft Virtual Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Shrew Soft Service: vnet Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Audiocontroller für Multimedia Description: Audiocontroller für Multimedia Class Guid: Manufacturer: Service: Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. ==================== Event log errors: ========================= Application errors: ================== Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 24 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 23 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 22 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 21 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 20 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 19 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 18 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 17 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 16 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service) (User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 15 System errors: ============= Error: (08/01/2013 06:09:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (08/01/2013 06:09:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%1330 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (08/01/2013 06:02:32 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (08/01/2013 06:02:32 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%1330 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (08/01/2013 03:56:31 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (08/01/2013 03:56:31 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%1330 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (08/01/2013 02:53:59 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden Fehlers nicht gestartet: %%1069 Error: (08/01/2013 02:53:59 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%1330 Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC). Error: (08/01/2013 02:49:57 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "BrowserDefendert" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error: (08/01/2013 02:49:27 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "BrowserDefendert" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts. Microsoft Office Sessions: ========================= Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 24 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 23 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 22 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 21 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 20 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 19 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 18 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 17 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 16 Error: (08/01/2013 03:07:32 AM) (Source: Bonjour Service)(User: ) Description: ERROR: handle_resolve_request bad interfaceIndex 15 CodeIntegrity Errors: =================================== Date: 2013-02-04 22:25:25.840 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Users\Togge\AppData\Local\Temp\EverestDriver.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-02-04 22:25:25.761 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Users\Togge\AppData\Local\Temp\EverestDriver.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-02-04 22:25:25.040 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. Date: 2013-02-04 22:25:24.964 Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert. ==================== Memory info =========================== Percentage of memory in use: 33% Total physical RAM: 4094.3 MB Available physical RAM: 2731.43 MB Total Pagefile: 8186.79 MB Available Pagefile: 6692.95 MB Total Virtual: 8192 MB Available Virtual: 8191.83 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:146.48 GB) (Free:25.54 GB) NTFS (Disk=0 Partition=2) Drive d: () (Fixed) (Total:195.31 GB) (Free:18.08 GB) NTFS (Disk=0 Partition=3) Drive e: () (Fixed) (Total:254.27 GB) (Free:109.82 GB) NTFS (Disk=0 Partition=4) ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596 GB) (Disk ID: 91883265) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=146 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=195 GB) - (Type=07 NTFS) Partition 4: (Not Active) - (Size=254 GB) - (Type=07 NTFS) ==================== End Of Log ============================ FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03
Ran by Togge (administrator) on 01-08-2013 18:08:08
Running from C:\Users\Togge\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal
==================== Processes (Whitelisted) =================
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Creative Technology Ltd) C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
(SANDBOXIE L.T.D) C:\Program Files\Sandboxie\SbieSvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\Program Files\ShrewSoft\VPN Client\dtpd.exe
() C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
() C:\Program Files\ShrewSoft\VPN Client\iked.exe
() C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
(Symantec Corporation) C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe
() C:\Windows\SysWOW64\PnkBstrA.exe
(Skype Technologies) C:\Program Files (x86)\Skype\Updater\Updater.exe
(Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Safer Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Symantec Corporation) C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe
(CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
(Dropbox, Inc.) C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe
(CANON INC.) C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Adobe\Reader 11.0\Reader\Reader_sl.exe
() C:\Windows\system\Cm106eye.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [Cm106Sound] - C:\Windows\syswow64\RunDll32.exe [44544 2009-07-14] (Microsoft Corporation)
HKLM\...\Run: [Logitech Download Assistant] - C:\Windows\system32\rundll32.exe [45568 2009-07-14] (Microsoft Corporation)
HKLM\...\Run: [CanonMyPrinter] - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2726728 2010-03-24] (CANON INC.)
MountPoints2: {9df9e514-c505-11df-95f9-001fd022284e} - H:\SETUP.EXE
HKLM-x32\...\Run: [amd_dc_opt] - C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe [77824 2008-07-22] (AMD)
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [IJNetworkScanUtility] - C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe [140640 2010-03-02] (CANON INC.)
HKLM-x32\...\Run: [APSDaemon] - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
HKLM-x32\...\Run: [iTunesHelper] - C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-05-31] (Apple Inc.)
HKU\Carina\...\Run: [DAEMON Tools Lite] - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [357696 2010-04-01] (DT Soft Ltd)
HKU\Carina\...\Run: [KiesPDLR] - C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [843208 2012-10-26] (Samsung)
HKU\Carina\...\Run: [] - C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [843208 2012-10-26] (Samsung)
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [97280 2009-07-14] ()
Startup: C:\Users\Carina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
Startup: C:\Users\Togge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Togge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk
ShortcutTarget: MagicDisc.lnk -> C:\Program Files (x86)\MagicDisc\MagicDisc.exe (No File)
SSODL: EldosMountNotificator-cbfs4 - {22CDD059-FCE0-45EE-B6D6-9A1E469542BD} - C:\Windows\system32\cbfsMntNtf4.dll (EldoS Corporation)
SSODL-x32: EldosMountNotificator-cbfs4 - {22CDD059-FCE0-45EE-B6D6-9A1E469542BD} - C:\Windows\SysWOW64\cbfsMntNtf4.dll (EldoS Corporation)
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.)
BHO-x32: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
BHO-x32: Norton Identity Protection - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\coIEPlg.dll (Symantec Corporation)
BHO-x32: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\IPS\IPSBHO.DLL (Symantec Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll (Microsoft Corporation)
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.)
Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\coIEPlg.dll (Symantec Corporation)
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
DPF: HKLM-x32 {D4B68B83-8710-488B-A692-D74B50BA558E} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: HKLM-x32 {E705A591-DA3C-4228-B0D5-A356DBA42FBF} hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
DPF: HKLM-x32 {F6ACF75C-C32C-447B-9BEF-46B766368D29} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/110926/CTPID.cab
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
FireFox:
========
FF ProfilePath: C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default
FF Homepage: www.google.de
FF NetworkProxy: "type", 2
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @canon.com/EPPEX - C:\Program Files (x86)\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.)
FF Plugin-x32: @esn.me/esnsonar,version=0.70.0 - C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll No File
FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 - C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
FF Plugin-x32: @esn/esnlaunch,version=1.104.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll (ESN Social Software AB)
FF Plugin-x32: @esn/esnlaunch,version=1.96.0 - C:\Program Files (x86)\Battlelog Web Plugins\1.96.0\npesnlaunch.dll No File
FF Plugin-x32: @gametap.com/npdd,version=1.0 - C:\Program Files (x86)\Downloader\npdd.dll (Metaboli)
FF Plugin-x32: @java.com/DTPlugin,version=10.25.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.25.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files (x86)\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.0.5 - C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 - C:\Users\Togge\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF Plugin HKCU: electronicarts.com/GameFacePlugin - C:\Users\Togge\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll (Electronic Arts)
FF Extension: ProxTube - Gesperrte YouTube Videos entsperren - C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\Extensions\ich@maltegoetz.de
FF Extension: DownloadHelper - C:\Users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA}
FF Extension: Default - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM-x32\...\Firefox\Extensions: [{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}] C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\coFFPlgn\
FF Extension: Norton Toolbar - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\coFFPlgn\
FF HKLM-x32\...\Firefox\Extensions: [{6E19037A-12E3-4295-8915-ED48BC341614}] C:\Program Files (x86)\RelevantKnowledge
FF HKLM-x32\...\Firefox\Extensions: [fiddlerhook@fiddler2.com] C:\Program Files (x86)\Fiddler2\FiddlerHook
FF Extension: FiddlerHook - C:\Program Files (x86)\Fiddler2\FiddlerHook
FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\IPSFFPlgn\
FF Extension: Norton Vulnerability Protection - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\IPSFFPlgn\
Chrome:
=======
CHR HomePage: hxxp://www.google.com/
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR DefaultSuggestURL: (Google) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR Plugin: (Remoting Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Togge\AppData\Local\Google\Chrome\Application\26.0.1410.64\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Togge\AppData\Local\Google\Chrome\Application\26.0.1410.64\pdf.dll No File
CHR Plugin: (Shockwave Flash) - C:\Users\Togge\AppData\Local\Google\Chrome\Application\26.0.1410.64\gcswf32.dll No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll No File
CHR Plugin: (Java Deployment Toolkit 6.0.290.11) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll No File
CHR Plugin: (Java(TM) Platform SE 6 U29) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll No File
CHR Plugin: (BitCometAgent) - C:\Program Files (x86)\Mozilla Firefox\plugins\npBitCometAgent.dll (BitComet)
CHR Plugin: (ESN Launch Mozilla Plugin) - C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll (ESN Social Software AB)
CHR Plugin: (ESN Sonar API) - C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll No File
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (Unity Player) - C:\Users\Togge\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
CHR Plugin: (Google Update) - C:\Users\Togge\AppData\Local\Google\Update\1.3.21.99\npGoogleUpdate3.dll No File
CHR Plugin: (Game Face Plugin) - C:\Users\Togge\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll (Electronic Arts)
CHR Plugin: (Default Plug-in) - default_plugin No File
CHR Extension: (YouTube) - C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0
CHR Extension: (Google Search) - C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0
CHR Extension: (IMDb Download Button) - C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmfdbaonhkcpbjhlekkbhcdckodpkhed\1.3_0
CHR Extension: (Norton Identity Protection) - C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2012.5.13.5_0
CHR Extension: (Gmail) - C:\Users\Togge\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1
CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\Exts\Chrome.crx
==================== Services (Whitelisted) =================
R2 dtpd; C:\Program Files\ShrewSoft\VPN Client\dtpd.exe [56592 2010-08-17] ()
R2 IJPLMSVC; C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE [116104 2010-04-05] ()
R2 iked; C:\Program Files\ShrewSoft\VPN Client\iked.exe [957712 2010-08-17] ()
R2 ipsecd; C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe [697616 2010-08-17] ()
R2 MSSQL$SQLEXPRESS; C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe [57617752 2009-03-30] (Microsoft Corporation)
R2 NIS; C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe [144368 2013-05-21] (Symantec Corporation)
R2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2012-01-12] ()
R2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [94992 2011-10-12] (SANDBOXIE L.T.D)
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
S4 SQLAgent$SQLEXPRESS; C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [427880 2009-03-30] (Microsoft Corporation)
==================== Drivers (Whitelisted) ====================
R1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\BASHDefs\20130715.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
R1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\BASHDefs\20130715.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
R1 cbfs4; C:\Windows\system32\drivers\cbfs4.sys [385216 2013-04-24] (EldoS Corporation)
R1 ccSet_NIS; C:\Windows\system32\drivers\NISx64\1404000.028\ccSetx64.sys [169048 2013-04-16] (Symantec Corporation)
R1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-06-09] (Symantec Corporation)
R1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-06-09] (Symantec Corporation)
R3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2012-08-09] (Symantec Corporation)
R1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\IPSDefs\20130731.001\IDSvia64.sys [513184 2013-06-07] (Symantec Corporation)
R1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\IPSDefs\20130731.001\IDSvia64.sys [513184 2013-06-07] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\VirusDefs\20130731.018\ENG64.SYS [126040 2013-06-09] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\VirusDefs\20130731.018\ENG64.SYS [126040 2013-06-09] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\VirusDefs\20130731.018\EX64.SYS [2098776 2013-06-09] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\VirusDefs\20130731.018\EX64.SYS [2098776 2013-06-09] (Symantec Corporation)
S3 RzSynapse; C:\Windows\System32\DRIVERS\RzSynapse.sys [126464 2011-11-15] (Razer USA Ltd)
R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [157824 2011-10-12] (SANDBOXIE L.T.D)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-09-21] ()
S3 SRTSP; C:\Windows\System32\Drivers\NISx64\1404000.028\SRTSP64.SYS [796760 2013-05-16] (Symantec Corporation)
R1 SRTSPX; C:\Windows\system32\drivers\NISx64\1404000.028\SRTSPX64.SYS [36952 2013-03-05] (Symantec Corporation)
R0 SymDS; C:\Windows\System32\drivers\NISx64\1404000.028\SYMDS64.SYS [493656 2013-05-21] (Symantec Corporation)
R0 SymEFA; C:\Windows\System32\drivers\NISx64\1404000.028\SYMEFA64.SYS [1139800 2013-05-23] (Symantec Corporation)
R3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-06-19] (Symantec Corporation)
R1 SymIM; C:\Windows\System32\DRIVERS\SymIMv.sys [43680 2013-03-05] (Symantec Corporation)
R1 SymIRON; C:\Windows\system32\drivers\NISx64\1404000.028\Ironx64.SYS [224416 2013-03-05] (Symantec Corporation)
R1 SymNetS; C:\Windows\System32\Drivers\NISx64\1404000.028\SYMNETS.SYS [433752 2013-04-25] (Symantec Corporation)
R3 USBMULCD; C:\Windows\System32\drivers\CM10664.sys [1307648 2009-10-01] (C-Media Electronics Inc)
S3 VSPerfDrv100; C:\Program Files (x86)\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\x64\VSPerfDrv100.sys [68440 2010-03-17] (Microsoft Corporation)
S3 VSPerfDrv100; C:\Program Files (x86)\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\x64\VSPerfDrv100.sys [68440 2010-03-17] (Microsoft Corporation)
U3 a68b45m9; C:\Windows\System32\Drivers\a68b45m9.sys [0 ] (Microsoft Corporation)
S3 CT20XUT; system32\drivers\CT20XUT.SYS [x]
S3 CT20XUT.SYS; \SystemRoot\System32\drivers\CT20XUT.SYS [x]
S3 ctac32k; system32\drivers\ctac32k.sys [x]
S3 ctaud2k; system32\drivers\ctaud2k.sys [x]
S3 CTEXFIFX; system32\drivers\CTEXFIFX.SYS [x]
S3 CTEXFIFX.SYS; \SystemRoot\System32\drivers\CTEXFIFX.SYS [x]
S3 CTHWIUT; system32\drivers\CTHWIUT.SYS [x]
S3 CTHWIUT.SYS; \SystemRoot\System32\drivers\CTHWIUT.SYS [x]
S3 ctprxy2k; system32\drivers\ctprxy2k.sys [x]
S3 ctsfm2k; system32\drivers\ctsfm2k.sys [x]
S3 ossrv; system32\drivers\ctoss2k.sys [x]
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-08-01 18:07 - 2013-08-01 18:07 - 00006314 _____ C:\Users\Togge\Desktop\AdwCleaner[S2].txt
2013-08-01 18:05 - 2013-08-01 18:05 - 00006377 _____ C:\Users\Togge\Desktop\AdwCleaner[R1].txt
2013-08-01 18:05 - 2013-08-01 18:05 - 00006314 _____ C:\AdwCleaner[S1].txt
2013-08-01 18:04 - 2013-08-01 18:04 - 00006377 _____ C:\AdwCleaner[R1].txt
2013-08-01 17:25 - 2013-08-01 17:25 - 00666633 _____ C:\Users\Togge\Desktop\adwcleaner06.exe
2013-08-01 17:22 - 2013-08-01 17:22 - 00000000 ____D C:\FRST
2013-08-01 17:21 - 2013-08-01 17:21 - 01781589 _____ (Farbar) C:\Users\Togge\Desktop\FRST64.exe
2013-08-01 16:10 - 2013-08-01 16:10 - 10285040 _____ (Malwarebytes Corporation ) C:\Users\Togge\Downloads\mbam-setup-1.75.0.1300.exe
2013-08-01 16:10 - 2013-08-01 16:10 - 00001113 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-08-01 16:10 - 2013-08-01 16:10 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-08-01 15:59 - 2013-08-01 15:59 - 02828552 _____ (AVAST Software) C:\Users\Togge\Downloads\avast-browser-cleanup_8.0.1484.29.exe
2013-08-01 14:49 - 2013-08-01 14:49 - 00001499 _____ C:\Windows\wininit.ini
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 __SHD C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 ____D C:\Users\Togge\AppData\Roaming\TuneUp Software
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 ____D C:\ProgramData\TuneUp Software
2013-08-01 02:55 - 2013-08-01 02:55 - 00003388 _____ C:\Windows\System32\Tasks\EPUpdater
2013-08-01 02:54 - 2013-08-01 02:54 - 00001402 _____ C:\Users\Public\Desktop\Free YouTube to MP3 Converter.lnk
2013-08-01 02:54 - 2013-08-01 02:54 - 00001243 _____ C:\Users\Public\Desktop\DVDVideoSoft Free Studio.lnk
2013-08-01 02:54 - 2013-08-01 02:54 - 00000000 ____D C:\Program Files (x86)\DVDVideoSoft
2013-08-01 02:53 - 2013-08-01 02:55 - 00000000 ____D C:\Users\Togge\AppData\Roaming\DVDVideoSoft
2013-08-01 02:53 - 2013-08-01 02:53 - 01211376 _____ (DVDVideoSoft Ltd. ) C:\Users\Togge\Downloads\FreeYouTubeToMP3Converter-3.12.9.725.exe
2013-07-11 20:54 - 2013-06-12 01:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-07-11 20:54 - 2013-06-07 05:22 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-11 20:54 - 2013-06-07 04:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-07-11 20:53 - 2013-06-12 01:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-07-11 20:53 - 2013-06-12 01:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-07-11 20:53 - 2013-06-12 01:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-07-11 20:53 - 2013-06-12 01:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-07-11 20:53 - 2013-06-12 01:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-07-11 20:53 - 2013-06-12 01:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-07-11 20:53 - 2013-06-12 01:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-07-11 20:53 - 2013-06-12 01:26 - 02241024 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-11 20:53 - 2013-06-12 01:26 - 01365504 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-11 20:53 - 2013-06-12 01:26 - 00051712 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-11 20:53 - 2013-06-12 01:25 - 19238912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 15404032 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 03958784 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 02648576 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00855552 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00603136 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00526336 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00136704 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00053248 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-11 20:53 - 2013-06-12 01:25 - 00039936 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-11 20:53 - 2013-06-12 00:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-07-11 20:53 - 2013-06-12 00:50 - 00089600 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-07-11 01:52 - 2013-06-05 05:34 - 03153920 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-11 01:52 - 2013-06-04 08:00 - 00624128 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-11 01:52 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qedit.dll
2013-07-11 01:52 - 2013-05-06 08:03 - 01887744 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-11 01:52 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-07-11 01:52 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-07-11 01:52 - 2013-04-03 00:51 - 01643520 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-03 21:02 - 2013-07-03 21:02 - 00000000 ____D C:\Users\Togge\AppData\Local\SWTORPerf
==================== One Month Modified Files and Folders =======
2013-08-01 18:07 - 2013-08-01 18:07 - 00006314 _____ C:\Users\Togge\Desktop\AdwCleaner[S2].txt
2013-08-01 18:07 - 2012-11-13 23:35 - 00000000 ___RD C:\Users\Togge\Dropbox
2013-08-01 18:07 - 2012-11-13 23:31 - 00000000 ____D C:\Users\Togge\AppData\Roaming\Dropbox
2013-08-01 18:07 - 2012-06-12 23:14 - 00000000 ____D C:\ProgramData\NVIDIA
2013-08-01 18:07 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-01 18:07 - 2009-07-14 06:51 - 00145863 _____ C:\Windows\setupact.log
2013-08-01 18:05 - 2013-08-01 18:05 - 00006377 _____ C:\Users\Togge\Desktop\AdwCleaner[R1].txt
2013-08-01 18:05 - 2013-08-01 18:05 - 00006314 _____ C:\AdwCleaner[S1].txt
2013-08-01 18:05 - 2010-09-20 00:43 - 02002872 _____ C:\Windows\WindowsUpdate.log
2013-08-01 18:05 - 2009-07-14 06:45 - 00013248 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-01 18:05 - 2009-07-14 06:45 - 00013248 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-01 18:04 - 2013-08-01 18:04 - 00006377 _____ C:\AdwCleaner[R1].txt
2013-08-01 18:00 - 2010-09-20 22:31 - 00086274 _____ C:\Windows\PFRO.log
2013-08-01 18:00 - 2009-07-14 07:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-01 17:25 - 2013-08-01 17:25 - 00666633 _____ C:\Users\Togge\Desktop\adwcleaner06.exe
2013-08-01 17:22 - 2013-08-01 17:22 - 00000000 ____D C:\FRST
2013-08-01 17:21 - 2013-08-01 17:21 - 01781589 _____ (Farbar) C:\Users\Togge\Desktop\FRST64.exe
2013-08-01 17:18 - 2012-07-19 20:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-01 16:32 - 2013-03-17 18:40 - 00000000 ____D C:\Users\Togge\Desktop\test
2013-08-01 16:10 - 2013-08-01 16:10 - 10285040 _____ (Malwarebytes Corporation ) C:\Users\Togge\Downloads\mbam-setup-1.75.0.1300.exe
2013-08-01 16:10 - 2013-08-01 16:10 - 00001113 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-08-01 16:10 - 2013-08-01 16:10 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-08-01 16:03 - 2012-03-13 00:05 - 00000000 ____D C:\Users\Togge\AppData\Local\Google
2013-08-01 16:00 - 2011-05-21 22:28 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-08-01 15:59 - 2013-08-01 15:59 - 02828552 _____ (AVAST Software) C:\Users\Togge\Downloads\avast-browser-cleanup_8.0.1484.29.exe
2013-08-01 14:49 - 2013-08-01 14:49 - 00001499 _____ C:\Windows\wininit.ini
2013-08-01 04:40 - 2012-09-03 19:12 - 00000000 ____D C:\ProgramData\CanonIJPLM
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 __SHD C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 ____D C:\Users\Togge\AppData\Roaming\TuneUp Software
2013-08-01 02:56 - 2013-08-01 02:56 - 00000000 ____D C:\ProgramData\TuneUp Software
2013-08-01 02:55 - 2013-08-01 02:55 - 00003388 _____ C:\Windows\System32\Tasks\EPUpdater
2013-08-01 02:55 - 2013-08-01 02:53 - 00000000 ____D C:\Users\Togge\AppData\Roaming\DVDVideoSoft
2013-08-01 02:55 - 2013-06-25 22:26 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-08-01 02:54 - 2013-08-01 02:54 - 00001402 _____ C:\Users\Public\Desktop\Free YouTube to MP3 Converter.lnk
2013-08-01 02:54 - 2013-08-01 02:54 - 00001243 _____ C:\Users\Public\Desktop\DVDVideoSoft Free Studio.lnk
2013-08-01 02:54 - 2013-08-01 02:54 - 00000000 ____D C:\Program Files (x86)\DVDVideoSoft
2013-08-01 02:53 - 2013-08-01 02:53 - 01211376 _____ (DVDVideoSoft Ltd. ) C:\Users\Togge\Downloads\FreeYouTubeToMP3Converter-3.12.9.725.exe
2013-07-31 23:58 - 2013-04-15 21:27 - 00000000 ____D C:\Users\Togge\AppData\Local\Paint.NET
2013-07-27 02:23 - 2010-11-23 23:50 - 00000000 ____D C:\Users\Togge\AppData\Roaming\vlc
2013-07-12 01:43 - 2010-09-21 00:42 - 00000000 ____D C:\Users\Togge\Documents\Visual Studio 2010
2013-07-11 21:41 - 2009-07-14 06:45 - 00319872 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-11 21:38 - 2009-07-14 20:18 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-11 21:38 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-11 21:38 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-11 20:46 - 2012-05-16 01:32 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-11 20:46 - 2012-05-16 01:32 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-07-11 02:14 - 2009-07-14 19:58 - 00762144 _____ C:\Windows\system32\perfh007.dat
2013-07-11 02:14 - 2009-07-14 19:58 - 00172530 _____ C:\Windows\system32\perfc007.dat
2013-07-11 02:14 - 2009-07-14 07:13 - 01817666 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-11 02:00 - 2010-09-20 21:38 - 78185248 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-07-11 01:47 - 2010-10-12 21:09 - 00000000 ____D C:\Users\Togge\AppData\Local\Adobe
2013-07-11 01:44 - 2012-07-19 20:35 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-07-11 01:44 - 2012-07-19 20:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-07-11 01:44 - 2011-06-01 10:06 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-07-03 21:02 - 2013-07-03 21:02 - 00000000 ____D C:\Users\Togge\AppData\Local\SWTORPerf
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
LastRegBack: 2013-07-13 00:52
==================== End Of Log ============================
--- --- --- Nun bin ich wie gesagt auf dieses Forum gestoßen und erhoffe mir Hilfe bei der Beurteilung des Systems. Es wurde alles wie in den FAQs beschrieben ausgeführt. Für jede Hilfe wäre ich überaus dankbar. MfG Marbuel Geändert von Marbuel (02.08.2013 um 00:07 Uhr) |
|
02.08.2013, 00:02
| #2 |
| | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Gmer.txt
__________________Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-08-02 00:48:39
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 SAMSUNG_HD642JJ rev.1AA01112 596,17GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\Togge\AppData\Local\Temp\ugloipod.sys
---- User code sections - GMER 2.1 ----
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010027091c
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100270048
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002702ee
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002704b2
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002709fe
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100270ae0
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010027012a
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100270758
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100270676
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002703d0
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100270594
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010027083a
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010027020c
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100270f52
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100280210
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100280048
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aaba9d1}
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100270ca6
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002803d8
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010028012c
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002802f4
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100270e6e
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[796] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001002804bc
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010022091c
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100220048
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002202ee
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002204b2
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002209fe
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100220ae0
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010022012a
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100220758
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100220676
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002203d0
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100220594
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010022083a
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010022020c
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010032059e
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100220f52
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100320210
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100320048
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8ab5a9d1}
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100220ca6
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001003203d8
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010032012c
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001003202f4
.text C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe[1008] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100220e6e
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 00000001000a091c
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 00000001000a0048
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001000a02ee
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001000a04b2
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001000a09fe
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 00000001000a0ae0
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 00000001000a012a
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 00000001000a0758
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 00000001000a0676
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001000a03d0
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 00000001000a0594
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 00000001000a083a
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 00000001000a020c
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001000b059e
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 00000001000a0f52
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 00000001000b0210
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 00000001000b0048
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8a8ea9d1}
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 00000001000a0ca6
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001000b03d8
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 00000001000b012c
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001000b02f4
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1540] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 00000001000a0e6e
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010014091c
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100140048
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001001402ee
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001001404b2
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001001409fe
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100140ae0
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010014012a
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100140758
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100140676
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001001403d0
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100140594
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010014083a
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010014020c
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100140f52
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100150210
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100150048
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8a98a9d1}
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100140ca6
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001001503d8
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010015012c
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001001502f4
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100140e6e
.text C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1664] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001001504bc
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010043091c
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100430048
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001004302ee
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001004304b2
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001004309fe
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100430ae0
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010043012a
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100430758
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100430676
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001004303d0
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100430594
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010043083a
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010043020c
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010044059e
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100430f52
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100440210
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100440048
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8ac7a9d1}
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100430ca6
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001004403d8
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010044012c
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001004402f4
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100430e6e
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077b51465 2 bytes [B5, 77]
.text C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE[1884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000077b514bb 2 bytes [B5, 77]
.text ... * 2
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010027091c
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100270048
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002702ee
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002704b2
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002709fe
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100270ae0
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010027012a
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100270758
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100270676
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002703d0
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100270594
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010027083a
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010027020c
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010028059e
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100270f52
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100280210
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100280048
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aaba9d1}
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100270ca6
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002803d8
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010028012c
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002802f4
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100270e6e
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322 0000000072ec1a22 2 bytes [EC, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496 0000000072ec1ad0 2 bytes [EC, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552 0000000072ec1b08 2 bytes [EC, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730 0000000072ec1bba 2 bytes [EC, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762 0000000072ec1bda 2 bytes [EC, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077b51465 2 bytes [B5, 77]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1808] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000077b514bb 2 bytes [B5, 77]
.text ... * 2
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010010091c
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100100048
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001001002ee
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001001004b2
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001001009fe
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100100ae0
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010010012a
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100100758
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100100676
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001001003d0
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100100594
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010010083a
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010010020c
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010011059e
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100100f52
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100110210
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100110048
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8a94a9d1}
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100100ca6
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001001103d8
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010011012c
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001001102f4
.text C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe[2232] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100100e6e
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010028091c
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100280048
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002802ee
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002804b2
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002809fe
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100280ae0
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010028012a
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100280758
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100280676
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002803d0
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100280594
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010028083a
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010028020c
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010029059e
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100280f52
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100290210
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100290048
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aaca9d1}
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100280ca6
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002903d8
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010029012c
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002902f4
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100280e6e
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000077b51465 2 bytes [B5, 77]
.text C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe[2384] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000077b514bb 2 bytes [B5, 77]
.text ... * 2
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010024091c
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100240048
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002402ee
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002404b2
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002409fe
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100240ae0
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010024012a
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100240758
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100240676
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002403d0
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100240594
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010024083a
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010024020c
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001002504bc
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100240f52
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100250210
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100250048
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aa8a9d1}
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100240ca6
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002503d8
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010025012c
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002502f4
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100240e6e
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 69 0000000077b51465 2 bytes [B5, 77]
.text C:\Users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 155 0000000077b514bb 2 bytes [B5, 77]
.text ... * 2
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010024091c
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100240048
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002402ee
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002404b2
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002409fe
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100240ae0
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010024012a
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100240758
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100240676
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002403d0
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100240594
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010024083a
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010024020c
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010031059e
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100240f52
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100310210
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100310048
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8ab4a9d1}
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100240ca6
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001003103d8
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010031012c
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001003102f4
.text C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe[3876] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100240e6e
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010029091c
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100290048
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002902ee
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002904b2
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002909fe
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100290ae0
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010029012a
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100290758
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100290676
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002903d0
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100290594
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010029083a
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010029020c
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100290f52
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 00000001002a0210
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 00000001002a0048
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aada9d1}
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100290ca6
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002a03d8
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 00000001002a012c
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002a02f4
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100290e6e
.text C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3920] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001002a059e
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 00000001000d091c
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 00000001000d0048
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001000d02ee
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001000d04b2
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001000d09fe
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 00000001000d0ae0
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 00000001000d012a
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 00000001000d0758
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 00000001000d0676
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001000d03d0
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 00000001000d0594
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 00000001000d083a
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 00000001000d020c
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 00000001000d0f52
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 00000001000e0210
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 00000001000e0048
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8a91a9d1}
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 00000001000d0ca6
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001000e03d8
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 00000001000e012c
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001000e02f4
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 00000001000d0e6e
.text C:\Program Files (x86)\iTunes\iTunesHelper.exe[2276] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001000e04bc
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010020091c
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100200048
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002002ee
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002004b2
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002009fe
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100200ae0
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010020012a
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100200758
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100200676
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002003d0
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100200594
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010020083a
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010020020c
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100200f52
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 0000000100210210
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 0000000100210048
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8aa4a9d1}
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100200ca6
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001002103d8
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 000000010021012c
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001002102f4
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100200e6e
.text C:\Windows\system\Cm106eye.exe[3416] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 000000010021059e
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess 0000000077b9fc90 5 bytes JMP 000000010026091c
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 0000000077b9fdf4 5 bytes JMP 0000000100260048
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtOpenEvent 0000000077b9fe88 5 bytes JMP 00000001002602ee
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread 0000000077b9ffe4 5 bytes JMP 00000001002604b2
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory 0000000077ba0018 5 bytes JMP 00000001002609fe
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtResumeThread 0000000077ba0048 5 bytes JMP 0000000100260ae0
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread 0000000077ba0064 5 bytes JMP 000000010002004c
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant 0000000077ba077c 5 bytes JMP 000000010026012a
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject 0000000077ba086c 5 bytes JMP 0000000100260758
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx 0000000077ba0884 5 bytes JMP 0000000100260676
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver 0000000077ba0dd4 5 bytes JMP 00000001002603d0
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread 0000000077ba1900 5 bytes JMP 0000000100260594
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation 0000000077ba1bc4 5 bytes JMP 000000010026083a
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\ntdll.dll!NtSuspendThread 0000000077ba1d50 5 bytes JMP 000000010026020c
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!SetServiceObjectSecurity + 206 00000000757c524f 7 bytes JMP 0000000100260f52
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfigA + 380 00000000757c53d0 7 bytes JMP 00000001003e0210
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 149 00000000757c5677 1 byte JMP 00000001003e0048
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!ChangeServiceConfig2W + 151 00000000757c5679 5 bytes {JMP 0xffffffff8ac1a9d1}
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!CreateServiceA + 542 00000000757c589a 7 bytes JMP 0000000100260ca6
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!CreateServiceW + 382 00000000757c5a1d 7 bytes JMP 00000001003e03d8
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!QueryServiceConfigW + 370 00000000757c5c9b 7 bytes JMP 00000001003e012c
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!ControlServiceExA + 231 00000000757c5d87 7 bytes JMP 00000001003e02f4
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\SysWOW64\sechost.dll!I_ScBroadcastServiceControlMessage + 123 00000000757c7240 7 bytes JMP 0000000100260e6e
.text C:\Users\Togge\Desktop\gmer_2.1.19163.exe[3860] C:\Windows\syswow64\USER32.dll!RecordShutdownReason + 882 0000000075d31492 7 bytes JMP 00000001003e04bc
---- Threads - GMER 2.1 ----
Thread C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE [1884:1892] 0000000000020060
Thread [3424:3520] 0000000077bd2e25
Thread [3424:3532] 0000000071ebc59c
Thread [3424:3536] 0000000071ebc59c
Thread [3424:3660] 0000000071ebc59c
Thread [3424:3668] 0000000071ebc59c
Thread [3424:3672] 0000000071ebc59c
Thread [3424:3676] 0000000071ebc59c
Thread [3424:3152] 0000000077bd3e45
Thread [3424:1388] 0000000077bd3e45
Thread [3424:304] 0000000071ebc59c
Thread [3424:4332] 0000000071ebc59c
Thread [3424:4856] 0000000071ebc59c
Thread [3424:1860] 0000000071ebc59c
Thread [3424:4444] 0000000071ebc59c
Thread [3424:2792] 0000000071ebc59c
Thread [3424:3052] 0000000071ebc59c
Thread [3424:3944] 0000000071ebc59c
Thread [3424:4528] 0000000071ebc59c
Thread [3424:2596] 0000000071ebc59c
Thread [3424:3232] 0000000077bd3e45
Thread [3424:5084] 0000000077bd3e45
Thread [3424:1052] 0000000077bd3e45
Thread [3424:2360] 0000000077bd3e45
Thread [3424:4968] 0000000062c30e41
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x70 0xAF 0x79 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xBB 0x8C 0xA8 0x18 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x62 0x36 0x37 0xFE ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x70 0xAF 0x79 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xBB 0x8C 0xA8 0x18 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x62 0x36 0x37 0xFE ...
---- EOF - GMER 2.1 ----
|
|
02.08.2013, 17:44
| #3 |
| /// TB-Ausbilder  | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...)!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstalliere Spybot. Schritt 2: Scan mit Combofix
__________________ |
|
02.08.2013, 18:24
| #4 |
| | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Hallo Ryder, vielen Dank für deine Hilfe. Ich habe Norton als Virenprogramm drauf und es deaktiviert. Combofix hat aber dennoch gemeckert, dass der "Adware live scan" noch liefe. Ich kann aber nicht mehr deaktivieren. Zumindest hat das meine Recherche ergeben. Ich hab den Scan dennoch durchgeführt. SB wurde wie erwünscht vorher deinstalliert. Es gab keine Aufforderung für einen Neustart, nach dem Scan. Irgendwie meine ich, herausgelesen zu haben, dass es einen geben sollte. Hier das Log: Code:
ATTFilter ComboFix 13-08-01.01 - Togge 02.08.2013 19:05:55.1.4 - x64
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.4094.2630 [GMT 2:00]
ausgeführt von:: c:\users\Togge\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Togge\AppData\Local\lame_enc.dll
c:\users\Togge\AppData\Local\no23xwrapper.dll
c:\users\Togge\AppData\Local\ogg.dll
c:\users\Togge\AppData\Local\vorbis.dll
c:\users\Togge\AppData\Local\vorbisenc.dll
c:\users\Togge\AppData\Local\vorbisfile.dll
c:\users\Togge\AppData\Roaming\PnkBstrB.exe
c:\windows\SysWow64\System32\MASetupCleaner.exe
c:\windows\SysWow64\System32\muzapp.exe
c:\windows\SysWow64\tmp45EB.tmp
c:\windows\SysWow64\tmp45FB.tmp
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-07-02 bis 2013-08-02 ))))))))))))))))))))))))))))))
.
.
2013-08-02 17:13 . 2013-08-02 17:13 -------- d-----w- c:\users\UpdatusUser.Togge-PC\AppData\Local\temp
2013-08-02 17:13 . 2013-08-02 17:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-08-02 17:13 . 2013-08-02 17:13 -------- d-----w- c:\users\Gast\AppData\Local\temp
2013-08-01 15:22 . 2013-08-01 15:22 -------- d-----w- C:\FRST
2013-08-01 14:10 . 2013-08-01 14:10 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2013-08-01 14:10 . 2013-08-01 14:10 -------- d-----w- c:\users\Togge\AppData\Local\Programs
2013-08-01 00:56 . 2013-08-01 00:56 -------- d-----w- c:\users\Togge\AppData\Roaming\TuneUp Software
2013-08-01 00:56 . 2013-08-01 00:56 -------- d-----w- c:\programdata\TuneUp Software
2013-08-01 00:56 . 2013-08-01 00:56 -------- d-sh--w- c:\programdata\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2013-08-01 00:56 . 2013-08-01 00:56 -------- d--h--w- c:\programdata\Common Files
2013-08-01 00:54 . 2013-08-01 00:54 -------- d-----w- c:\program files (x86)\Common Files\DVDVideoSoft
2013-08-01 00:54 . 2013-08-01 00:54 -------- d-----w- c:\program files (x86)\DVDVideoSoft
2013-08-01 00:53 . 2013-08-01 00:55 -------- d-----w- c:\users\Togge\AppData\Roaming\DVDVideoSoft
2013-07-11 18:54 . 2013-06-07 03:22 2706432 ----a-w- c:\windows\system32\mshtml.tlb
2013-07-11 18:54 . 2013-06-07 02:37 2706432 ----a-w- c:\windows\SysWow64\mshtml.tlb
2013-07-10 23:52 . 2013-05-27 05:50 1011712 ----a-w- c:\program files\Windows Defender\MpSvc.dll
2013-07-03 19:02 . 2013-07-03 19:02 -------- d-----w- c:\users\Togge\AppData\Local\SWTORPerf
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-11 00:00 . 2010-09-20 19:38 78185248 ----a-w- c:\windows\system32\MRT.exe
2013-07-10 23:44 . 2012-07-19 18:35 692104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-07-10 23:44 . 2011-06-01 08:06 71048 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-06-19 18:30 . 2010-09-20 16:16 177312 ----a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS
2013-06-12 19:48 . 2012-08-08 22:04 867240 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
2013-06-12 19:48 . 2011-08-24 19:41 789416 ----a-w- c:\windows\SysWow64\deployJava1.dll
2013-06-12 19:47 . 2013-06-19 18:24 96168 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2013-06-11 22:18 . 2013-06-11 22:18 9089416 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe
2013-05-23 05:25 . 2013-06-16 19:54 1139800 ----a-w- c:\windows\system32\drivers\NISx64\1404000.028\symefa64.sys
2013-05-21 05:02 . 2013-06-16 19:54 493656 ----a-w- c:\windows\system32\drivers\NISx64\1404000.028\symds64.sys
2013-05-16 05:02 . 2013-06-16 19:54 796760 ----a-w- c:\windows\system32\drivers\NISx64\1404000.028\srtsp64.sys
2013-05-13 05:51 . 2013-06-12 22:56 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2013-05-13 05:51 . 2013-06-12 22:56 1464320 ----a-w- c:\windows\system32\crypt32.dll
2013-05-13 05:51 . 2013-06-12 22:56 139776 ----a-w- c:\windows\system32\cryptnet.dll
2013-05-13 05:50 . 2013-06-12 22:56 52224 ----a-w- c:\windows\system32\certenc.dll
2013-05-13 04:45 . 2013-06-12 22:56 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2013-05-13 04:45 . 2013-06-12 22:56 1160192 ----a-w- c:\windows\SysWow64\crypt32.dll
2013-05-13 04:45 . 2013-06-12 22:56 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
2013-05-13 03:43 . 2013-06-12 22:56 1192448 ----a-w- c:\windows\system32\certutil.exe
2013-05-13 03:08 . 2013-06-12 22:56 903168 ----a-w- c:\windows\SysWow64\certutil.exe
2013-05-13 03:08 . 2013-06-12 22:56 43008 ----a-w- c:\windows\SysWow64\certenc.dll
2013-05-10 05:49 . 2013-06-12 22:56 30720 ----a-w- c:\windows\system32\cryptdlg.dll
2013-05-10 03:20 . 2013-06-12 22:56 24576 ----a-w- c:\windows\SysWow64\cryptdlg.dll
2013-05-08 06:39 . 2013-06-12 22:56 1910632 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay-cbfs4]
@="{F119E1A0-7C04-4E85-8177-4CC31E56B222}"
[HKEY_CLASSES_ROOT\CLSID\{F119E1A0-7C04-4E85-8177-4CC31E56B222}]
2013-04-24 19:19 155496 ----a-w- c:\windows\SysWOW64\cbfsMntNtf4.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="c:\program files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"IJNetworkScanUtility"="c:\program files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2010-03-02 140640]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2013-05-31 152392]
.
c:\users\Carina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\users\Togge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Togge\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{22CDD059-FCE0-45EE-B6D6-9A1E469542BD}"= "c:\windows\SysWOW64\cbfsMntNtf4.dll" [2013-04-24 155496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"EldosMountNotificator-cbfs4"= {22CDD059-FCE0-45EE-B6D6-9A1E469542BD} - c:\windows\SysWOW64\cbfsMntNtf4.dll [2013-04-24 155496]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer9"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS;c:\windows\SYSNATIVE\drivers\CT20XUT.SYS [x]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS;c:\windows\SYSNATIVE\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS;c:\windows\SYSNATIVE\drivers\CTEXFIFX.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS;c:\windows\SYSNATIVE\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS;c:\windows\SYSNATIVE\drivers\CTHWIUT.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS;c:\windows\SYSNATIVE\drivers\CTHWIUT.SYS [x]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssudbus.sys [x]
R3 RzSynapse;Razer Driver;c:\windows\system32\DRIVERS\RzSynapse.sys;c:\windows\SYSNATIVE\DRIVERS\RzSynapse.sys [x]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssudmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys;c:\windows\SYSNATIVE\DRIVERS\virtualnet.sys [x]
R3 VSPerfDrv100;Performance Tools Driver 10.0;c:\program files (x86)\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\x64\VSPerfDrv100.sys;c:\program files (x86)\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\x64\VSPerfDrv100.sys [x]
R4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [x]
R4 RsFx0103;RsFx0103 Driver;c:\windows\system32\DRIVERS\RsFx0103.sys;c:\windows\SYSNATIVE\DRIVERS\RsFx0103.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys;c:\windows\SYSNATIVE\Drivers\sptd.sys [x]
R4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE;c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1404000.028\SYMDS64.SYS;c:\windows\SYSNATIVE\drivers\NISx64\1404000.028\SYMDS64.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1404000.028\SYMEFA64.SYS;c:\windows\SYSNATIVE\drivers\NISx64\1404000.028\SYMEFA64.SYS [x]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\BASHDefs\20130715.001\BHDrvx64.sys;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\BASHDefs\20130715.001\BHDrvx64.sys [x]
S1 cbfs4;cbfs4;c:\windows\system32\drivers\cbfs4.sys;c:\windows\SYSNATIVE\drivers\cbfs4.sys [x]
S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NISx64\1404000.028\ccSetx64.sys;c:\windows\SYSNATIVE\drivers\NISx64\1404000.028\ccSetx64.sys [x]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\IPSDefs\20130801.001\IDSvia64.sys;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.1.22\Definitions\IPSDefs\20130801.001\IDSvia64.sys [x]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1404000.028\Ironx64.SYS;c:\windows\SYSNATIVE\drivers\NISx64\1404000.028\Ironx64.SYS [x]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\NISx64\1404000.028\SYMNETS.SYS;c:\windows\SYSNATIVE\Drivers\NISx64\1404000.028\SYMNETS.SYS [x]
S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys;c:\windows\SYSNATIVE\DRIVERS\vfilter.sys [x]
S2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe;c:\program files\ShrewSoft\VPN Client\dtpd.exe [x]
S2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe;c:\program files\ShrewSoft\VPN Client\iked.exe [x]
S2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [x]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe;c:\program files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S2 TeamViewer8;TeamViewer 8;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM10664.sys;c:\windows\SYSNATIVE\drivers\CM10664.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-08-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-19 23:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 164016 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 164016 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 164016 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 164016 ----a-w- c:\users\Togge\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay-cbfs4]
@="{F119E1A0-7C04-4E85-8177-4CC31E56B222}"
[HKEY_CLASSES_ROOT\CLSID\{F119E1A0-7C04-4E85-8177-4CC31E56B222}]
2013-04-24 19:20 181608 ----a-w- c:\windows\System32\cbfsMntNtf4.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cm106Sound"="c:\windows\Syswow64\cm106.dll" [2010-07-01 8151040]
"Logitech Download Assistant"="c:\windows\System32\LogiLDA.dll" [2010-11-03 1580368]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-24 2726728]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{22CDD059-FCE0-45EE-B6D6-9A1E469542BD}"= "c:\windows\system32\cbfsMntNtf4.dll" [2013-04-24 181608]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.bing.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Download with Xilisoft Download YouTube Video - c:\program files (x86)\Xilisoft\Download YouTube Video\upod_link.HTM
IE: Free YouTube Download - c:\users\Togge\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{163BFB4D-C8AF-4FF2-9597-AD8B08F1520F}: DhcpNameServer = 192.168.178.1
DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
FF - ProfilePath - c:\users\Togge\AppData\Roaming\Mozilla\Firefox\Profiles\4s30i7ee.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.type - 2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
c:\users\Togge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk - c:\program files (x86)\MagicDisc\MagicDisc.exe
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
SSODL-EldosMountNotificator-cbfs4 REG_SZ {22CDD059-FCE0-45EE-B6D6-9A1E469542BD}- - (no file)
AddRemove-Battlelog Web Plugins - c:\program files (x86)\Battlelog Web Plugins\uninstall.exe
AddRemove-Creative MediaSource CD-ROM Burner Plugin Unicode - c:\program files (x86)\Creative Installation Information\E-CENTER_PLUGIN_CDBURNER_U\Setup.exe
AddRemove-Creative MediaSource MiniDisc Plugin Unicode - c:\program files (x86)\Creative Installation Information\E-CENTER_PLUGIN_MINIDISC_U\Setup.exe
AddRemove-Creative MediaSource Net Content Plugin Unicode - c:\program files (x86)\Creative Installation Information\E-CENTER_NET_CONTENT_U\Setup.exe
AddRemove-Creative MediaSource Online Store Plugin - c:\program files (x86)\Creative Installation Information\E-CENTER_PLUGIN_ONLINESTORE_U\Setup.exe
AddRemove-Creative MediaSource Player Skin Pack Unicode - c:\program files (x86)\Creative Installation Information\MEDIASOURCE_PLAYER_SKINPACK_U\Setup.exe
AddRemove-Creative MediaSource Unicode - c:\program files (x86)\Creative Installation Information\CREATIVE_MEDIASOURCE_U\Setup.exe
AddRemove-Creative Sound Blaster Properties x64 Edition - c:\program files (x86)\Creative Installation Information\SBCONTROL64\Setup.exe
AddRemove-Free YouTube Download_is1 - c:\program files (x86)\DVDVideoSoft\Free YouTube Download\unins000.exe
AddRemove-Freeciv-2.3.0-gtk2 - d:\spiele\Civ\uninstall.exe
AddRemove-Schlag den Raab_is1 - d:\spiele\Schlag den Raab\unins000.exe
AddRemove-Uninstall_is1 - c:\program files (x86)\Common Files\DVDVideoSoft\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\20.4.0.40\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_224.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_224.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_224.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_224.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-08-02 19:16:09
ComboFix-quarantined-files.txt 2013-08-02 17:16
.
Vor Suchlauf: 14 Verzeichnis(se), 25.950.683.136 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 26.366.791.680 Bytes frei
.
- - End Of File - - F4EC1EB53A2BE01B14721CF9071492FE
A36C5E4F47E84449FF07ED3517B43A31
Marbuel |
|
02.08.2013, 18:28
| #5 |
| /// TB-Ausbilder | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Japp das kann schon mal vorkommen. Deinstalliere noch Tuneup. Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Quick-Scan mit Malwarebytes Downloade Dir bitte Schritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 3: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
02.08.2013, 20:41
| #6 |
| | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Hi, TuneUps hab ich garnicht drauf. Das wurde mir kürzlich untergejubelt, ich hab es aber gleich wieder deinstalliert, da ich von diesen Tools nicht soviel halte. Was du im Log siehst, müssen Überbleibsel sein, welche die Deinstallationsroutine freundlicherweise nicht gelöscht hat. Eset hat leider etwas gefunden. Scheint wohl mit der Delta-Toolbar zusammenzuhängen, welche ich kürzlich entfernt hab. Jetzt hängt was im Mülleimer rum. Zu den Logs: Malewarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.08.02.07 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 Togge :: TOGGE-PC [Administrator] 02.08.2013 20:20:17 mbam-log-2013-08-02 (20-20-17).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 365206 Laufzeit: 4 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=87d8f5737df29f4eb7fd3e5699048193
# engine=14629
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-02 07:23:59
# local_time=2013-08-02 09:23:59 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=3591 16777213 100 91 1818512 138068024 0 0
# compatibility_mode=5893 16776574 100 94 1899949 127101289 0 0
# scanned=75852
# found=1
# cleaned=0
# scan_time=2553
sh=EF0EABD8DDFC09AD6480B8227EEE4862177AC265 ft=0 fh=0000000000000000 vn="Win32/Bagle.gen.zip worm" ac=I fn="C:\$RECYCLE.BIN\S-1-5-21-3122368647-1591031522-4049187639-1001\$R450KRW\Recovery\DeltaToolbar63.zip"
Code:
ATTFilter Results of screen317's Security Check version 0.99.71 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` Norton Internet Security WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.75.0.1300 Java 7 Update 25 Adobe Flash Player 11.8.800.94 Adobe Reader XI Mozilla Firefox (22.0) ````````Process Check: objlist.exe by Laurent```````` Norton ccSvcHst.exe Malwarebytes Anti-Malware mbam.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
|
02.08.2013, 21:04
| #7 |
| /// TB-Ausbilder | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Einfach Papierkorb leeren sollte das entfernen. Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: Falls du mich jetzt fragen willst, was mit den noch gefundenen Bedrohungen von Eset ist ... lies bitte jetzt nochmal meinen Hinweis zu delfix einige wenige Zeilen weiter oben.Schritt 3: ESET deinstallieren (Optional)
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
 Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
02.08.2013, 22:18
| #8 |
| | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Hi Ryder, hat alles wunderbar geklappt. Ich bedanke mich recht herzlich für deine Unterstützung. Ist nicht selbstverständlich, dass man wildfremden Menschen einfach so hilft. Thumps up! Eine Frage hätte ich noch: Wieso empfiehlst du dieses ESET-Online-Tool drauf zu lassen? Ist ESET so gut? Taugt mein Norton da nichts? Wenn ich mich nicht irre, dann ist dieser ESET-Online-Scan ja nur ne Online-Variante von ESET Smart Security, oder? Oder hat es mit diesen Online-Scan etwas besonderes auf sich, dass ihn von Norton, Kaspersky, Bit-Defender und wie sie alle heißen, abheben würde? Nochmal recht herzlichen Dank. Ich werde euch weiterempfehlen. Gruß Marbuel |
|
03.08.2013, 09:56
| #9 |
| /// TB-Ausbilder | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Wenn man die Erkennung so beobachtet ist ESET einfach immer vorne dran. Norton empfehlen wir schon lange nicht mehr.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
05.08.2013, 15:35
| #10 |
| /// TB-Ausbilder | Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu Diverse Mailware (BrowserDefender, Babylon, LoadTubes...) |
| 4d36e972-e325-11ce-bfc1-08002be10318, browserdefendert, cpu-z, dvdvideosoft ltd., entfernen, epupdater, excel, farbar, farbar recovery scan tool, flash player, homepage, install.exe, internet browser, launch, mozilla, plug-in, prozess, pup.loadtubes, pup.optional.babylon.a, pup.optional.browserdefender.a, registrierungsdatenbank, safer networking, security, starten, svchost.exe, system, win32/bagle.gen.zip |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
