Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojanerinvasion

Trojanerinvasion


Log-Analyse und Auswertung: Trojanerinvasion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.11.2014, 06:14   #1
-mephisto
 
Trojanerinvasion - Standard

und hier gehts weiter


GMER Logfile:
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-11-04 20:16:41
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000006e ADATA_SP rev.5.0. 119,24GB
Running: Gmer-19357.exe; Driver: C:\Users\Uli\AppData\Local\Temp\kxldapoc.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528                                                                                 fffff800033f2000 63 bytes [05, 07, 20, 19, 00, 44, 8B, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 592                                                                                 fffff800033f2040 12 bytes {JMP 0x3d}

---- User code sections - GMER 2.1 ----

.text     C:\Windows\system32\wininit.exe[564] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\wininit.exe[564] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\wininit.exe[564] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\wininit.exe[564] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\services.exe[620] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\services.exe[620] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\services.exe[620] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\services.exe[620] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\lsass.exe[644] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                         000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\lsass.exe[644] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                        000007fefdf00c10 6 bytes JMP 0
.text     C:\Windows\system32\lsm.exe[652] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                           000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\winlogon.exe[736] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\winlogon.exe[736] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\winlogon.exe[736] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\winlogon.exe[736] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[800] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[800] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[800] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[800] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\system32\svchost.exe[892] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[892] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[892] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[892] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\svchost.exe[892] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                      000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Windows\system32\atiesrxx.exe[960] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\atiesrxx.exe[960] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\atiesrxx.exe[960] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\atiesrxx.exe[960] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\System32\svchost.exe[264] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\System32\svchost.exe[420] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\System32\svchost.exe[420] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\System32\svchost.exe[420] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\System32\svchost.exe[420] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\svchost.exe[452] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[452] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[452] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[452] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[500] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                         00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[500] C:\Windows\system32\kernel32.dll!CreateProcessW                                                               00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[500] C:\Windows\system32\kernel32.dll!CreateProcessA                                                               000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[500] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\system32\svchost.exe[500] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                      000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Windows\system32\svchost.exe[1052] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[1152] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[1152] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[1152] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[1152] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\atieclxx.exe[1264] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                     000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\System32\spoolsv.exe[1364] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[1512] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\svchost.exe[1512] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                     000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1624] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                 0000000075d4103d 6 bytes JMP 71a7000a
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1624] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                 0000000075d41072 6 bytes JMP 71ae000a
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1624] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                           0000000075d6c9b5 6 bytes JMP 71a4000a
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1624] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                         0000000075e52c9e 4 bytes CALL 71ab0000
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1624] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                        0000000075ae5429 6 bytes JMP 71a1000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe[1676] C:\Windows\syswow64\kernel32.dll!CreateProcessW                    0000000075d4103d 6 bytes JMP 71a7000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe[1676] C:\Windows\syswow64\kernel32.dll!CreateProcessA                    0000000075d41072 6 bytes JMP 71ae000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe[1676] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW              0000000075d6c9b5 6 bytes JMP 71a4000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe[1676] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493            0000000075e52c9e 4 bytes CALL 71ab0000
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Service.exe[1676] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW           0000000075ae5429 6 bytes JMP 71a1000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe[1780] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                  0000000075d4103d 6 bytes JMP 71a7000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe[1780] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                  0000000075d41072 6 bytes JMP 71ae000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe[1780] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                            0000000075d6c9b5 6 bytes JMP 71a4000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe[1780] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                          0000000075e52c9e 4 bytes CALL 71ab0000
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe[1780] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                         0000000075ae5429 6 bytes JMP 71a1000a
.text     C:\Windows\system32\svchost.exe[1812] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[1812] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[1812] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[1812] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\AvrcpService.exe[1848] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                      00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\AvrcpService.exe[1848] C:\Windows\system32\kernel32.dll!CreateProcessW                            00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\AvrcpService.exe[1848] C:\Windows\system32\kernel32.dll!CreateProcessA                            000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\AvrcpService.exe[1848] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                    000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTDevMgr.exe[1920] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                          00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTDevMgr.exe[1920] C:\Windows\system32\kernel32.dll!CreateProcessW                                00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTDevMgr.exe[1920] C:\Windows\system32\kernel32.dll!CreateProcessA                                000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTDevMgr.exe[1920] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                        000007fefd739055 3 bytes CALL 64006f00
.text     C:\Windows\system32\svchost.exe[1944] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\system32\inetsrv\inetinfo.exe[1976] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                               00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\inetsrv\inetinfo.exe[1976] C:\Windows\system32\kernel32.dll!CreateProcessW                                                     00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\inetsrv\inetinfo.exe[1976] C:\Windows\system32\kernel32.dll!CreateProcessA                                                     000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\inetsrv\inetinfo.exe[1976] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                             000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\inetsrv\inetinfo.exe[1976] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                            000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Windows\system32\mqsvc.exe[2000] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                        000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\mqsvc.exe[2000] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                       000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\RtkBleServ.exe[2224] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\RtkBleServ.exe[2224] C:\Windows\system32\kernel32.dll!CreateProcessW                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\RtkBleServ.exe[2224] C:\Windows\system32\kernel32.dll!CreateProcessA                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\RtkBleServ.exe[2224] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\kernel32.dll!CreateProcessW                               0000000075d4103d 6 bytes JMP 71a7000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\kernel32.dll!CreateProcessA                               0000000075d41072 6 bytes JMP 71ae000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                         0000000075d6c9b5 6 bytes JMP 71a4000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                       0000000075e52c9e 4 bytes CALL 71ab0000
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                      0000000075ae5429 6 bytes JMP 71a1000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69                       0000000077611465 2 bytes [61, 77]
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2264] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155                      00000000776114bb 2 bytes [61, 77]
.text     ...                                                                                                                                                * 2
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2428] C:\Windows\syswow64\kernel32.dll!CreateProcessW                              0000000075d4103d 6 bytes JMP 71a7000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2428] C:\Windows\syswow64\kernel32.dll!CreateProcessA                              0000000075d41072 6 bytes JMP 71ae000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2428] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                        0000000075d6c9b5 6 bytes JMP 71a4000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2428] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                      0000000075e52c9e 4 bytes CALL 71ab0000
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2428] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                     0000000075ae5429 6 bytes JMP 71a1000a
.text     C:\Windows\system32\svchost.exe[2552] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                     000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE[2608] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357              000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE[2608] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW             000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Windows\system32\svchost.exe[2712] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 0A]
.text     C:\Windows\system32\mqtgsvc.exe[2752] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2844] C:\Windows\syswow64\kernel32.dll!CreateProcessW                              0000000075d4103d 6 bytes JMP 71a8000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2844] C:\Windows\syswow64\kernel32.dll!CreateProcessA                              0000000075d41072 6 bytes JMP 71af000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2844] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                        0000000075d6c9b5 6 bytes JMP 71a5000a
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2844] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                      0000000075e52c9e 4 bytes CALL 71ac0000
.text     C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2844] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                     0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe[2948] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357             000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe[3912] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                              00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe[3912] C:\Windows\system32\kernel32.dll!CreateProcessW                                    00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe[3912] C:\Windows\system32\kernel32.dll!CreateProcessA                                    000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe[3912] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                            000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\taskhost.exe[4016] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                       00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\taskhost.exe[4016] C:\Windows\system32\kernel32.dll!CreateProcessW                                                             00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\taskhost.exe[4016] C:\Windows\system32\kernel32.dll!CreateProcessA                                                             000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\taskhost.exe[4016] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                     000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\taskhost.exe[4016] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                    000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Windows\system32\taskeng.exe[3932] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\taskeng.exe[3932] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\taskeng.exe[3932] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\taskeng.exe[3932] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\Dwm.exe[2032] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                          000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\Explorer.EXE[1392] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                                00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\Explorer.EXE[1392] C:\Windows\system32\kernel32.dll!CreateProcessW                                                                      00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\Explorer.EXE[1392] C:\Windows\system32\kernel32.dll!CreateProcessA                                                                      000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\Explorer.EXE[1392] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                              000007fefd739055 3 bytes CALL a03da19f
.text     C:\Windows\Explorer.EXE[1392] C:\Windows\system32\ADVAPI32.dll!CreateProcessWithLogonW                                                             000007fefdf00c10 6 bytes {JMP QWORD [RIP+0x8f420]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTServer.exe[1408] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                          00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTServer.exe[1408] C:\Windows\system32\kernel32.dll!CreateProcessW                                00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTServer.exe[1408] C:\Windows\system32\kernel32.dll!CreateProcessA                                000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\BTServer.exe[1408] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                        000007fefd739055 3 bytes CALL 9000027
.text     C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe[3852] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                      000007fefd739055 3 bytes [B5, 6F, 0D]
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe[3640] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                     0000000075d4103d 6 bytes JMP 71a8000a
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe[3640] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                     0000000075d41072 6 bytes JMP 71af000a
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe[3640] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                               0000000075d6c9b5 6 bytes JMP 71a5000a
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe[3640] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                             0000000075e52c9e 4 bytes CALL 71ac0000
.text     C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe[3640] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                            0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Program Files (x86)\REALTEK\Realtek Bluetooth\SkypePlugin.exe[4264] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                     000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\taskeng.exe[3240] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\taskeng.exe[3240] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\taskeng.exe[3240] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\taskeng.exe[3240] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[4788] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[4788] C:\Windows\system32\kernel32.dll!CreateProcessW                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[4788] C:\Windows\system32\kernel32.dll!CreateProcessA                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[4788] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[4188] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\SearchIndexer.exe[4828] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                  00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\system32\SearchIndexer.exe[4828] C:\Windows\system32\kernel32.dll!CreateProcessW                                                        00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\system32\SearchIndexer.exe[4828] C:\Windows\system32\kernel32.dll!CreateProcessA                                                        000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\system32\SearchIndexer.exe[4828] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Program Files\Windows Sidebar\sidebar.exe[5428] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                         000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\wbem\wmiprvse.exe[5648] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                000007fefd739055 3 bytes CALL 9000027
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\KERNEL32.dll!CreateProcessW           0000000075d4103d 6 bytes JMP 71a8000a
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\KERNEL32.dll!CreateProcessA           0000000075d41072 6 bytes JMP 71af000a
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\KERNEL32.dll!CreateProcessAsUserW     0000000075d6c9b5 6 bytes JMP 71a5000a
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493   0000000075e52c9e 4 bytes CALL 71ac0000
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW  0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000077611465 2 bytes [61, 77]
.text     C:\Program Files (x86)\COMPUTER BILD Account-Alarm\COMPUTER BILD Account-Alarm.exe[6140] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000776114bb 2 bytes [61, 77]
.text     ...                                                                                                                                                * 2
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                                0000000075d4103d 6 bytes {JMP QWORD [RIP+0x71a7001e]}
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                                0000000075d41072 6 bytes {JMP QWORD [RIP+0x71ae001e]}
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                                          0000000075d6c9b5 6 bytes {JMP QWORD [RIP+0x71a4001e]}
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                        0000000075e52c9e 4 bytes CALL 71ac0000
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                                       0000000075ae5429 6 bytes {JMP QWORD [RIP+0x71a1001e]}
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                        0000000077611465 2 bytes [61, 77]
.text     L:\Program Files (x86)\DSL-Manager\DslMgr.exe[5640] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                       00000000776114bb 2 bytes [61, 77]
.text     ...                                                                                                                                                * 2
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\kernel32.dll!CreateProcessW                      0000000075d4103d 6 bytes JMP 71a8000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\kernel32.dll!CreateProcessA                      0000000075d41072 6 bytes JMP 71af000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                0000000075d6c9b5 6 bytes JMP 71a5000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493              0000000075e52c9e 4 bytes CALL 71ac0000
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW             0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69              0000000077611465 2 bytes [61, 77]
.text     C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe[3204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155             00000000776114bb 2 bytes [61, 77]
.text     ...                                                                                                                                                * 2
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\kernel32.dll!CreateProcessW                             0000000075d4103d 6 bytes JMP 71a8000a
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\kernel32.dll!CreateProcessA                             0000000075d41072 6 bytes JMP 71af000a
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                       0000000075d6c9b5 6 bytes JMP 71a5000a
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                     0000000075e52c9e 4 bytes CALL 71ac0000
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                    0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                     0000000077611465 2 bytes [61, 77]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[6204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                    00000000776114bb 2 bytes [61, 77]
.text     ...                                                                                                                                                * 2
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe[7172] C:\Windows\syswow64\kernel32.dll!CreateProcessW                      0000000075d4103d 6 bytes JMP 71a8000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe[7172] C:\Windows\syswow64\kernel32.dll!CreateProcessA                      0000000075d41072 6 bytes JMP 71af000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe[7172] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                0000000075d6c9b5 6 bytes JMP 71a5000a
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe[7172] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493              0000000075e52c9e 4 bytes CALL 71ac0000
.text     l:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe[7172] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW             0000000075ae5429 6 bytes JMP 71a2000a
.text     C:\Windows\system32\wbem\unsecapp.exe[7300] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\System32\svchost.exe[2344] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                                        00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Windows\System32\svchost.exe[2344] C:\Windows\system32\kernel32.dll!CreateProcessW                                                              00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Windows\System32\svchost.exe[2344] C:\Windows\system32\kernel32.dll!CreateProcessA                                                              000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Windows\System32\svchost.exe[2344] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL a03da19f
.text     C:\Program Files\Windows Media Player\wmpnetwk.exe[9208] C:\Windows\system32\kernel32.dll!CreateProcessAsUserW                                     00000000776b98e0 6 bytes {JMP QWORD [RIP+0x89a6750]}
.text     C:\Program Files\Windows Media Player\wmpnetwk.exe[9208] C:\Windows\system32\kernel32.dll!CreateProcessW                                           00000000776d0650 6 bytes {JMP QWORD [RIP+0x896f9e0]}
.text     C:\Program Files\Windows Media Player\wmpnetwk.exe[9208] C:\Windows\system32\kernel32.dll!CreateProcessA                                           000000007774acf0 6 bytes {JMP QWORD [RIP+0x88d5340]}
.text     C:\Program Files\Windows Media Player\wmpnetwk.exe[9208] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                   000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\svchost.exe[3328] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 9000027
.text     C:\Windows\system32\svchost.exe[8644] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes [B5, 6F, 06]
.text     C:\Windows\system32\DllHost.exe[7636] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                      000007fefd739055 3 bytes CALL 77000026
.text     O:\Gmer-19357.exe[10804] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                                                           0000000075d4103d 6 bytes JMP 71a8000a
.text     O:\Gmer-19357.exe[10804] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                                                           0000000075d41072 6 bytes JMP 71af000a
.text     O:\Gmer-19357.exe[10804] C:\Windows\syswow64\kernel32.dll!CreateProcessAsUserW                                                                     0000000075d6c9b5 6 bytes JMP 71a5000a
.text     O:\Gmer-19357.exe[10804] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                   0000000075e52c9e 4 bytes CALL 71ac0000
.text     O:\Gmer-19357.exe[10804] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessWithLogonW                                                                  0000000075ae5429 6 bytes JMP 71a2000a

---- Threads - GMER 2.1 ----

Thread    C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3404:4284]                                                                         000007fef57a3e0c
Thread    C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3404:4584]                                                                         000007fef57a3e0c
Thread    C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3404:2484]                                                                         000007fef2eec680

---- Registry - GMER 2.1 ----

Reg       HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001583b3d838                                                                        
Reg       HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001583b3d838@00025b0115da                                                           0xAD 0x91 0x71 0x78 ...
Reg       HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001583b3d838@503275e94ebd                                                           0x4F 0x87 0x0F 0x5E ...
Reg       HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001583b3d838 (not active ControlSet)                                                    
Reg       HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001583b3d838@00025b0115da                                                               0xAD 0x91 0x71 0x78 ...
Reg       HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001583b3d838@503275e94ebd                                                               0x4F 0x87 0x0F 0x5E ...

---- EOF - GMER 2.1 ----
--- --- ---

Zitat:

Antivirus Pro
Erstellungsdatum der Reportdatei: Mittwoch, 29. Oktober 2014 11:50


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Ulrich Veit
Seriennummer : 2223972604-PEPWE-0000001
Plattform : Windows 7 Ultimate
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ULIS-PC

Versionsinformationen:
BUILD.DAT : 14.0.7.306 94325 Bytes 26.09.2014 10:03:00
AVSCAN.EXE : 14.0.7.266 1014576 Bytes 01.10.2014 12:01:01
AVSCANRC.DLL : 14.0.7.220 65272 Bytes 01.10.2014 12:01:01
LUKE.DLL : 14.0.7.220 59696 Bytes 01.10.2014 12:01:13
AVSCPLR.DLL : 14.0.7.266 94512 Bytes 01.10.2014 12:01:01
REPAIR.DLL : 14.0.7.266 366328 Bytes 01.10.2014 12:00:59
REPAIR.RDF : 1.0.2.30 596694 Bytes 24.10.2014 06:53:05
AVREG.DLL : 14.0.7.220 264952 Bytes 01.10.2014 12:00:58
AVLODE.DLL : 14.0.7.266 563448 Bytes 01.10.2014 12:00:57
AVLODE.RDF : 14.0.4.46 64835 Bytes 08.09.2014 17:45:08
XBV00011.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00012.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00013.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00014.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00015.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00016.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00017.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00018.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00019.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00020.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00021.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00022.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00023.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00024.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00025.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00026.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00027.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00028.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00029.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00030.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00031.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00032.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00033.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00034.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00035.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00036.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00037.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00038.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00039.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00040.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00041.VDF : 8.11.165.190 2048 Bytes 07.08.2014 19:51:57
XBV00179.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00180.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00181.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00182.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00183.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00184.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00185.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00186.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:30
XBV00187.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00188.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00189.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00190.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00191.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00192.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00193.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00194.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00195.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00196.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00197.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00198.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00199.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00200.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00201.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00202.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00203.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00204.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00205.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00206.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00207.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00208.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00209.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00210.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00211.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00212.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00213.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00214.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00215.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00216.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00217.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00218.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:31
XBV00219.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00220.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00221.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00222.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00223.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00224.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00225.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00226.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00227.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00228.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00229.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00230.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00231.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00232.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00233.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00234.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00235.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00236.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00237.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00238.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00239.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00240.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00241.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00242.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00243.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00244.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00245.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00246.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00247.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00248.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00249.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00250.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:32
XBV00251.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:33
XBV00252.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:33
XBV00253.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:33
XBV00254.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:33
XBV00255.VDF : 8.11.178.32 2048 Bytes 14.10.2014 14:23:33
XBV00000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 04:56:00
XBV00001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 04:56:01
XBV00002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 04:56:02
XBV00003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 04:56:03
XBV00004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 04:56:04
XBV00005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 04:56:06
XBV00006.VDF : 7.11.139.38 15708672 Bytes 27.03.2014 04:56:12
XBV00007.VDF : 7.11.152.100 4193792 Bytes 02.06.2014 04:56:13
XBV00008.VDF : 8.11.165.192 4251136 Bytes 07.08.2014 19:51:57
XBV00009.VDF : 8.11.172.30 2094080 Bytes 15.09.2014 10:05:12
XBV00010.VDF : 8.11.178.32 1581056 Bytes 14.10.2014 14:23:26
XBV00042.VDF : 8.11.178.58 29696 Bytes 14.10.2014 20:23:33
XBV00043.VDF : 8.11.178.60 2048 Bytes 14.10.2014 20:23:33
XBV00044.VDF : 8.11.178.86 21504 Bytes 14.10.2014 20:23:33
XBV00045.VDF : 8.11.178.88 11776 Bytes 15.10.2014 07:31:32
XBV00046.VDF : 8.11.178.92 17408 Bytes 15.10.2014 07:31:32
XBV00047.VDF : 8.11.178.94 2048 Bytes 15.10.2014 07:31:32
XBV00048.VDF : 8.11.178.116 7680 Bytes 15.10.2014 07:31:32
XBV00049.VDF : 8.11.178.136 21504 Bytes 15.10.2014 19:43:53
XBV00050.VDF : 8.11.178.140 2048 Bytes 15.10.2014 19:43:53
XBV00051.VDF : 8.11.178.162 32768 Bytes 15.10.2014 19:43:53
XBV00052.VDF : 8.11.178.164 2048 Bytes 15.10.2014 19:43:53
XBV00053.VDF : 8.11.178.166 14336 Bytes 15.10.2014 19:43:53
XBV00054.VDF : 8.11.178.170 12800 Bytes 15.10.2014 06:56:28
XBV00055.VDF : 8.11.178.190 4608 Bytes 15.10.2014 06:56:28
XBV00056.VDF : 8.11.178.210 5120 Bytes 15.10.2014 06:56:28
XBV00057.VDF : 8.11.178.230 17920 Bytes 16.10.2014 06:56:28
XBV00058.VDF : 8.11.178.234 8704 Bytes 16.10.2014 15:43:18
XBV00059.VDF : 8.11.178.236 13312 Bytes 16.10.2014 15:43:18
XBV00060.VDF : 8.11.178.240 50176 Bytes 16.10.2014 06:57:00
XBV00061.VDF : 8.11.179.4 2048 Bytes 16.10.2014 06:57:00
XBV00062.VDF : 8.11.179.6 2048 Bytes 16.10.2014 06:57:00
XBV00063.VDF : 8.11.179.8 2048 Bytes 16.10.2014 06:57:00
XBV00064.VDF : 8.11.179.12 27136 Bytes 16.10.2014 06:57:00
XBV00065.VDF : 8.11.179.18 29696 Bytes 17.10.2014 06:57:00
XBV00066.VDF : 8.11.179.20 2048 Bytes 17.10.2014 06:57:00
XBV00067.VDF : 8.11.179.22 8192 Bytes 17.10.2014 15:31:37
XBV00068.VDF : 8.11.179.44 12800 Bytes 17.10.2014 15:31:37
XBV00069.VDF : 8.11.179.62 6656 Bytes 17.10.2014 15:31:37
XBV00070.VDF : 8.11.179.80 10752 Bytes 17.10.2014 15:31:37
XBV00071.VDF : 8.11.179.82 2048 Bytes 17.10.2014 15:31:38
XBV00072.VDF : 8.11.179.100 5632 Bytes 17.10.2014 22:17:00
XBV00073.VDF : 8.11.179.106 22528 Bytes 17.10.2014 22:17:00
XBV00074.VDF : 8.11.179.108 2560 Bytes 17.10.2014 22:17:00
XBV00075.VDF : 8.11.179.110 9216 Bytes 17.10.2014 06:55:00
XBV00076.VDF : 8.11.179.114 18432 Bytes 18.10.2014 12:04:24
XBV00077.VDF : 8.11.179.116 3072 Bytes 18.10.2014 12:04:24
XBV00078.VDF : 8.11.179.118 38912 Bytes 18.10.2014 16:04:25
XBV00079.VDF : 8.11.179.120 2048 Bytes 18.10.2014 16:04:25
XBV00080.VDF : 8.11.179.122 52224 Bytes 19.10.2014 15:58:10
XBV00081.VDF : 8.11.179.140 2048 Bytes 19.10.2014 15:58:10
XBV00082.VDF : 8.11.179.160 25600 Bytes 19.10.2014 00:27:40
XBV00083.VDF : 8.11.179.162 2048 Bytes 19.10.2014 00:27:40
XBV00084.VDF : 8.11.179.180 35328 Bytes 20.10.2014 06:19:34
XBV00085.VDF : 8.11.179.182 2048 Bytes 20.10.2014 06:19:34
XBV00086.VDF : 8.11.179.184 12800 Bytes 20.10.2014 12:54:00
XBV00087.VDF : 8.11.179.186 7168 Bytes 20.10.2014 12:54:00
XBV00088.VDF : 8.11.179.188 23040 Bytes 20.10.2014 12:54:00
XBV00089.VDF : 8.11.179.190 2048 Bytes 20.10.2014 12:54:00
XBV00090.VDF : 8.11.179.192 2048 Bytes 20.10.2014 12:54:00
XBV00091.VDF : 8.11.179.194 13312 Bytes 20.10.2014 04:26:23
XBV00092.VDF : 8.11.179.196 2048 Bytes 20.10.2014 04:26:23
XBV00093.VDF : 8.11.179.216 36352 Bytes 20.10.2014 04:26:23
XBV00094.VDF : 8.11.179.232 2048 Bytes 20.10.2014 04:26:23
XBV00095.VDF : 8.11.179.234 2048 Bytes 20.10.2014 04:26:23
XBV00096.VDF : 8.11.180.12 32256 Bytes 21.10.2014 04:26:23
XBV00097.VDF : 8.11.180.30 17408 Bytes 21.10.2014 07:26:21
XBV00098.VDF : 8.11.180.32 2048 Bytes 21.10.2014 07:26:21
XBV00099.VDF : 8.11.180.34 16384 Bytes 21.10.2014 19:07:31
XBV00100.VDF : 8.11.180.40 8704 Bytes 21.10.2014 19:07:31
XBV00101.VDF : 8.11.180.42 10240 Bytes 21.10.2014 19:07:31
XBV00102.VDF : 8.11.180.44 31744 Bytes 21.10.2014 19:07:31
XBV00103.VDF : 8.11.180.60 2048 Bytes 21.10.2014 19:07:31
XBV00104.VDF : 8.11.180.64 24576 Bytes 21.10.2014 04:50:08
XBV00105.VDF : 8.11.180.66 6144 Bytes 21.10.2014 04:50:08
XBV00106.VDF : 8.11.180.70 2560 Bytes 21.10.2014 04:50:08
XBV00107.VDF : 8.11.180.88 33280 Bytes 22.10.2014 06:50:05
XBV00108.VDF : 8.11.180.104 2560 Bytes 22.10.2014 06:50:05
XBV00109.VDF : 8.11.180.106 2048 Bytes 22.10.2014 06:50:05
XBV00110.VDF : 8.11.180.122 25600 Bytes 22.10.2014 08:50:05
XBV00111.VDF : 8.11.180.138 11264 Bytes 22.10.2014 17:43:43
XBV00112.VDF : 8.11.180.140 20992 Bytes 22.10.2014 17:43:43
XBV00113.VDF : 8.11.180.142 2048 Bytes 22.10.2014 17:43:43
XBV00114.VDF : 8.11.180.144 2048 Bytes 22.10.2014 17:43:43
XBV00115.VDF : 8.11.180.150 43520 Bytes 22.10.2014 09:48:18
XBV00116.VDF : 8.11.180.154 2048 Bytes 22.10.2014 09:48:18
XBV00117.VDF : 8.11.180.172 12288 Bytes 22.10.2014 09:48:18
XBV00118.VDF : 8.11.180.174 2048 Bytes 22.10.2014 09:48:18
XBV00119.VDF : 8.11.180.188 7168 Bytes 22.10.2014 09:48:18
XBV00120.VDF : 8.11.180.204 11776 Bytes 23.10.2014 09:48:18
XBV00121.VDF : 8.11.180.206 3584 Bytes 23.10.2014 09:48:18
XBV00122.VDF : 8.11.180.208 22016 Bytes 23.10.2014 09:48:18
XBV00123.VDF : 8.11.180.210 20992 Bytes 23.10.2014 17:37:11
XBV00124.VDF : 8.11.180.212 2048 Bytes 23.10.2014 17:37:11
XBV00125.VDF : 8.11.180.214 2560 Bytes 23.10.2014 17:37:11
XBV00126.VDF : 8.11.180.220 32768 Bytes 23.10.2014 04:53:05
XBV00127.VDF : 8.11.180.222 2048 Bytes 23.10.2014 04:53:05
XBV00128.VDF : 8.11.180.224 2048 Bytes 23.10.2014 04:53:05
XBV00129.VDF : 8.11.180.226 15872 Bytes 23.10.2014 04:53:05
XBV00130.VDF : 8.11.180.228 2048 Bytes 23.10.2014 04:53:05
XBV00131.VDF : 8.11.180.232 28672 Bytes 24.10.2014 06:53:05
XBV00132.VDF : 8.11.180.234 2048 Bytes 24.10.2014 06:53:05
XBV00133.VDF : 8.11.180.236 38912 Bytes 24.10.2014 15:09:48
XBV00134.VDF : 8.11.180.250 2048 Bytes 24.10.2014 15:09:48
XBV00135.VDF : 8.11.180.252 2048 Bytes 24.10.2014 15:09:48
XBV00136.VDF : 8.11.181.10 14336 Bytes 24.10.2014 15:09:48
XBV00137.VDF : 8.11.181.24 6144 Bytes 24.10.2014 03:54:09
XBV00138.VDF : 8.11.181.36 21504 Bytes 24.10.2014 03:54:09
XBV00139.VDF : 8.11.181.38 2048 Bytes 24.10.2014 03:54:09
XBV00140.VDF : 8.11.181.40 25088 Bytes 24.10.2014 03:54:09
XBV00141.VDF : 8.11.181.42 2048 Bytes 25.10.2014 03:54:09
XBV00142.VDF : 8.11.181.44 2048 Bytes 25.10.2014 03:54:09
XBV00143.VDF : 8.11.181.48 62976 Bytes 25.10.2014 00:31:00
XBV00144.VDF : 8.11.181.50 2048 Bytes 25.10.2014 00:31:00
XBV00145.VDF : 8.11.181.52 27136 Bytes 25.10.2014 00:31:00
XBV00146.VDF : 8.11.181.54 2048 Bytes 25.10.2014 00:31:00
XBV00147.VDF : 8.11.181.56 2048 Bytes 25.10.2014 00:31:00
XBV00148.VDF : 8.11.181.72 64000 Bytes 26.10.2014 14:12:14
XBV00149.VDF : 8.11.181.84 2048 Bytes 26.10.2014 14:12:14
XBV00150.VDF : 8.11.181.96 2048 Bytes 26.10.2014 14:12:14
XBV00151.VDF : 8.11.181.108 2048 Bytes 26.10.2014 14:12:14
XBV00152.VDF : 8.11.181.120 14336 Bytes 26.10.2014 16:12:10
XBV00153.VDF : 8.11.181.132 2048 Bytes 26.10.2014 16:12:10
XBV00154.VDF : 8.11.181.146 54272 Bytes 27.10.2014 08:35:13
XBV00155.VDF : 8.11.181.148 2048 Bytes 27.10.2014 08:35:13
XBV00156.VDF : 8.11.181.150 6656 Bytes 27.10.2014 08:35:13
XBV00157.VDF : 8.11.181.152 7680 Bytes 27.10.2014 10:35:13
XBV00158.VDF : 8.11.181.154 6656 Bytes 27.10.2014 18:06:04
XBV00159.VDF : 8.11.181.156 13824 Bytes 27.10.2014 18:06:05
XBV00160.VDF : 8.11.181.158 2048 Bytes 27.10.2014 18:06:05
XBV00161.VDF : 8.11.181.172 35840 Bytes 27.10.2014 03:58:23
XBV00162.VDF : 8.11.181.184 2048 Bytes 27.10.2014 03:58:23
XBV00163.VDF : 8.11.181.186 2048 Bytes 27.10.2014 03:58:23
XBV00164.VDF : 8.11.181.200 6144 Bytes 27.10.2014 03:58:23
XBV00165.VDF : 8.11.181.214 5632 Bytes 28.10.2014 05:58:21
XBV00166.VDF : 8.11.181.218 2560 Bytes 28.10.2014 07:58:21
XBV00167.VDF : 8.11.181.220 3072 Bytes 28.10.2014 09:58:21
XBV00168.VDF : 8.11.181.222 11776 Bytes 28.10.2014 12:25:51
XBV00169.VDF : 8.11.181.224 27136 Bytes 28.10.2014 16:17:03
XBV00170.VDF : 8.11.181.226 2048 Bytes 28.10.2014 16:17:03
XBV00171.VDF : 8.11.181.228 2048 Bytes 28.10.2014 16:17:03
XBV00172.VDF : 8.11.181.234 27136 Bytes 28.10.2014 22:17:00
XBV00173.VDF : 8.11.181.240 2048 Bytes 28.10.2014 22:17:00
XBV00174.VDF : 8.11.181.246 14336 Bytes 28.10.2014 00:17:00
XBV00175.VDF : 8.11.181.250 58880 Bytes 29.10.2014 08:17:00
XBV00176.VDF : 8.11.182.6 2048 Bytes 29.10.2014 08:17:00
XBV00177.VDF : 8.11.182.16 2048 Bytes 29.10.2014 08:17:00
XBV00178.VDF : 8.11.182.18 2048 Bytes 29.10.2014 08:17:00
LOCAL001.VDF : 8.11.182.18 112991232 Bytes 29.10.2014 08:17:12
Engineversion : 8.3.24.40
AEVDF.DLL : 8.3.1.6 133992 Bytes 20.08.2014 15:16:04
AESCRIPT.DLL : 8.2.0.30 437104 Bytes 16.10.2014 15:43:18
AESCN.DLL : 8.3.2.2 139456 Bytes 21.07.2014 12:29:19
AESBX.DLL : 8.2.20.24 1409224 Bytes 26.06.2014 04:54:22
AERDL.DLL : 8.2.0.138 704888 Bytes 26.06.2014 04:54:22
AEPACK.DLL : 8.4.0.54 788392 Bytes 24.09.2014 17:26:10
AEOFFICE.DLL : 8.3.0.36 223144 Bytes 23.10.2014 17:37:11
AEHEUR.DLL : 8.1.4.1356 7682928 Bytes 23.10.2014 17:37:11
AEHELP.DLL : 8.3.1.0 278728 Bytes 26.06.2014 04:54:21
AEGEN.DLL : 8.1.7.30 453480 Bytes 26.09.2014 11:07:36
AEEXP.DLL : 8.4.2.32 247712 Bytes 03.09.2014 21:11:43
AEEMU.DLL : 8.1.3.4 399264 Bytes 07.08.2014 19:51:57
AEDROID.DLL : 8.4.2.24 442568 Bytes 26.06.2014 05:07:04
AECORE.DLL : 8.3.2.6 243712 Bytes 07.08.2014 19:51:57
AEBB.DLL : 8.1.2.0 60448 Bytes 07.08.2014 19:51:57
AVWINLL.DLL : 14.0.7.220 25904 Bytes 01.10.2014 12:00:53
AVPREF.DLL : 14.0.7.220 52016 Bytes 01.10.2014 12:00:58
AVREP.DLL : 14.0.7.220 220976 Bytes 01.10.2014 12:00:58
AVARKT.DLL : 14.0.7.220 227632 Bytes 01.10.2014 12:00:54
AVEVTLOG.DLL : 14.0.7.220 185080 Bytes 01.10.2014 12:00:56
SQLITE3.DLL : 14.0.7.220 453936 Bytes 01.10.2014 12:01:17
AVSMTP.DLL : 14.0.7.220 79096 Bytes 01.10.2014 12:01:01
NETNT.DLL : 14.0.7.220 15152 Bytes 01.10.2014 12:01:13
RCIMAGE.DLL : 14.0.7.220 4887856 Bytes 01.10.2014 12:00:53
RCTEXT.DLL : 14.0.7.240 77048 Bytes 01.10.2014 12:00:53

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:, I:, L:, O:, P:, Q:, R:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 29. Oktober 2014 11:50

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'HDD1(H:, I:, L'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'HDD2(O:, P:, Q:, R'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'AHDDC2_Service.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTServer.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvrcpService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTDevMgr.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'inetinfo.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'COMPUTER BILD Account-Alarm.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgr.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypePlugin.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTray.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '207' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avira_system_speedup.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'mqsvc.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBleServ.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDFSSvc.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDUpdSvc.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc7.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebg7.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'mqtgsvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWSCSvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AHDDC2_Guard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDScan.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'PokerStars.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'gameutil1.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera_crashreporter.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDOnAccess.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '33' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2912' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (job)\Deleted Items\40714872-00000045.eml
[0] Archivtyp: MIME
--> SG_Verfügungen_02.10.2014 _doc.zip
[1] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (job)\Inbox\09D835E2-0000020D.eml
[0] Archivtyp: MIME
--> Ihre_Rechnung_24.09.2014_ PDF.zip
[1] Archivtyp: ZIP
--> Ihre_Rechnung_24.09.2014_ PDF.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Deleted Items\4B8F0534-00000181.eml
[0] Archivtyp: MIME
--> SG_Verfügungen_02.10.2014 _doc.zip
[1] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Deleted Items\4CED0D06-00000192.eml
[0] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[1] Archivtyp: ZIP
--> Ausgleich stornierten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[2] Archivtyp: ZIP
--> Rechnung 08.10.2014 - Inkasso Facebook GmbH.com
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Inbox\2A1A2403-00000B30.eml
[0] Archivtyp: MIME
--> verfügungen_sg_28.10.2014__docx.zip
[1] Archivtyp: ZIP
--> verfügungen_sg_28.10.2014__docx.exe
[FUND] Ist das Trojanische Pferd TR/Agent.qwl
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Junk E-mail\71C06588-00000018.eml
[0] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Ebay vom 15.09.2014.zip
[1] Archivtyp: ZIP
--> Forderung nicht gedeckten Zahlung Ihrer Bestellung Ebay vom 15.09.2014.zip
[2] Archivtyp: ZIP
--> Ausgleich 15.09.2014 - Stellvertretender Rechtsanwalt Ebay GmbH.com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (wo 31e\Deleted Items\04EB67D5-00000105.eml
[0] Archivtyp: MIME
--> SG_Verfügungen_02.10.2014 _doc.zip
[1] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
Beginne mit der Suche in 'H:\' <Filme+Bilder>
Beginne mit der Suche in 'I:\' <Daten>
Beginne mit der Suche in 'L:\' <WIN7>
Beginne mit der Suche in 'O:\' <Downloads>
Beginne mit der Suche in 'P:\' <Musik>
Beginne mit der Suche in 'Q:\' <Laura>
Beginne mit der Suche in 'R:\' <Backup>
[0] Archivtyp: Runtime Packed
--> O:\chromeinstall-7u40.exe
[1] Archivtyp: Runtime Packed
--> O:\chromeinstall-7u45.exe
[2] Archivtyp: Runtime Packed
--> O:\IE9-Windows7-x64-deu.exe
[3] Archivtyp: RSRC
--> O:\mplayerc_20100214 - CHIP-Installer.exe
[4] Archivtyp: RSRC
--> O:\mplayerc_20100214 - CHIP-Installer.exe
[5] Archivtyp: Runtime Packed
--> O:\VLC media player 32 Bit - CHIP-Installer.exe
[6] Archivtyp: RSRC
--> O:\VLC media player 32 Bit - CHIP-Installer.exe
[7] Archivtyp: Runtime Packed
--> Q:\Uli\Downloads\jxpiinstall.exe
[8] Archivtyp: Runtime Packed
--> R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-16 085517\Backup files 21.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Junk E-mail/71C06588-00000018.eml
[10] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Ebay vom 15.09.2014.zip
[11] Archivtyp: ZIP
--> Forderung nicht gedeckten Zahlung Ihrer Bestellung Ebay vom 15.09.2014.zip
[12] Archivtyp: ZIP
--> Ausgleich 15.09.2014 - Stellvertretender Rechtsanwalt Ebay GmbH.com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-16 085517\Backup files 21.zip
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
--> R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-28 212436\Backup files 2.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (job)/Inbox/09D835E2-0000020D.eml
[10] Archivtyp: MIME
--> Ihre_Rechnung_24.09.2014_ PDF.zip
[11] Archivtyp: ZIP
--> Ihre_Rechnung_24.09.2014_ PDF.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-28 212436\Backup files 2.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
--> R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-10-13 005722\Backup files 2.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (job)/Deleted Items/40714872-00000045.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Deleted Items/4B8F0534-00000181.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Deleted Items/4CED0D06-00000192.eml
[10] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[11] Archivtyp: ZIP
--> Ausgleich stornierten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[12] Archivtyp: ZIP
--> Rechnung 08.10.2014 - Inkasso Facebook GmbH.com
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (wo 31e/Deleted Items/04EB67D5-00000105.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-10-13 005722\Backup files 2.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
--> R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 19.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (job)/Deleted Items/40714872-00000045.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (job)/Inbox/09D835E2-0000020D.eml
[10] Archivtyp: MIME
--> Ihre_Rechnung_24.09.2014_ PDF.zip
[11] Archivtyp: ZIP
--> Ihre_Rechnung_24.09.2014_ PDF.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 19.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
--> R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 20.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Deleted Items/4B8F0534-00000181.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Deleted Items/4CED0D06-00000192.eml
[10] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[11] Archivtyp: ZIP
--> Ausgleich stornierten Lastschrift Ihrer Bestellung Facebook vom 08.10.2014.zip
[12] Archivtyp: ZIP
--> Rechnung 08.10.2014 - Inkasso Facebook GmbH.com
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 20.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
--> R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 22.zip
[9] Archivtyp: ZIP
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (uli)/Junk E-mail/71C06588-00000018.eml
[10] Archivtyp: MIME
--> Nicht gedeckten Lastschrift Ihrer Bestellung Ebay vom 15.09.2014.zip
[11] Archivtyp: ZIP
--> Forderung nicht gedeckten Zahlung Ihrer Bestellung Ebay vom 15.09.2014.zip
[12] Archivtyp: ZIP
--> Ausgleich 15.09.2014 - Stellvertretender Rechtsanwalt Ebay GmbH.com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> C/Users/Uli/AppData/Local/Microsoft/Windows Live Mail/Uliveit (wo 31e/Deleted Items/04EB67D5-00000105.eml
[10] Archivtyp: MIME
--> SG_Verf&#252;gungen_02.10.2014 _doc.zip
[11] Archivtyp: ZIP
--> SG_Verfügungen_02.10.2014 _doc.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 22.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574

Beginne mit der Desinfektion:
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 22.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '512fb345.qua' verschoben!
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 20.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b89ce3.qua' verschoben!
R:\ULIS-PC\Backup Set 2014-10-26 190001\Backup Files 2014-10-26 190001\Backup files 19.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1be7c60c.qua' verschoben!
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-10-13 005722\Backup files 2.zip
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dd089cd.qua' verschoben!
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-28 212436\Backup files 2.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3854a48f.qua' verschoben!
R:\ULIS-PC\Backup Set 2014-09-16 085517\Backup Files 2014-09-16 085517\Backup files 21.zip
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474f96e8.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (wo 31e\Deleted Items\04EB67D5-00000105.eml
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0bd5baff.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Junk E-mail\71C06588-00000018.eml
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.133
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77cffaa2.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Inbox\2A1A2403-00000B30.eml
[FUND] Ist das Trojanische Pferd TR/Agent.qwl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a83d5df.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Deleted Items\4CED0D06-00000192.eml
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.99827
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43ffee47.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (uli)\Deleted Items\4B8F0534-00000181.eml
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2fbcc276.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (job)\Inbox\09D835E2-0000020D.eml
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.89094
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e19fbd8.qua' verschoben!
C:\Users\Uli\AppData\Local\Microsoft\Windows Live Mail\Uliveit (job)\Deleted Items\40714872-00000045.eml
[FUND] Ist das Trojanische Pferd TR/Dropper.VB.21574
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '501ecb16.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 29. Oktober 2014 17:08
Benötigte Zeit: 1:57:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

34059 Verzeichnisse wurden überprüft
4270786 Dateien wurden geprüft
25 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
13 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4270761 Dateien ohne Befall
81869 Archive wurden durchsucht
19 Warnungen
13 Hinweise
831686 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Hätte noch 4 Avira-Logs wenn gewünscht. Das ist der Log von dem Wahnsinnsbefall von 25 Stück

Achja, ganz vergessen zu sagen. Ich bekomme seit ca. 3-4 Wochen Emails mit zip-anhängen. Habe die natürlich NIE geöffnet.
Jetzt stell ich aber grade fest, dass sich eine im Outlook nicht löschen lässt.
Es heisst : Es ist ein unbekannter Fehler aufgetreten.
Vielleicht hat diese Mail was mit meinem Problem zu tun ??

Antwort

Themen zu Trojanerinvasion
antivirus, fehlercode 0x5, fehlercode 0xc0000005, fehlercode windows, festplatte, iobit apps toolbar v8.5 entfernen, kostenlose, leisten, log-datei, meinung, natürlich, retten, spybot, tr/agent.qwl, tr/crypt.xpack.89094, tr/crypt.xpack.99827, tr/dropper.vb.21574, tr/matsnu.a.133, trojanerinvasion, win32/downloadsponsor.a, win32/downware.l, win32/installmonetizer.an, win32/messengerplus.a, win32/toolbar.conduit.b, win64/toolbar.widgi.b, zusammen


« Mail-Account gehackt, nun "spontane Fenster" mit Aufforderung der Passworteingabe, Ausgangsserver verändert, Kaspersky findet nichts | Windows 7 SP1: MSE durch Gruppenrichtlinie blockiert / Windows Defender nicht aktivierbar »


Ähnliche Themen: Trojanerinvasion


  1. Trojanerinvasion
    Plagegeister aller Art und deren Bekämpfung - 01.01.2004 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojanerinvasion - GMER Logfile: Code: Alles auswählen Aufklappen ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net Rootkit scan 2014-11-04 20:16:41 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000006e ADATA_SP rev.5.0. 119,24GB Running: Gmer-19357.exe; Driver: - Trojanerinvasion...
Archiv
Du betrachtest: Trojanerinvasion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27