Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt

Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt


Log-Analyse und Auswertung: Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 04.03.2015, 13:51   #1
JoeBec
 
Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt - Standard

Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt


Hallo,

ich habe heute eine UPS-Paketankündigungsmail erhalten und (leider) auf den Link bzw. die angezeigte Paketnummer geklickt. Dabei wurde letztendlich eine exe-Datei ausgeführt...

Auch wenn GData mir einen Virus meldete und diesen in Quarantäne schob, wurden zumindestens einige Desktop-Links verändert (diese landeten auch in Quarantäne). Der Trojaner/Virus war also aktiv, bevor er von GData entdeckt wurde und ich bin mir nicht sicher, ob noch andere Änderungen am PC erfolgten....


Hoffe mal, Ihr könnt mir weiterhelfen. Danke schon mal im Voraus!!

Hier die Logfiles (leider musste ich die anderen Logs anhängen, da mein Text zu ang wurde und sich dadurch kein neues Thema erstellen liess) ....

GData-Logfile:
Code:
ATTFilter
*** Prozess ***

Prozess: 7288
Dateiname: ups_de_de_tracknum_1r63l0375986420300_2015_03_z_ectaid_ct1_eml_tracking_000390395782.exe
Pfad: c:\users\jb\appdata\local\temp\temp1_ups_de_de_tracknum_1r63l0375986420300.zip\ups_de_de_tracknum_1r63l0375986420300_2015_03_z_ectaid_ct1_eml_tracking_000390395782.exe

Herausgeber: Unbekannter Herausgeber

Gestartet von: ups_de_de_tracknum_1r63l0375986420300_2015_03_z_ectaid_ct1_eml_tracking_000390395782.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Es wurde auf einen fremden Prozess zugegriffen.
Das Programm kann genutzt werden um beliebigen Programmcode auszuführen.
Das Programm hat eine Kopie von sich selbst angelegt.
Das Programm hat ein anderes Programm gestartet um sich selbst zu löschen.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
C:\Users\JB\AppData\Local\Temp\10b1069a~
C:\Users\JB\AppData\Local\Temp\3907252~.bat
C:\Users\JB\AppData\Local\Temp\Temp1_ups_de_DE_tracknum_1R63L0375986420300.zip\ups_de_DE_tracknum_1R63L0375986420300_2015_03_z_eCTAid_ct1_eml_Tracking_000390395782.exe
c:\users\jb\appdata\local\temp\10b1069a~
c:\users\jb\appdata\local\temp\3907252~.bat
c:\users\jb\appdata\local\temp\temp1_ups_de_de_tracknum_1r63l0375986420300.zip\ups_de_de_tracknum_1r63l0375986420300_2015_03_z_ectaid_ct1_eml_tracking_000390395782.exe
c:\users\jb\appdata\local\temp\temp1_ups_de_de_tracknum_1r63l0375986420300.zip\ups_de_de_tracknum_1r63l0375986420300_2015_03_z_ectaid_ct1_eml_tracking_000390395782.exe:zone.identifier
c:\users\jb\appdata\roaming\microsoft\msdbf7fcf46.exe
c:\users\jb\appdata\roaming\microsoft\windows\recent\041000(12) heike neu postbank.xml.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\041000(20).xml.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\041001(31).xml.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\downloads.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\eigene dateien april 08 (aspireh341jb benutzerordner) (z).lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\signal kv belege februar 15.xlsx.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\wiso mein geld.lnk
c:\users\jb\appdata\roaming\microsoft\windows\recent\wiso_2011_datenbank.mgd.lnk

Folgende Registry Einträge wurden gelöscht:


YGLhLn+wcoIpJiYnmMBygmJicoLQcpJygnJy4HKCJictJ5dwKnRyQicnJga3cnJycmJigCwnJycnJgbocnJiYnJykCsW7sIK2XJykC4nLSYmJw2KcnJiYnJyoCwnKyYmJwvacpJiYnKSsCknKCYmJwjbcnJiYnJywConZ3JycvLALycnJiYnB21ygnKCYmLQKCcqJiYnCr1ycmJicnLQLicoJiYnCM9ycnJyYmJwp3JycKhycmJicnJwuHKCcoJiYnDYcnJiYnJycOhycmJicnJwaXJycnJiYnB5cnJiYnJycIlycnJyYmJw+XKCYmJygnC6kmFZY7aCgtFaY7ZykmFZY7ZycNpycmJicnJwe3JycnJiYnD7coJycnJycOxycmJicnJw/HJyKCYmJ4dwnXKCcoJiYnCtcnJycmJicI5ysg/3KScnJiYnB2gpJw8A
Version der Regeln: 4.7.5
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 40166

C:\Users\JB\AppData\Local\Temp\Temp1_ups_de_DE_tracknum_1R63L0375986420300.zip\ups_de_DE_tracknum_1R63L0375986420300_2015_03_z_eCTAid_ct1_eml_Tracking_000390395782.exe
MD5: 
"C:\Users\JB\AppData\Local\Temp\Temp1_ups_de_DE_tracknum_1R63L0375986420300.zip\ups_de_DE_tracknum_1R63L0375986420300_2015_03_z_eCTAid_ct1_eml_Tracking_000390395782.exe" 
MD5:
qmer.log:
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-03-04 13:00:12
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk3\DR3 -> \Device\Ide\IdeDeviceP1T0L0-1 Samsung_SSD_840_PRO_Series rev.DXM06B0Q 238,47GB
Running: ndjxpd8r.exe; Driver: C:\Users\JB\AppData\Local\Temp\pxldypoc.sys


---- Kernel code sections - GMER 2.1 ----

.text    C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                                                                                                                                     fffff96000134900 7 bytes [00, 99, F3, FF, 41, AC, F0]
.text    C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                                                                                                                                 fffff96000134908 3 bytes [00, 07, 02]

---- User code sections - GMER 2.1 ----

.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                                       0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                                         0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                                       0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                                       000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                                          00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                                   00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                                          000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                                   0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                                         000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                                              0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                                       000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                                         0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                                            000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                                         00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                                       00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                                   00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\DiskBoss\bin\diskbsa.exe[2184] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                                   00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                            0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                              0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                            0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                            000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\KERNEL32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                               00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                        00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                               000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                        0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                              000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                   0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                            000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                              0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                 000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                              00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                            00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                        00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Device Interaction Service\GarminService.exe[2424] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                        00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                           0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                             0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                           0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                           000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                              00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                       00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                              000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                       0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                             000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                                  0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                           000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                             0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                                000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                             00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                           00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                       00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Nuance\PaperPort\PDFProFiltSrvPP.exe[2820] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                       00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\SysWOW64\WSOCK32.dll!recv + 82                                                                                                                                                                    00000000737417fa 2 bytes CALL 762511a9 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\SysWOW64\WSOCK32.dll!recvfrom + 88                                                                                                                                                                0000000073741860 2 bytes CALL 762511a9 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 98                                                                                                                                                              0000000073741942 2 bytes JMP 776a7089 C:\Windows\syswow64\WS2_32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 109                                                                                                                                                             000000007374194d 2 bytes JMP 776acba6 C:\Windows\syswow64\WS2_32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                                                      0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                                                        0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                                                      0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                                                      000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                                                         00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                                                  00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                                                         000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                                                  0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                                                        000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                                                             0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                                                      000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                                                        0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                                                           000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                                                        00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                                                      00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                                                  00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\PnkBstrA.exe[3084] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                                                  00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Windows\SysWOW64\vmnat.exe[3436] C:\Windows\SysWOW64\SHFOLDER.dll!SHGetFolderPathW + 4                                                                                                                                                           00000000666a13b0 2 bytes JMP 75675660 C:\Windows\syswow64\SHELL32.dll
.text    C:\Windows\SysWOW64\vmnat.exe[3436] C:\Windows\SysWOW64\SHFOLDER.dll!SHGetFolderPathW + 20                                                                                                                                                          00000000666a13c0 2 bytes CALL 76fe9cee C:\Windows\syswow64\msvcrt.dll
.text    ...                                                                                                                                                                                                                                                 * 20
.text    C:\Windows\SysWOW64\vmnat.exe[3436] C:\Windows\SysWOW64\SHFOLDER.dll!SHGetFolderPathA + 22                                                                                                                                                          00000000666a153e 2 bytes CALL 7570777c C:\Windows\syswow64\SHELL32.dll
.text    C:\Windows\SysWOW64\vmnat.exe[3436] C:\Windows\SysWOW64\SHFOLDER.dll!SHGetFolderPathA + 43                                                                                                                                                          00000000666a1553 2 bytes CALL 762510ff C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                          0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                            0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                          0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                          000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                             00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                      00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                             000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                      0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                            000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                                 0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                          000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                            0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                               000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                            00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                          00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                      00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe[4044] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                      00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                   0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                     0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                   0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                   000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                      00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                               00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                      000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                               0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                     000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                          0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                   000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                     0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                        000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                     00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                   00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                               00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[6884] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                               00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                                   0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                                     0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                                   0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                                   000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\KERNEL32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                                      00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                               00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                                      000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                               0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                                     000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                                          0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                                   000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                                     0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                                        000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                                     00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                                   00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                               00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Program Files (x86)\Garmin\Express Tray\tray.exe[6308] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                               00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\KERNEL32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleFileNameExW + 17                                                                                                                                   0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!EnumProcessModules + 17                                                                                                                                     0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 17                                                                                                                                   0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 42                                                                                                                                   000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!EnumDeviceDrivers + 17                                                                                                                                      00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetDeviceDriverBaseNameA + 17                                                                                                                               00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!QueryWorkingSetEx + 17                                                                                                                                      000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetDeviceDriverBaseNameW + 17                                                                                                                               0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleBaseNameW + 17                                                                                                                                     000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!EnumProcesses + 17                                                                                                                                          0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetProcessMemoryInfo + 17                                                                                                                                   000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetPerformanceInfo + 17                                                                                                                                     0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!QueryWorkingSet + 17                                                                                                                                        000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleBaseNameA + 17                                                                                                                                     00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetModuleFileNameExA + 17                                                                                                                                   00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetProcessImageFileNameW + 20                                                                                                                               00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe[3832] C:\Windows\syswow64\Psapi.dll!GetProcessImageFileNameW + 31                                                                                                                               00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                             0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                               0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                             0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                             000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                         00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                         0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                               000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                    0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                             000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                               0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                  000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                               00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                             00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                         00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\G Data\TotalProtection\Firewall\GDFirewallTray.exe[2620] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                         00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                                                                                                                      0000000076731401 2 bytes JMP 7627b21b C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                                                                                                                        0000000076731419 2 bytes JMP 7627b346 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                                                                                                                      0000000076731431 2 bytes JMP 762f8ea9 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                                                                                                                      000000007673144a 2 bytes CALL 762548ad C:\Windows\syswow64\kernel32.dll
.text    ...                                                                                                                                                                                                                                                 * 9
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                                                                                                                         00000000767314dd 2 bytes JMP 762f87a2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                                                                                                                  00000000767314f5 2 bytes JMP 762f8978 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                                                                                                                         000000007673150d 2 bytes JMP 762f8698 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                                                                                                                  0000000076731525 2 bytes JMP 762f8a62 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                                                                                                                        000000007673153d 2 bytes JMP 7626fca8 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                                                                                                                             0000000076731555 2 bytes JMP 762768ef C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                                                                                                                      000000007673156d 2 bytes JMP 762f8f61 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                                                                                                                        0000000076731585 2 bytes JMP 762f8ac2 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                                                                                                                           000000007673159d 2 bytes JMP 762f865c C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                                                                                                                        00000000767315b5 2 bytes JMP 7626fd41 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                                                                                                                      00000000767315cd 2 bytes JMP 7627b2dc C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                                                                                                                  00000000767316b2 2 bytes JMP 762f8e24 C:\Windows\syswow64\kernel32.dll
.text    C:\Program Files (x86)\Samsung SSD Magician\Samsung Magician.exe[2488] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                                                                                                                  00000000767316bd 2 bytes JMP 762f85f1 C:\Windows\syswow64\kernel32.dll
---- Processes - GMER 2.1 ----

Library  C:\Users\JB\AppData\Local\Microsoft\Windows Sidebar\Gadgets\QuadCoreUsage18.gadget\SharedMemoryReader.dll (*** suspicious ***) @ C:\Program Files\Windows Sidebar\sidebar.exe [5824] (SharedMemoryReader/Orbmu2k)(2013-12-09 16:25:55)              0000000072840000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Widgets.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:28)        0000000072360000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Gui.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)            0000000067db0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\libGLESv2.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832](2015-02-10 21:00:30)                                                                                        00000000722a0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Core.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)           00000000679c0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\icuin52.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (ICU I18N DLL/The ICU Project)(2015-02-10 21:00:30)                                                           000000004a900000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\icuuc52.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (ICU Common DLL/The ICU Project)(2015-02-10 21:00:30)                                                         00000000040a0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\icudt52.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (ICU Data DLL/The ICU Project)(2015-02-10 21:00:30)                                                           000000004ad00000
Library  c:\users\jb\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpnjgm2z.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832](2015-03-04 11:54:51)                                       0000000003b30000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Network.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)        00000000677e0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5WebKit.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:26)         0000000061200000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Quick.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)          00000000675c0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Qml.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)            0000000060fa0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5Sql.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)            0000000072810000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\libEGL.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832](2015-02-10 21:00:30)                                                                                           0000000072800000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5WebKitWidgets.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:26)  00000000727d0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5OpenGL.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)         0000000072210000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\Qt5PrintSupport.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2015-02-10 21:00:24)   0000000069990000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832](2015-02-10 21:00:28)                                                                       00000000698b0000
Library  C:\Users\JB\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll (*** suspicious ***) @ C:\Users\JB\AppData\Roaming\Dropbox\bin\Dropbox.exe [3832](2015-02-10 21:00:28)                                                                       0000000069870000

---- Disk sectors - GMER 2.1 ----

Disk     \Device\Harddisk3\DR3                                                                                                                                                                                                                               unknown MBR code

---- EOF - GMER 2.1 ----
Geändert von JoeBec (04.03.2015 um 14:03 Uhr)

 

Themen zu Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt
aktiv, appdata, code, dateien, dll, gdata, gelöscht, gen, hängen, link, logfiles, microsoft, namen, programm, prozess, quarantäne, registry, roaming, temp, tracking, trojaner/virus, ups, ups-trojaner, virus, win7 64bit, windows, windows 7, wiso


« 7 GB Speicher auf Laufwerk C auf einen Schlag nicht mehr frei | Firefox öfnnet ständig Websiten & Avast schlägt die ganze Zeit Alarm. Infektion URL Mail »


Ähnliche Themen: Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt


  1. Hab leider einen Link in einer Email angeklickt
    Plagegeister aller Art und deren Bekämpfung - 17.08.2015 (9)
  2. Windows XP: Link in DHL-Mail angeklickt - Problem mit Antivirensoftware und MBR-Befund
    Log-Analyse und Auswertung - 29.05.2015 (23)
  3. DHL Mail Link angeklickt
    Log-Analyse und Auswertung - 27.05.2015 (18)
  4. DHL Paketankündigung fake email - leider versehentlich den Sendungsstatus link angeklickt - Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2015 (38)
  5. Link angeklickt DHL
    Plagegeister aller Art und deren Bekämpfung - 21.03.2015 (18)
  6. Windows 7: Verdächtiger Link in E-Mail angeklickt - Spybot Warnung
    Plagegeister aller Art und deren Bekämpfung - 15.03.2015 (15)
  7. DHL Fake Email - Phishing Link leider angeklickt
    Plagegeister aller Art und deren Bekämpfung - 08.03.2015 (5)
  8. DHL Mail bekommen und den Link angeklickt / geöffnet :(
    Log-Analyse und Auswertung - 05.03.2015 (13)
  9. DHL Fake Email - Phishing Link leider angeklickt
    Plagegeister aller Art und deren Bekämpfung - 28.02.2015 (8)
  10. Windows 7: Telekom.de - PhishingMail Link angeklickt
    Log-Analyse und Auswertung - 04.06.2014 (15)
  11. Windows 7: Amazon Phishing-Mail Link angeklickt
    Log-Analyse und Auswertung - 16.02.2014 (11)
  12. Windows 7 (64bit): Paypal Phishingmail -Link angeklickt - Rechner verseucht?
    Log-Analyse und Auswertung - 08.12.2013 (9)
  13. Schädlichen Link angeklickt.
    Log-Analyse und Auswertung - 26.04.2013 (25)
  14. Ich habe leider ein Trojaner (wieder -.-) bekommen!
    Log-Analyse und Auswertung - 11.09.2012 (1)
  15. Habe per Windows Live Messenger einen Virus geschickt bekommen und ihn leider aktiviert...
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (0)
  16. Link über ICQ geschickt bekommen und natürlich angeklickt und an alle verschickt
    Log-Analyse und Auswertung - 21.04.2010 (39)
  17. Per ICQ geschickter Link, leider angeklickt. Jetzt Viren.(?)
    Log-Analyse und Auswertung - 22.02.2007 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt - Hallo, ich habe heute eine UPS-Paketankündigungsmail erhalten und (leider) auf den Link bzw. die angezeigte Paketnummer geklickt. Dabei wurde letztendlich eine exe-Datei ausgeführt... Auch wenn GData mir einen Virus meldete - Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt...
Archiv
Du betrachtest: Windows 7: UPS Paketankündigungsmail bekommen und (leider) Link angeklickt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131