Hallo
Ich hab mir einen hartnäckige Malware auf einer website eingefangen
(ich weiß leider nicht mehr welche) und brauche dringend eure Hilfe.
Meine google-Suche war bisher erfolglos.

1.) Als erstes bekommt man von der Malware einen englischen Hinweis,
dass man verseucht wurde:
Oben auf der google-Suchseite erscheint ein roter Warnhinweis
(und dazu natürlich der Link, wo man sich dagenen "schützen" kann).
Auf dem Desktop sind außerdem alle Icons blau hinterlegt.

2.) Ein Durchlauf mit Malwarebytes gibt 11 infizierte Objekte.
(log-Datei siehe unten)
Dazu die Meldung:
Bestimmte Objekte konnten nicht entfernt werden! ....

3.) Nach dem Neustart verlangt Windows XP (ich hab die Original-Home Edition) plötzlich eine Anmeldung mit Kennwort-Eingabe
(man kommt aber auch ohne erneute Kennwort-Eingabe weiter).
Ein Blick auf den Desktop und man sieht das Problem.
Alles Icons wieder blau hinterlegt.

Malwarebytes nochmal gestartet und dasselbe wie vorher.
Wieder die gleichen infizierten Objekte.

Stinger angelklickt, aber den will er nicht starten
('stinger may be infected, cannot continue')
Auch ein erneutes downloaden und Umbennen von stinger hilft nicht.

Ebenso kann ich keine anderen downgeloadeten Anti-Virus Programme starten.
Beispiel: Antivir
Beim Installieren kommt die Fehler-Meldung:
Die CRC-Summe von COKUME~1\.... wurde verändert!
Dies könnte von einem Virus verursacht worden sein.

Ein Blick in den Task-Manager offenbart einige Prozesse, die sonst nicht da sind.
Beispiel: lsass.exe
Problem: Ich kann den Prozess nicht beenden.

Fazit:
Ich bin mit meinem Latein am Ende.
Bitte helft mir.


Log-Datei:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1815
Windows 5.1.2600 Service Pack 3

05.03.2009 12:11:16
mbam-log-2009-03-05 (12-11-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 157600
Laufzeit: 31 minute(s), 27 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\WINDOWS\services.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\System Volume Information\_restore{DD9BA350-2600-4892-AF3E-4D8505846297}\RP105\A0030404.exe (Adware.Shopper) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

Hallo holzinator,

die "lsass"-Datei bitte in Ruhe lassen - gehört zu Windows.

Lade Dir bitte Gmer runter und führe es aus:
Entpacken -> Starten -> auf Scan klicken -> Warten -> Logfile posten.

Grüße
a5cl3p1o5

Hallo a5cl3p1o5,

Gmer Logfile sagt mir:
GMER has found system modification caused by ROOTKIT activity

(Ach ja und noch was nebenbei - Systemwiederherstellung ging auch nicht mehr)


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-05 17:49:24
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

Code 8A43D4D0 pIofCallDriver

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[152] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[152] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[152] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[152] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[152] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\nvsvc32.exe[200] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\nvsvc32.exe[200] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\nvsvc32.exe[200] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\nvsvc32.exe[200] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\nvsvc32.exe[200] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[296] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[296] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[296] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[296] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[296] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\System32\svchost.exe[476] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
.text C:\WINDOWS\System32\svchost.exe[476] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\svchost.exe[476] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\svchost.exe[476] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\svchost.exe[476] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\svchost.exe[476] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[484] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[484] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[484] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[484] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[484] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\System32\svchost.exe[500] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
.text C:\WINDOWS\System32\svchost.exe[500] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\svchost.exe[500] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\svchost.exe[500] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\svchost.exe[500] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\svchost.exe[500] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\winlogon.exe[720] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\system32\winlogon.exe[720] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\system32\winlogon.exe[720] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\system32\winlogon.exe[720] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\system32\winlogon.exe[720] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\System32\svchost.exe[772] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
.text C:\WINDOWS\System32\svchost.exe[772] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\svchost.exe[772] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\svchost.exe[772] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\svchost.exe[772] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\svchost.exe[772] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\WINDOWS\system32\svchost.exe[956] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[956] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[956] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[956] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[956] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[1004] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1004] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1004] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1004] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1004] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[1292] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1292] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1292] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1292] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1292] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.reloc C:\WINDOWS\Explorer.EXE[1692] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x8800, 0xE2000060]
.reloc C:\WINDOWS\Explorer.EXE[1692] C:\WINDOWS\Explorer.EXE entry point in ".reloc" section [0x01102697]
.text C:\WINDOWS\Explorer.EXE[1692] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\Explorer.EXE[1692] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\Explorer.EXE[1692] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\Explorer.EXE[1692] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\Explorer.EXE[1692] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[2012] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[2012] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[2012] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[2012] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[2012] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\System32\svchost.exe[2468] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dll
.text C:\WINDOWS\System32\svchost.exe[2468] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\svchost.exe[2468] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\svchost.exe[2468] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\svchost.exe[2468] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\svchost.exe[2468] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\TEMP\BN1.tmp[2476] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\TEMP\BN1.tmp[2476] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\TEMP\BN1.tmp[2476] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\TEMP\BN1.tmp[2476] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\TEMP\BN1.tmp[2476] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[3464] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[3464] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[3464] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[3464] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[3464] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Internet Explorer\iexplore.exe[4336] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Internet Explorer\iexplore.exe[4336] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Internet Explorer\iexplore.exe[4336] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Internet Explorer\iexplore.exe[4336] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Internet Explorer\iexplore.exe[4336] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\System32\svchost.exe[8196] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dll
.text C:\WINDOWS\System32\svchost.exe[8196] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\svchost.exe[8196] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\svchost.exe[8196] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\svchost.exe[8196] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\svchost.exe[8196] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Internet Explorer\iexplore.exe[8700] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Internet Explorer\iexplore.exe[8700] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Internet Explorer\iexplore.exe[8700] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Internet Explorer\iexplore.exe[8700] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Internet Explorer\iexplore.exe[8700] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Windows NT\Zubehör\wordpad.exe[10092] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Windows NT\Zubehör\wordpad.exe[10092] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Windows NT\Zubehör\wordpad.exe[10092] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Windows NT\Zubehör\wordpad.exe[10092] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Windows NT\Zubehör\wordpad.exe[10092] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[13244] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[13244] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[13244] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[13244] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[13244] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Internet Explorer\iexplore.exe[13980] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Internet Explorer\iexplore.exe[13980] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Internet Explorer\iexplore.exe[13980] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Internet Explorer\iexplore.exe[13980] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Internet Explorer\iexplore.exe[13980] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\System32\reader_s.exe[14036] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\System32\reader_s.exe[14036] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\System32\reader_s.exe[14036] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\System32\reader_s.exe[14036] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\System32\reader_s.exe[14036] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[14300] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[14300] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[14300] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[14300] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[14300] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8

GMER log - Teil 2

.text C:\WINDOWS\system32\cmd.exe[14832] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\cmd.exe[14832] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\cmd.exe[14832] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\cmd.exe[14832] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\cmd.exe[14832] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
? C:\WINDOWS\services.exe[14868] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: DNSAPI.dll
.text C:\WINDOWS\services.exe[14868] services.exe 00FD1221 13 Bytes [ FF, 75, F8, FF, 75, FC, FF, ... ]
.text C:\WINDOWS\services.exe[14868] services.exe 00FD122F 37 Bytes [ 68, C9, 6B, FD, 00, FF, 75, ... ]
.text C:\WINDOWS\services.exe[14868] services.exe 00FD1255 33 Bytes [ 8D, 45, E4, 50, FF, 15, 28, ... ]
.text C:\WINDOWS\services.exe[14868] services.exe 00FD1277 12 Bytes [ FF, 50, FF, 15, E0, 60, FD, ... ]
.text C:\WINDOWS\services.exe[14868] services.exe 00FD1284 27 Bytes [ FF, 50, FF, 35, 14, 84, FD, ... ]
.text ...
.reloc C:\WINDOWS\services.exe[14868] C:\WINDOWS\services.exe section is executable [0x00FDF000, 0x5400, 0xE2000060]
.reloc C:\WINDOWS\services.exe[14868] C:\WINDOWS\services.exe entry point in ".reloc" section [0x00FDF65C]
.text C:\WINDOWS\services.exe[14868] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\services.exe[14868] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\services.exe[14868] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\services.exe[14868] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\services.exe[14868] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\_ VIRUS\gmer.exe[17060] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\_ VIRUS\gmer.exe[17060] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 028001C7
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 9FE90043
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 5600017E
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00430280] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 017E91E8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 7EC3E856
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 018569E8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 01B7E3E8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 60E8F075
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8C06C70C
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E8004302
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001DD8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 95E8C68B
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C20001B8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 028C06C7
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] EEE80043
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000022
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] F3E95ECE
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 72102479
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 10418B04
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 10418DC3
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] F18B56C3
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] FFFFCDE8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 07740108
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 7E0FE856
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 9801C700
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] E9004302
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFFFAE
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] C7F18B56
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 43029806
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] FFA0E800
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 74010824
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] E2E85607
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 5900017D
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 046A0004
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 42DBD9B8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] B73AE800
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8BF07589
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 00017D2A
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 570CC783
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] C70C4E8D
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 43028C06
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 1D2AE800
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] C68B0000
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 01B7E7E8
IAT C:\WINDOWS\System32\svchost.exe[476] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 0004C200
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 028001C7
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 9FE90043
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 5600017E
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00430280] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 017E91E8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 7EC3E856
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 018569E8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 01B7E3E8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 60E8F075
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8C06C70C
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E8004302
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001DD8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 95E8C68B
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C20001B8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 028C06C7
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] EEE80043
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000022
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] F3E95ECE
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 72102479
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 10418B04
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 10418DC3
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] F18B56C3
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] FFFFCDE8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 07740108
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 7E0FE856
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 9801C700
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] E9004302
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFFFAE
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] C7F18B56
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 43029806
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] FFA0E800
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 74010824
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] E2E85607
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 5900017D
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 046A0004
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 42DBD9B8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] B73AE800
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8BF07589
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 00017D2A
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 570CC783
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] C70C4E8D
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 43028C06
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 1D2AE800
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] C68B0000
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 01B7E7E8
IAT C:\WINDOWS\System32\svchost.exe[500] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 0004C200
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 028001C7
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 9FE90043
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 5600017E
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00430280] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)

GMER log - Teil 3

IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 017E91E8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 7EC3E856
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 018569E8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 01B7E3E8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 60E8F075
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8C06C70C
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E8004302
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001DD8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 95E8C68B
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C20001B8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 028C06C7
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] EEE80043
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000022
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] F3E95ECE
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 8300017D
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 72102479
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 10418B04
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 10418DC3
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] F18B56C3
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] FFFFCDE8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 07740108
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 7E0FE856
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 9801C700
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] E9004302
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFFFAE
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] C7F18B56
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 43029806
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] FFA0E800
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 74010824
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] E2E85607
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 5900017D
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 046A0004
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 42DBD9B8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] B73AE800
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8BF07589
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 00017D2A
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 570CC783
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] C70C4E8D
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 43028C06
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 1D2AE800
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] C68B0000
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 01B7E7E8
IAT C:\WINDOWS\System32\svchost.exe[772] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 0004C200
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [77DAE9E4] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] [77DA6A9F] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] [77DA6FEF] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] [77DAD757] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [77DB5196] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] [77DB4312] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] [77DA7AAB] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] [77DAEAD7] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] [77DB4280] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] [77DA6C17] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] [77DA7842] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 00000000
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] [7C80D2F2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] [7C809AE1] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] [7C812F06] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] [7C813123] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] [7C80DE85] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] [7C801E1A] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] [7C80B55F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] [7C812FC9] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] [7C8449FD] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] [7C8097D0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] [7C80B731] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] [7C80BA61] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] [7C93ABA5] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] [7C838E00] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] [7C80CD38] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] [7C838A24] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [7C80A520] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] [7C81CAFA] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] [7C80BE91] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] [7C8101A1] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] [7C812FAD] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] [7C81126A] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] [7C802530] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] [7C8106C7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] [7C80A0CB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] [7C83089D] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] [7C80E9CF] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] [7C802446] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] [7C809BD7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] [7C80EAAB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] [7C9110E0] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] [7C911000] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] [7C809F81] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [7C80A0A7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [7C80981E] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [7C834D59] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] [7C830D64] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] [7C80932E] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [7C80A864] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] [7C80BB31] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] [7C809832] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] [7C814B82] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] [7C83290F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] [7C863AA9] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] [7C802213] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] [7C809B02] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [7C8021D0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] [7C839725] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] [7C80236B] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] [7C8024B7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] [7C801812] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)

GMER log - Teil 4

IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] [7C810B07] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] [7C801A28] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] [7C810E17] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [7C8107F0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] [7C810FC2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] [7C830779] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] [7C80A164] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [7C809A99] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] [7C809C88] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] [7C812A99] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[2468] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] [7C80AA5C] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [77DAE9E4] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] [77DA6A9F] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] [77DA6FEF] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] [77DAD757] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [77DB5196] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] [77DB4312] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] [77DA7AAB] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] [77DAEAD7] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] [77DB4280] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] [77DA6C17] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] [77DA7842] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 00000000
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] [7C80D2F2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] [7C809AE1] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] [7C812F06] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] [7C813123] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] [7C80DE85] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] [7C801E1A] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] [7C80B55F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] [7C812FC9] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] [7C8449FD] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] [7C8097D0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] [7C80B731] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] [7C80BA61] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] [7C93ABA5] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] [7C838E00] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] [7C80CD38] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] [7C838A24] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [7C80A520] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] [7C81CAFA] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] [7C80BE91] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] [7C8101A1] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] [7C812FAD] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] [7C81126A] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] [7C802530] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] [7C8106C7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] [7C80A0CB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] [7C83089D] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] [7C80E9CF] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] [7C802446] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] [7C809BD7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] [7C80EAAB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] [7C9110E0] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] [7C911000] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] [7C809F81] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [7C80A0A7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [7C80981E] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [7C834D59] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] [7C830D64] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] [7C80932E] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [7C80A864] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] [7C80BB31] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] [7C809832] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] [7C814B82] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] [7C83290F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] [7C863AA9] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] [7C802213] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] [7C809B02] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [7C8021D0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] [7C839725] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] [7C80236B] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] [7C8024B7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] [7C801812] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] [7C810B07] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] [7C801A28] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] [7C810E17] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [7C8107F0] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] [7C810FC2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] [7C830779] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] [7C80A164] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [7C809A99] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] [7C809C88] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] [7C812A99] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[8196] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] [7C80AA5C] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

Device \Driver\NDIS \Device\Ndis [8A3A5984] NDIS.sys[.reloc]
Device \Driver\Tcpip \Device\Ip 89023ED9
Device \Driver\Tcpip \Device\Tcp 89023ED9
Device \Driver\Tcpip \Device\Udp 89023ED9
Device \Driver\Tcpip \Device\RawIp 89023ED9
Device \Driver\Tcpip \Device\IPMULTICAST 89023ED9

---- Threads - GMER 1.0.14 ----

Thread 4:604 8902578E
Thread 4:608 8902578E
Thread 4:612 8902578E
Thread 4:616 8902578E
Thread 4:620 8902578E

GMER log - letzter Teil - hier kommt was Interessantes glaub ich (dort war rote Schrift)

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSserv.sys (*** hidden ***) [SYSTEM] TDSSserv <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

---- Files - GMER 1.0.14 ----

File C:\WINDOWS\$NtServicePackUninstall$\ndis.sys (size mismatch) 182912/0 bytes executable

---- EOF - GMER 1.0.14 ----

-------------------------------------------------------

ich hoffe du kannst was damit anfangen...

GMER screenshots

Hallo holzinator,

Nun die Systemwiederherstellung löschen (die Viren werden dort mitgspeichert). Eine Anleitung findest Du hier:
http://www.a5cl3p1o5.kilu.de/2009/02/25/virus-unter-csystem-volume-information

Lade Dir Avenger runter, führe es aus und gebe in das Feld folgenden Code ein.

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
C:\WINDOWS\system32\drivers\TDSSserv.sys
         

Dann <Execute> drücken, Computer neu starten, Malwarebytes nochmal runterladen und laufen lassen -> Logfile posten

Grüße
a5cl3p1o5

Hallo a5cl3p1o5,

hab alle Anweisungen befolgt.
Virus ist immer noch da,
aber die log-Liste ist etwas kürzer geworden.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-05 20:32:19
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 8A4DF4D0 pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

? aoutj.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\_ VIRUS\gmer.exe[180] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\_ VIRUS\gmer.exe[180] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[256] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[256] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[256] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[256] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[256] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[324] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[324] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[324] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[324] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[324] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\nvsvc32.exe[412] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\nvsvc32.exe[412] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\nvsvc32.exe[412] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\nvsvc32.exe[412] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\nvsvc32.exe[412] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[468] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\system32\winlogon.exe[724] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\services.exe[768] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\system32\lsass.exe[784] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[924] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[924] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[924] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[924] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe[924] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1008] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\System32\svchost.exe[1108] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FF93E1B
.text C:\WINDOWS\System32\svchost.exe[1108] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FF93EAA
.text C:\WINDOWS\System32\svchost.exe[1108] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FF93EB7
.text C:\WINDOWS\System32\svchost.exe[1108] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FF93EA0
.text C:\WINDOWS\System32\svchost.exe[1108] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FF93EF8
.text C:\WINDOWS\system32\svchost.exe[1220] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1220] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1220] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1220] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1220] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.text C:\WINDOWS\system32\svchost.exe[1296] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\system32\svchost.exe[1296] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\system32\svchost.exe[1296] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\system32\svchost.exe[1296] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\system32\svchost.exe[1296] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8
.reloc C:\WINDOWS\Explorer.EXE[1896] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x8800, 0xE2000060]
.reloc C:\WINDOWS\Explorer.EXE[1896] C:\WINDOWS\Explorer.EXE entry point in ".reloc" section [0x01102697]
.text C:\WINDOWS\Explorer.EXE[1896] ntdll.dll!NtCreateFile 7C91D090 5 Bytes CALL 7FFA3E1B
.text C:\WINDOWS\Explorer.EXE[1896] ntdll.dll!NtCreateProcess 7C91D130 5 Bytes CALL 7FFA3EAA
.text C:\WINDOWS\Explorer.EXE[1896] ntdll.dll!NtCreateProcessEx 7C91D140 5 Bytes CALL 7FFA3EB7
.text C:\WINDOWS\Explorer.EXE[1896] ntdll.dll!NtOpenFile 7C91D580 5 Bytes CALL 7FFA3EA0
.text C:\WINDOWS\Explorer.EXE[1896] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes CALL 7FFA3EF8

---- Devices - GMER 1.0.14 ----

Device \Driver\NDIS \Device\Ndis [8A343984] NDIS.sys[.reloc]
Device \Driver\Tcpip \Device\Ip 89034ED9
Device \Driver\Tcpip \Device\Tcp 89034ED9
Device \Driver\Tcpip \Device\Udp 89034ED9
Device \Driver\Tcpip \Device\RawIp 89034ED9
Device \Driver\Tcpip \Device\IPMULTICAST 89034ED9

---- Threads - GMER 1.0.14 ----

Thread 4:608 8903678E
Thread 4:612 8903678E
Thread 4:616 8903678E
Thread 4:620 8903678E
Thread 4:624 8903678E

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

---- Files - GMER 1.0.14 ----

File C:\WINDOWS\system32\wbem\Performance\WmiApRpl_new.ini 948 bytes
File C:\WINDOWS\$NtServicePackUninstall$\ndis.sys (size mismatch) 182912/0 bytes executable

---- EOF - GMER 1.0.14 ----

Ich hatte vorhin einen Fehler in meinem Text. Vermutlich hast Du schon gearbeitet, bevor ich diesen korrigiert habe.

Vorher:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\drivers\TDSSserv.sys
         

Nacher:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
C:\WINDOWS\system32\drivers\TDSSserv.sys
         

Sorry!
Oder hast Du schon "Nacher" benutzt? Uhrzeit von meiner Änderung steht unter meinem letzten Post.

Ich bin mir nicht ganz sicher, aber ich glaube ich hab 'Nachher' benutzt.
Soll ich es einfach nochmal probieren?

Ja, aber es reicht Avenger auszuführen -> Neustart -> Gmer ausführen

Wenn die Gmer-Logfile sauber ist, kannst Du anschließend Malwarebytes laufen lassen und alle Funde entfernen.

Poste bitte die Logfiles oder lade diese bei File-Upload hoch und verlinke sie dann.

Grüße
a5cl3p1o5

Zitat:

Zitat von a5cl3p1o5

Ja, aber es reicht Avenger auszuführen -> Neustart -> Gmer ausführen

Wenn die Gmer-Logfile sauber ist, kannst Du anschließend Malwarebytes laufen lassen und alle Funde entfernen.

Poste bitte die Logfiles oder lade diese bei File-Upload hoch und verlinke sie dann.

Grüße
a5cl3p1o5

Avenger bringt leider nix.
Nach der Anwendung (und dem Hochfahren) fährt der PC sofort wieder runter.
Danach ist alles wie gehabt, sogar noch schlimmer.
Denn mittllerweile fährt der Recher (immer!!) nach wenigen Minuten runter.

Hast du eine Idee was ich sonst noch machen könnte???

Ja, hab ich. Gebe mir 15-20 min Zeit.

Grüße
a5cl3p1o5