| |
| |||||||
Log-Analyse und Auswertung: win32.trojandropper.joiner und win32.trojanproxy.rankyWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.07.2009, 08:55
| #1 |
 |  win32.trojandropper.joiner und win32.trojanproxy.ranky Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr davon wohl gar nicht begeistert seid und werd mich im laufe des tages um löschung kümmern. die tage dachte ich mir dann mal, nachdem mein firefox plötzlich beim mail löschen neue tabs öffnete, mein onlinebanking nicht mehr reagierte und der rechner in meinem gefühl immer langsamer wurde das ich wohl doch noch was drauf hab und mich mal intensiver damit auseinander setzen sollte. gelöscht bzw in quarantäne hat er mir beide trojaner geworfen wobei ich jetzt im nachhinein nicht mehr sagen könnte welches programm/schritt dazu geführt hat. euer verlinktes super anti spyware meldet aktuell nichts ausser ein paar cookies. der rechner wird seit jeher brav mit CCleaner und händisch bereinigt und defragmentiert. fürs internet nutze ich ausschließlich firefox... die tage hab ich fürs mail lesen dann opera ausprobiert nachdem firefox mich so geärgert hat. achja... und mein virenproggi mcafee hat den quatsch nicht mal entdeckt  Code:
ATTFilter Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname COMPUTER-801
Systemhersteller System manufacturer
Systemmodell System Product Name
Systemtyp X86-basierter PC
Prozessor x86 Family 16 Model 2 Stepping 3 AuthenticAMD ~2606 Mhz
BIOS-Version/-Datum American Megatrends Inc. 0306, 27.08.2008
SMBIOS-Version 2.5
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername COMPUTER-801\User
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 4.096,00 MB
Verfügbarer realer Speicher 2,52 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 7,09 GB
Auslagerungsdatei C:\pagefile.sys
und hier noch hijack this: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:15:03, on 30.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\McAfee.com\Agent\mcagent.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Belkin\F1U201.401\usbshare.exe C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\PROGRA~1\McAfee\MSM\McSmtFwk.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: F1U201.401.lnk = ? O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ? O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8300 bytes ich hoffe ich hab jetzt nix vergessen. und danke schonmal fürs ansehen  |
|
30.07.2009, 12:31
| #2 |
| /// Selecta Jahrusso   |  win32.trojandropper.joiner und win32.trojanproxy.ranky Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Poste bitte alle Logfiles in Code-Tags. Klicke antworten --> # danach [code]text[/code] So sollte das dann hier aussehen nach dem antworten: Code:
ATTFilter deine Logfile
Wende bitte Malwarebytes nach Anleitung an. schritt 2
schritt 3
__________________ |
|
30.07.2009, 14:12
| #3 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky so aye aye sir... teil 1 und 2 sind fertig... teil 3 folgt gleich
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2529
Windows 5.1.2600 Service Pack 3
30.07.2009 14:55:33
mbam-log-2009-07-30 (14-55-33).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 197272
Laufzeit: 47 minute(s), 43 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by User at 2009-07-30 15:00:20 Microsoft Windows XP Professional Service Pack 3 System drive C: has 17 GB (34%) free of 50 GB Total RAM: 3327 MB (82% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:00:27, on 30.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Belkin\F1U201.401\usbshare.exe C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Dokumente und Einstellungen\User\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\User.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: F1U201.401.lnk = ? O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ? O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7641 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job C:\WINDOWS\tasks\McDefragTask.job C:\WINDOWS\tasks\McQcTask.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}] McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-01-09 246800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}] scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-03-25 62784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}] McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-01-08 645328] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-06-12 17887232] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-29 520024] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] C:\WINDOWS\ALCMTR.EXE [2009-03-02 57344] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe [2009-05-11 24064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2004-09-13 49152] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe [2007-11-26 1057064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint] C:\Programme\Microsoft IntelliPoint\ipoint.exe [2006-06-16 568096] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype] C:\Programme\Microsoft IntelliType Pro\itype.exe [2006-06-16 555816] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2009-06-17 2363392] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart] C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-02-26 2376992] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe [2007-11-26 1629480] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe /startoptions [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-06-23 1830128] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe [2004-11-04 258048] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] C:\PROGRA~1\MICROS~4\Office\OSA9.EXE [1999-04-30 65588] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart F1U201.401.lnk - C:\Programme\Belkin\F1U201.401\usbshare.exe WL-142 Wireless Network Utility.lnk - C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2009-03-16 155648] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoRun"= "NoFolderOptions"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Curse\CurseClient.exe"="C:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60431305-864e-11dd-9e88-002215860d8b}] shell\AutoRun\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe shell\verb\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe ======List of files/folders created in the last 1 months====== 2009-07-30 15:00:20 ----D---- C:\rsit 2009-07-30 14:01:01 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes 2009-07-30 14:00:55 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-07-30 14:00:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-30 09:14:50 ----D---- C:\Programme\Trend Micro 2009-07-28 12:27:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-28 12:27:22 ----D---- C:\Programme\SUPERAntiSpyware 2009-07-28 12:27:22 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2009-07-27 13:59:23 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera 2009-07-27 13:59:08 ----D---- C:\Programme\Opera 2009-07-26 21:16:06 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skypePM 2009-07-26 21:00:14 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Skype 2009-07-26 20:59:16 ----D---- C:\Programme\Gemeinsame Dateien\Skype 2009-07-26 20:59:11 ----RD---- C:\Programme\Skype 2009-07-26 20:59:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2009-07-24 13:18:38 ----A---- C:\WINDOWS\Iedit_.INI 2009-07-21 09:36:48 ----D---- C:\Programme\QuickTime 2009-07-21 09:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-07-21 09:36:33 ----D---- C:\Programme\Apple Software Update 2009-07-21 09:36:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2009-07-19 14:47:28 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ulead Systems 2009-07-19 13:07:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2009-07-19 13:05:29 ----D---- C:\Programme\Ulead Systems 2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\ROBOEX32.DLL 2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\INETWH32.dll 2009-07-19 13:05:26 ----D---- C:\Programme\Gemeinsame Dateien\Ulead Systems 2009-07-18 11:04:55 ----D---- C:\Programme\Engelmann Media 2009-07-18 11:04:55 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Engelmann Media 2009-07-16 09:19:58 ----A---- C:\WINDOWS\system32\iacenc.dll 2009-07-16 09:13:14 ----A---- C:\WINDOWS\IsUn0407.exe 2009-07-15 13:30:35 ----D---- C:\Programme\directx 2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\d3dx10_41.dll 2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll 2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAudio2_4.dll 2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll 2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\D3DX9_41.dll 2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\xactengine3_4.dll 2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll 2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\d3dx10_40.dll 2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll 2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAudio2_3.dll 2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll 2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\D3DX9_40.dll 2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll 2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\xactengine3_3.dll 2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll 2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\XAudio2_2.dll 2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\xactengine3_2.dll 2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\d3dx10_39.dll 2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll 2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAudio2_1.dll 2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll 2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\D3DX9_39.dll 2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\xactengine3_1.dll 2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll 2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\d3dx10_38.dll 2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll 2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\XAudio2_0.dll 2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\xactengine3_0.dll 2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\D3DX9_38.dll 2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll 2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\d3dx10_37.dll 2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll 2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\xactengine2_10.dll 2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\D3DX9_37.dll 2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx9_36.dll 2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx10_36.dll 2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll 2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\xactengine2_9.dll 2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\d3dx10_35.dll 2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll 2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\xactengine2_8.dll 2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll 2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\d3dx9_35.dll 2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\d3dx10_34.dll 2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll 2009-07-15 13:04:35 ----A---- C:\WINDOWS\system32\d3dx9_34.dll 2009-07-15 13:03:33 ----D---- C:\WINDOWS\Logs 2009-07-15 11:02:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-07-15 11:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-07-15 11:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2009-07-15 10:45:02 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-10 13:16:42 ----A---- C:\WINDOWS\system32\HDX4ImageProcessor.dll |
|
30.07.2009, 14:13
| #4 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky hier der rest vom (ich glaub es war log.txt) Code:
ATTFilter ======List of files/folders modified in the last 1 months======
2009-07-30 15:00:13 ----D---- C:\WINDOWS\Prefetch
2009-07-30 14:59:48 ----D---- C:\WINDOWS\Temp
2009-07-30 14:57:45 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-30 14:06:51 ----D---- C:\WINDOWS\system32
2009-07-30 14:06:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-30 14:03:46 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 14:00:57 ----D---- C:\WINDOWS\system32\drivers
2009-07-30 14:00:55 ----RD---- C:\Programme
2009-07-30 09:49:33 ----SHD---- C:\WINDOWS\Installer
2009-07-30 09:49:28 ----D---- C:\Programme\GfK Internet-Monitor 2.0
2009-07-29 20:11:00 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\teamspeak2
2009-07-29 16:08:35 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-29 16:05:24 ----D---- C:\WINDOWS
2009-07-29 12:34:56 ----D---- C:\WINDOWS\inf
2009-07-29 12:34:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-29 12:34:47 ----D---- C:\WINDOWS\system32\de-de
2009-07-29 12:34:47 ----D---- C:\Programme\Internet Explorer
2009-07-29 12:34:33 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-29 11:18:34 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla
2009-07-28 15:57:14 ----AH---- C:\boot.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\win.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\system.ini
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-25 19:50:24 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Corel
2009-07-19 20:33:20 ----D---- C:\Programme\ICQ6.5
2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 13:07:45 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-19 13:05:26 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-19 13:05:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-19 13:05:25 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-18 23:06:27 ----D---- C:\Programme\World of Warcraft
2009-07-18 13:06:05 ----D---- C:\Programme\Gemeinsame Dateien\LightScribe
2009-07-15 19:44:21 ----D---- C:\Programme\WinRAR
2009-07-15 14:24:24 ----D---- C:\Programme\Easy CD-DA Extractor 11
2009-07-15 14:24:18 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-15 14:23:02 ----D---- C:\WINDOWS\WinSxS
2009-07-15 14:22:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 14:19:44 ----D---- C:\Programme\Windows Live
2009-07-15 14:19:24 ----RSD---- C:\WINDOWS\assembly
2009-07-15 14:17:20 ----D---- C:\Programme\XP-Clean Express
2009-07-15 14:16:49 ----AC---- C:\WINDOWS\system32\polynet.dll
2009-07-15 14:15:25 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Move Networks
2009-07-15 13:04:51 ----D---- C:\WINDOWS\system32\DirectX
2009-07-15 11:10:34 ----D---- C:\WINDOWS\Debug
2009-07-10 17:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-07-10 17:38:48 ----D---- C:\Programme\McAfee
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-04 10:51:44 ----D---- C:\WINDOWS\system32\ReinstallBackups
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2007-11-26 36776]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2007-11-26 38440]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-03-25 214024]
R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2008-10-23 120136]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2005-03-01 15781]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-03-16 3597312]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-05-20 93696]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-07-15 51120]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-07-15 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-07-15 21744]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-06-16 5095936]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-03-25 79880]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-03-25 35272]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]
R3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2006-06-02 21760]
R3 sitwl142;Sitecom WL-142 Driver; C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2005-03-01 344032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2007-11-26 118952]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-03-25 34216]
S3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-03-25 40552]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 optousb;OPTO ELECTRONICS optousb; C:\WINDOWS\system32\DRIVERS\optousb.sys [2008-04-04 18432]
S3 optovcm;OPTO ELECTRONICS optovcm; C:\WINDOWS\system32\DRIVERS\optovcm.sys [2008-04-04 26368]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 se45bus;Sony Ericsson Device 069 driver (WDM); C:\WINDOWS\system32\DRIVERS\se45bus.sys [2006-11-30 61536]
S3 se45mdfl;Sony Ericsson Device 069 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se45mdfl.sys [2006-11-30 9360]
S3 se45mdm;Sony Ericsson Device 069 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se45mdm.sys [2006-11-30 97088]
S3 se45mgmt;Sony Ericsson Device 069 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se45mgmt.sys [2006-11-30 88624]
S3 se45nd5;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (NDIS); C:\WINDOWS\system32\DRIVERS\se45nd5.sys [2006-11-30 18704]
S3 se45obex;Sony Ericsson Device 069 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se45obex.sys [2006-11-30 86432]
S3 se45unic;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (WDM); C:\WINDOWS\system32\DRIVERS\se45unic.sys [2006-11-30 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-04-29 288896]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-03-16 602112]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2007-11-26 1554728]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-29 1029456]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-06-17 73728]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-02-11 210216]
R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-01-08 797864]
R2 McNASvc;McAfee Network Agent; c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe [2009-01-09 2482848]
R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-01-09 359952]
R2 McShield;McAfee Real-time Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [2009-03-25 144704]
R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-03-19 884360]
R2 MSK80Service;McAfee Anti-Spam Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-01-09 26640]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-03-17 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MBackMonitor;MBackMonitor; C:\Programme\McAfee\MBK\MBackMonitor.exe [2009-01-09 68112]
S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-04-01 365072]
S3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-03-24 606736]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ServiceLayer;ServiceLayer; D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-03-04 621056]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
-----------------EOF-----------------
|
|
30.07.2009, 14:14
| #5 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky und jetzt noch die info.txt Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-07-30 15:00:29
======Uninstall list======
-->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2x1/4x1 USB Peripheral Switch-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A3752427-9AAA-4B1C-B428-01723E0E9FFA}\SETUP.EXE"
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ASUSUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
Canon Camera Access Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon EOS 5D WIA-Treiber-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BB3AB664-D92B-4CB5-8B3E-D841841F4E68} /l1031
CANON iMAGE GATEWAY Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon RAW Image Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities CameraWindow-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities Digital Photo Professional 3.4-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Digital Photo Professional\Uninst.ini"
Canon Utilities EOS Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities Original Data Security Tools-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Original Data Security Tools\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities Picture Style Editor-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Picture Style Editor\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities WFT-E1/E2/E3 Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\WFT Utility\Uninst.ini"
Canon Utilities ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Corel Paint Shop Pro Photo XI-->MsiExec.exe /X{E1C7EF5E-3A7B-4ED4-A48B-F70F1B36EAB4}
Curse Client-->C:\Programme\Curse\uninstall.exe
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Fotostory 3 für Windows-->MsiExec.exe /I{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}
Free Audio Dub version 1.4-->"C:\Programme\DVDVideoSoft\Free Audio Dub\unins000.exe"
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Image Zone Express-->MsiExec.exe /X{85BCA736-A0F4-448E-9BC1-6EA08693E10B}
HP PSC & OfficeJet 4.7-->"C:\Programme\HP\Digital Imaging\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzscr01.exe" -datfile hposcr05.dat
HP Software Update-->MsiExec.exe /X{64FC0C98-B035-4530-B15D-3D30610B6DF1}
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LightScribe System Software-->MsiExec.exe /X{82EF29B1-9B60-4142-A155-0599216DD053}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
MediaMonkey 3.0-->"C:\Programme\MediaMonkey\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
MobMap 3.20-->"C:\Programme\MobMapUpdater\unins000.exe"
Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MRUClear 1.6-->MsiExec.exe /X{101DFCB2-9734-455B-8BDE-E4AB02ED90FC}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials-->MsiExec.exe /X{1596098A-FCEC-48F0-B7C7-08A31B771031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /I{82427977-8776-4087-90CA-9F65174D3C4D}
Nokia Flashing Cable Driver-->MsiExec.exe /X{A4E0CA0F-1903-440A-9B98-FEA6CB049999}
Nokia Music-->MsiExec.exe /I{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}
Nokia Ovi Application Installer 6.85.3011-->msiexec /qn /x {42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Application Installer-->MsiExec.exe /I{42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Content Copier 6.85.3011-->msiexec /qn /x {6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi Content Copier-->MsiExec.exe /X{6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi One Touch Access 6.85.3011-->msiexec /qn /x {4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi One Touch Access-->MsiExec.exe /I{4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi Suite-->MsiExec.exe /I{B5264B25-8908-49BB-A708-5A70DFBF8094}
Nokia Ovi System Utilities 6.85.3016-->msiexec /qn /x {FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Ovi System Utilities-->MsiExec.exe /X{FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Photos-->MsiExec.exe /I{D3656CE3-0F62-447F-AEF3-9BF29B6197D9}
Nokia Software Updater-->MsiExec.exe /X{7169FA93-66C2-43BD-86E0-CD332A686B29}
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Panel Client 3.2-->"C:\Programme\Panel Client\unins000.exe"
PC Connectivity Solution-->MsiExec.exe /I{B7CB0BF3-791E-44D3-9F04-786E36D51C9D}
PC Probe II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x7
Photomizer-->MsiExec.exe /X{A00F8237-F496-44D2-0001-E3CCF8CD58AE}
PokerStars-->"C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shape Collage-->C:\Programme\Shape Collage\uninstall.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Driver Package - OPTO ELECTRONICS CO.,LTD (optousb) Ports (06/02/2008 2.0.5.5)-->C:\PROGRA~1\DIFX\7F01D4C0B2897E27\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\optousb_B4BF16D6AA4E4280B2969769E5DD04B1DF3D9CAD\optousb.inf
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WL-142 Wireless Network Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20278679-B213-495B-B20D-4DC4856401C6}\Setup.exe" -l0x9
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
======Security center information======
AV: McAfee VirusScan
FW: McAfee Personal Firewall
======System event log======
Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".
Record Number: 13797
Source Name: Service Control Manager
Time Written: 20090624100243.000000+120
Event Type: Informationen
User:
Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".
Record Number: 13796
Source Name: Service Control Manager
Time Written: 20090624100240.000000+120
Event Type: Informationen
User:
Computer Name: COMPUTER-801
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.
Record Number: 13795
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 13794
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User:
Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 13793
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User:
=====Application event log=====
Computer Name: COMPUTER-801
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.
Record Number: 4562
Source Name: LoadPerf
Time Written: 20090430191219.000000+120
Event Type: Informationen
User:
Computer Name: COMPUTER-801
Event Code: 4099
Message: Dienst konnte nicht geöffnet werden.
Record Number: 4561
Source Name: WmiAdapter
Time Written: 20090430190841.000000+120
Event Type: Fehler
User: VORDEFINIERT\Administratoren
Computer Name: COMPUTER-801
Event Code: 5000
Message: McShield-Dienst gestartet.
Modulversion: 5301.4018
DAT-Version: 5600.0000
Anzahl an Signaturen in EXTRA.DAT: None
Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None
Record Number: 4560
Source Name: McLogEvent
Time Written: 20090430190839.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: COMPUTER-801
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 4559
Source Name: SecurityCenter
Time Written: 20090430190819.000000+120
Event Type: Informationen
User:
Computer Name: COMPUTER-801
Event Code: 0
Message:
Record Number: 4558
Source Name: McAfee SiteAdvisor Service
Time Written: 20090430190811.000000+120
Event Type: Informationen
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=D:\Programme\Nokia\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
|
|
30.07.2009, 15:43
| #6 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky so und hier nun der letzte teilCode:
ATTFilter GMER 1.0.15.15011 [301nj19s.exe] - http://www.gmer.net
Rootkit scan 2009-07-30 16:35:17
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF74F787E]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF74F7BFE]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xEEA534EA]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0xEEA53498]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcessEx [0xEEA534AC]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xEEA5352A]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenProcess [0xEEA53470]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenThread [0xEEA53484]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xEEA534FE]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xEEA534D6]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xEEA534C2]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwTerminateProcess [0xEEA53559]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xEEA53540]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xEEA53514]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenProcess
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenThread
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwYieldExecution 80504AE8 7 Bytes JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtCreateFile 80579084 5 Bytes JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtMapViewOfSection 805B2006 7 Bytes JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwUnmapViewOfSection 805B2E14 5 Bytes JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwProtectVirtualMemory 805B83E6 7 Bytes JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtOpenProcess 805CB408 5 Bytes JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtOpenThread 805CB694 5 Bytes JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtSetInformationProcess 805CDE52 5 Bytes JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1142 7 Bytes JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateProcess 805D11F8 5 Bytes JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwSetContextThread 805D1702 5 Bytes JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwTerminateProcess 805D29AA 5 Bytes JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CE0000
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00CE0073
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00CE0F7E
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00CE0062
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00CE0051
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00CE0FC0
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00CE00C6
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00CE009F
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CE0F3E
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00CE00E1
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00CE00F2
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00CE0FAF
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CE0011
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00CE0084
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00CE002C
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00CE0FDB
.text C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00CE0F63
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CD0FCA
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CD0F94
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CD001B
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CD0FE5
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CD0FAF
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CD0000
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00CD0051
.text C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CD002C
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CC0F9C
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CC0FB7
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CC001D
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CC0FEF
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CC0FD2
.text C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CC000C
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 0007000A
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00070F83
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00070F9E
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00070FB9
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00070076
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00070040
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 0007009D
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00070F55
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00070F1F
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00070F44
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00070F0E
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0007005B
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00070FE5
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00070F72
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00070FD4
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0007001B
.text C:\WINDOWS\system32\services.exe[640] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 000700B8
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00060036
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00060087
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00060025
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00060FEF
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00060FCA
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 0006000A
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0006006C
.text C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00060047
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0005002C
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00050F97
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00050FC3
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00050FEF
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00050FA8
.text C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00050FDE
.text C:\WINDOWS\system32\services.exe[640] WS2_32.dll!socket 71A14211 5 Bytes JMP 00040FEF
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00F4000A
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00F40F7C
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00F40F8D
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00F40FA8
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00F40FC3
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00F40FE5
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00F40F3A
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00F40F61
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F400B8
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F4009D
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00F400C9
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00F40FD4
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00F40025
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00F4008C
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00F40047
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00F40036
.text C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00F40F1F
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00F3001B
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00F3006C
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00F30000
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00F30FD4
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00F30051
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00F30FEF
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00F30036
.text C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00F30FAF
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00F2003D
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00F20FB2
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00F20022
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00F20000
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00F20FCD
.text C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00F20011
.text C:\WINDOWS\system32\lsass.exe[652] WS2_32.dll!socket 71A14211 5 Bytes JMP 00E40000
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CB0FEF
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00CB0F97
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00CB0FA8
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00CB0076
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00CB005B
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00CB002F
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00CB0F5F
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00CB00A7
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CB0F33
.text C:\WINDOWS\system32\svchost.exe[836]
|
|
30.07.2009, 15:45
| #7 |
| | win32.trojandropper.joiner und win32.trojanproxy.rankyCode:
ATTFilter kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00CB00C2
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00CB0F22
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00CB004A
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CB000A
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00CB0F86
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00CB0FC3
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00CB0FD4
.text C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00CB0F44
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CA0022
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CA0047
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CA0011
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CA0000
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CA0F80
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CA0FEF
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00CA0F9B
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [ED, 88]
.text C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CA0FAC
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00C90FC6
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00C90047
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00C90011
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00C90000
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00C90036
.text C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00C90FD7
.text C:\WINDOWS\system32\svchost.exe[836] WS2_32.dll!socket 71A14211 5 Bytes JMP 00C80000
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CC0FEF
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00CC0F7E
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00CC0073
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00CC0062
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00CC0051
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00CC0FC0
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00CC009A
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00CC0F48
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CC0F2D
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00CC00C6
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00CC0F12
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00CC0FAF
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CC000A
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00CC0F63
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00CC002C
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00CC001B
.text C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00CC00B5
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CB0FB2
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CB0F86
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CB0FCD
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CB0FDE
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CB0FA1
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CB0FEF
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00CB0039
.text C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CB0028
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CA0FAB
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CA0FBC
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CA001B
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CA0FEF
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CA002C
.text C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CA0000
.text C:\WINDOWS\system32\svchost.exe[904] WS2_32.dll!socket 71A14211 5 Bytes JMP 00C90000
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02DC0000
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 02DC0076
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 02DC0F8B
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02DC0F9C
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 02DC0065
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02DC0040
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 02DC0F2E
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02DC0F3F
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 02DC0098
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02DC0087
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 02DC00BD
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 02DC0FC3
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02DC0FE5
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 02DC0F66
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 02DC002F
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 02DC0FD4
.text C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 02DC0F13
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 02DB0025
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02DB0FA5
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02DB0FD4
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02DB0FEF
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 02DB0062
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 02DB000A
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 02DB0047
.text C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 02DB0036
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 02CA0FB2
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!system 77BF93C7 5 Bytes JMP 02CA003D
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 02CA0011
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_open 77BFF566 5 Bytes JMP 02CA0000
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 02CA002C
.text C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 02CA0FD7
.text C:\WINDOWS\System32\svchost.exe[952] WS2_32.dll!socket 71A14211 5 Bytes JMP 02C90FEF
.text C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 02C80FEF
.text C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 02C80FD4
.text C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 02C8000A
.text C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 02C8002F
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00650000
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00650F92
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00650087
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00650FAD
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00650076
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00650FCA
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 006500A2
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00650F5A
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 006500DF
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 006500CE
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00650F2B
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00650051
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 0065001B
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00650F77
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00650FE5
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0065002C
.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 006500BD
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00640FDE
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00640080
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00640025
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00640FEF
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0064006F
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00640000
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00640FC3
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [87, 88]
.text C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 0064004A
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00630049
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00630038
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0063001D
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00630FEF
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00630FD2
.text C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0063000C
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 007B0FEF
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 007B0F8A
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 007B007F
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 007B0064
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 007B0047
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 007B0FB9
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 007B0F4B
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 007B0F68
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007B00B8
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 007B0F1F
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 007B00D3
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 007B0036
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 007B0FD4
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 007B0F79
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 007B001B
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 007B000A
.text C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 007B0F30
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 007A000A
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 007A0F7C
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 007A0FB9
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 007A0FD4
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 007A0039
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 007A0FEF
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 007A0F8D
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [9D, 88]
.text C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 007A0F9E
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00790FA1
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0079002C
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00790011
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00790FEF
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00790FBC
.text C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00790000
.text C:\WINDOWS\system32\svchost.exe[1056] WS2_32.dll!socket 71A14211 5 Bytes JMP 00780FEF
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00A10FEF
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00A10F6E
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00A10F7F
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00A1004D
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00A10032
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00A10FAB
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00A100A5
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00A10F5D
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A10F16
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00A10F31
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00A100C0
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00A10F90
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00A10FDE
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00A10088
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00A10FBC
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00A10FCD
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00A10F42
.text C:\WINDOWS\system32\svchost.exe[1084]
|
|
30.07.2009, 15:46
| #8 |
| | win32.trojandropper.joiner und win32.trojanproxy.rankyCode:
ATTFilter ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00A00FCA
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00A00F83
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00A0001B
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00A00F94
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00A00FEF
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00A00036
.text C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00A00FB9
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 009F0FA6
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!system 77BF93C7 5 Bytes JMP 009F0FB7
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 009F0FD2
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_open 77BFF566 5 Bytes JMP 009F0000
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 009F001D
.text C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 009F0FE3
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!socket 71A14211 5 Bytes JMP 009E0FEF
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BE0FEF
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BE0F55
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BE0F66
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BE0F81
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BE0040
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BE0F9E
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BE0F1F
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BE0071
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BE0EE9
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BE0F0E
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BE009D
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BE0025
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BE0FD4
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BE0F3A
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BE0FB9
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BE000A
.text C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BE008C
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00940FDB
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 0094006C
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00940022
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00940011
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00940FAF
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00940000
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00940FC0
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [B7, 88] {MOV BH, 0x88}
.text C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00940047
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00930047
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00930036
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0093001B
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00930FE3
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00930FC6
.text C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00930000
.text C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 00910FEF
.text C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 0091000A
.text C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 00910FD4
.text C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 00910025
.text C:\WINDOWS\system32\svchost.exe[1396] WS2_32.dll!socket 71A14211 5 Bytes JMP 00920000
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00C60FEF
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00C60F46
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00C60F61
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00C6002F
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00C60F7C
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00C60FA8
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00C60071
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00C60060
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C60EE9
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00C60082
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00C60ECE
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00C60F8D
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00C60000
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00C60F35
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00C60FC3
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00C60FD4
.text C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00C60F04
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00C30FB2
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00C3003C
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00C30FCD
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00C30FDE
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00C30F7F
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00C30FEF
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00C30F90
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [E6, 88] {OUT 0x88, AL}
.text C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00C30FA1
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00C20FC1
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00C20FD2
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00C20FE3
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00C20000
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00C20042
.text C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00C2001D
.text C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 00BF0FEF
.text C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 00BF0000
.text C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 00BF0025
.text C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 00BF0036
.text C:\WINDOWS\Explorer.EXE[1516] WS2_32.dll!socket 71A14211 5 Bytes JMP 00C10000
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001B0000
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 001B007D
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 001B006C
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 001B0051
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 001B0040
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 001B0FB9
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 001B0F63
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 001B00AB
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 001B00F2
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 001B00D7
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 001B0103
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 001B0FA8
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 001B0FEF
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 001B008E
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 001B0025
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 001B0FD4
.text C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 001B00C6
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 002A0FA8
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!system 77BF93C7 5 Bytes JMP 002A0033
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 002A0FCD
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_open 77BFF566 5 Bytes JMP 002A0FEF
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 002A0022
.text C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 002A0FDE
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 002B0FC3
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 002B0F7C
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 002B000A
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 002B0FD4
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 002B002F
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 002B0FEF
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 002B0F8D
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [4E, 88]
.text C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 002B0F9E
.text C:\WINDOWS\system32\wuauclt.exe[3428] WS2_32.dll!socket 71A14211 5 Bytes JMP 003C0FEF
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 0026000A
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00260F6F
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00260064
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00260053
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00260F8A
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0026002C
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00260F43
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 0026008B
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00260EFC
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00260F17
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 002600B0
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00260FAF
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00260FEF
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00260F54
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 0026001B
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00260FCA
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00260F32
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00350040
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00350087
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00350025
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00350FEF
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00350076
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00350000
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00350FCA
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [58, 88]
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00350051
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem 77BF931E 1 Byte [E9]
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00360022
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00360F97
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00360000
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00360FE3
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00360011
.text C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00360FD2
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
---- EOF - GMER 1.0.15 ----
 jetzt bin ich mal gespannt |
|
30.07.2009, 20:01
| #9 |
| /// Selecta Jahrusso | win32.trojandropper.joiner und win32.trojanproxy.ranky Zu sehen ist nichts mehr schritt 1 Deine Java Version ist nicht aktuell. Deinstalliere bitte alle alten Versionen. Downloade Dir bitte Java Update 14 und installiere diese. schritt 2 Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen schritt 3 Poste eine frische HJT Logfile.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
31.07.2009, 11:19
| #10 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky alles erledigt Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:11:11, on 31.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\McAfee.com\Agent\mcagent.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Belkin\F1U201.401\usbshare.exe C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: F1U201.401.lnk = ? O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ? O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7665 bytes Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 31. Juli 2009 12:03:24
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 31/07/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2325622
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 104354
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:33:08
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNA\NAData Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNM\NDData Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\Events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\{88CF7B1E-4DBB-4AE6-874A-B78FF76B0CFA}.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\McUsers.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\MSKWMDB.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\settingsdb.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\SiteAdvisor\SA.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Data\TFRD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\OAS.Log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\SYSTEM_ODS.Log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db.shadow Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\etilqs_XkRWalssR4wshYtIJOKW Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\~DFE90B.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009073120090801\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\User\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\WL-142 Wireless Network Utility\sitecom_new.avi Das Objekt ist gesperrt übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step1_Name.AVI Das Objekt ist gesperrt übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step2_Infra.AVI Das Objekt ist gesperrt übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step5_NoSetIP.AVI Das Objekt ist gesperrt übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step6_SetIP.AVI Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A1D9F676-0227-478E-B865-D4111DE236AB}\RP222\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\mcmsc_2dWwYsJRP8RVzJY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\mcmsc_D2wakflfqqZnfvI Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\mcmsc_ZfICzCCjP5qXGoX Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_460.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_2FCCwpZYfZyUGUZ Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_5iZXHlOB0gQ6siJ Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_8TrOMsHjeuW0Seq Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_hgviGnFgfEWEQg9 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_lyCfAjcTwgusaYT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_T4OTIcjHSeBsOVN Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\sqlite_ZqUjwA0mEdYLqvm Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
H:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
meine frage jetzt noch, was macht sinn an den programmen die ich hab (adaware, mcafee, usw)? vorallem was adaware betrifft interessiert mich das doch sehr. achja :aplaus: vielen vielen dank! finds super das ihr euch die zeit nehmt und dem unwissenden volk ein wenig helft |
|
31.07.2009, 11:24
| #11 |
| /// Selecta Jahrusso | win32.trojandropper.joiner und win32.trojanproxy.ranky schritt 1 Bitte wende CCleaner wie beschrieben an. schritt 2 Ich möchte noch nachsehen, ob sich was vor uns versteckt. ( scandauer ca 5 min )
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
31.07.2009, 12:51
| #12 |
| | win32.trojandropper.joiner und win32.trojanproxy.ranky das mit den 5 minuten haut da bei mir nicht ganz hin *lach* aber auftrag ausgeführt! Code:
ATTFilter GMER 1.0.15.15011 [301nj19s.exe] - h**p://www.gmer.net
Rootkit scan 2009-07-31 13:46:42
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF74F787E]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF74F7BFE]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xEEA534EA]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0xEEA53498]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcessEx [0xEEA534AC]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xEEA5352A]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenProcess [0xEEA53470]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenThread [0xEEA53484]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xEEA534FE]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xEEA534D6]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xEEA534C2]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwTerminateProcess [0xEEA53559]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xEEA53540]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xEEA53514]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenProcess
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenThread
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwYieldExecution 80504AE8 7 Bytes JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtCreateFile 80579084 5 Bytes JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtMapViewOfSection 805B2006 7 Bytes JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwUnmapViewOfSection 805B2E14 5 Bytes JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwProtectVirtualMemory 805B83E6 7 Bytes JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtOpenProcess 805CB408 5 Bytes JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtOpenThread 805CB694 5 Bytes JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtSetInformationProcess 805CDE52 5 Bytes JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1142 7 Bytes JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateProcess 805D11F8 5 Bytes JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwSetContextThread 805D1702 5 Bytes JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwTerminateProcess 805D29AA 5 Bytes JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001B0FE5
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 001B0F6F
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 001B0064
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 001B0049
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 001B0F80
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 001B001B
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 001B009A
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 001B0F54
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 001B00C6
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 001B00AB
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 001B0F12
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 001B002C
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 001B0000
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 001B0075
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 001B0FB9
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 001B0FCA
.text C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 001B0F37
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 002A0FB2
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!system 77BF93C7 5 Bytes JMP 002A003D
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 002A0011
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_open 77BFF566 5 Bytes JMP 002A0000
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 002A002C
.text C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 002A0FE3
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 002B0FC3
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 002B0F8D
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 002B0FD4
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 002B0000
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 002B0FA8
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 002B0FE5
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 002B004A
.text C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 002B002F
.text C:\WINDOWS\system32\wuauclt.exe[276] WS2_32.dll!socket 71A14211 5 Bytes JMP 003C0FEF
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00F30000
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00F30F83
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00F30F9E
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00F3006C
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00F30FAF
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00F30036
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00F300BF
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00F300AE
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F30F41
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F300DA
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00F30F30
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00F30051
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00F30FE5
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00F3009D
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00F30FCA
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00F3001B
.text C:\WINDOWS\system32\services.exe[812] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00F30F5C
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00E60FC3
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00E6002F
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00E60FD4
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00E60000
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00E60F7C
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00E60FEF
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00E60F8D
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [09, 89]
.text C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00E60FB2
.text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00E50058
.text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00E5003D
.text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00E50FCD
.text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00E50FEF
.text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00E50022
|
|
31.07.2009, 12:53
| #13 |
| | win32.trojandropper.joiner und win32.trojanproxy.rankyCode:
ATTFilter .text C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00E50FDE
.text C:\WINDOWS\system32\services.exe[812] WS2_32.dll!socket 71A14211 5 Bytes JMP 00E40FEF
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 010D000A
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 010D0080
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 010D0F95
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 010D0FA6
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 010D0FC3
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 010D0FE5
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 010D0F55
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 010D009D
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW 7C802336 1 Byte [E9]
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 010D0F3A
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 010D00D3
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 010D0F1F
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 010D0FD4
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW 7C810800 3 Bytes JMP 010D001B
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW + 4 7C810804 1 Byte [84]
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe 7C81D83F 3 Bytes JMP 010D0F66
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe + 4 7C81D843 1 Byte [84]
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 010D0047
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 010D002C
.text C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 010D00C2
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00FF0036
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00FF0F8A
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00FF0FE5
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00FF001B
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00FF0047
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00FF000A
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00FF0FAF
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [22, 89]
.text C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00FF0FC0
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00FE0FB7
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00FE0042
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00FE0FD2
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00FE0FEF
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00FE0027
.text C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00FE000C
.text C:\WINDOWS\system32\lsass.exe[824] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FD0000
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CC0000
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00CC0F91
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00CC007C
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00CC0FA2
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00CC005F
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00CC0033
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00CC00BC
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00CC00AB
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CC00F9
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00CC00E8
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00CC010A
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00CC004E
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CC0011
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00CC0F80
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00CC0FD1
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00CC0022
.text C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00CC00D7
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CB0036
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CB0076
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CB001B
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CB000A
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CB0065
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CB0FEF
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00CB0FB9
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [EE, 88]
.text C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CB0FCA
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CA0FA6
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CA0031
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CA0FD2
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CA0000
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CA0FC1
.text C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CA0FE3
.text C:\WINDOWS\system32\svchost.exe[1012] WS2_32.dll!socket 71A14211 5 Bytes JMP 00B50FEF
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D00000
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D00093
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D00082
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D00071
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D0004A
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D00FB9
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D000BA
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D00F72
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D000E6
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D00F4D
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00D000F7
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00D00FA8
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00D00FE5
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00D00F83
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00D00FCA
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00D0001B
.text C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00D000CB
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CF0FD4
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CF005B
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CF0025
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CF000A
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CF0F9E
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CF0FEF
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00CF0FAF
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [F2, 88]
.text C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CF0040
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CE0050
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CE0FCF
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CE002E
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CE000C
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CE003F
.text C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CE001D
.text C:\WINDOWS\system32\svchost.exe[1060] WS2_32.dll!socket 71A14211 5 Bytes JMP 00CD000A
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 035C000A
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 035C007D
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 035C006C
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 035C0F92
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 035C0FAF
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 035C0FDB
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 035C00AE
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 035C0F5C
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 035C00D0
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 035C00BF
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 035C0F1C
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 035C0FCA
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 035C001B
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 035C0F6D
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 035C0047
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 035C0036
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 035C0F4B
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 035B002C
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 035B0F80
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 035B001B
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 035B0FE5
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 035B0F9B
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 035B0000
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 035B003D
.text C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 035B0FC0
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 035A0FAD
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!system 77BF93C7 5 Bytes JMP 035A002E
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 035A000C
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_open 77BFF566 5 Bytes JMP 035A0FEF
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 035A001D
.text C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 035A0FD2
.text C:\WINDOWS\System32\svchost.exe[1108] WS2_32.dll!socket 71A14211 5 Bytes JMP 03590FEF
.text C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 02DC0000
.text C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 02DC0FE5
.text C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 02DC0FD4
.text C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 02DC0FB9
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00650FEF
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 0065007D
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0065006C
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0065005B
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00650FA8
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00650FC3
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00650F49
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00650F66
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 006500A2
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00650F13
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00650EE4
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0065004A
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00650F77
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00650FD4
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00650025
.text C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00650F2E
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 0064002F
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00640F83
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00640FD4
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0064004A
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00640FEF
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00640FA8
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [87, 88]
.text C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00640FC3
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00630F7F
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00630F9A
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00630FB5
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00630FE3
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 0063000A
.text C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00630FC6
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 007B0FEF
|
|
31.07.2009, 12:54
| #14 |
| | win32.trojandropper.joiner und win32.trojanproxy.rankyCode:
ATTFilter .text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 007B005D
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 007B0F72
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 007B0F83
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 007B0040
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 007B0FAF
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 007B00A6
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 007B0095
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007B0F21
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 007B0F32 .text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 007B00DF
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 007B0F9E
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 007B0000
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 007B0078
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 007B0FCA
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 007B0011
.text C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 007B0F43
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 007A0025
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 007A0F8D
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 007A0FD4
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 007A0FEF
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 007A004A
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 007A000A
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 007A0FA8
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [9D, 88]
.text C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 007A0FC3
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0079005A
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00790049
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0079001D
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00790FEF
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00790038
.text C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0079000C
.text C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!socket 71A14211 5 Bytes JMP 00780FEF
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00A10FEF
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00A10F44
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00A10F5F
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00A10F70
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00A10039
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00A10FA1
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00A10F1D
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00A10065
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A1008A
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00A10EF1
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00A1009B
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00A10028
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00A10FDE
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00A10054
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00A10FBC
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00A10FCD
.text C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00A10F02
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00A0001B
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00A00F72
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00A00FCA
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00A00FEF
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00A00F83
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00A00000
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00A00F94
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [C3, 88]
.text C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00A00FA5
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 009F0053
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!system 77BF93C7 5 Bytes JMP 009F0FC8
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 009F002E
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_open 77BFF566 5 Bytes JMP 009F0000
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 009F0FE3
.text C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 009F0011
.text C:\WINDOWS\system32\svchost.exe[1296] WS2_32.dll!socket 71A14211 5 Bytes JMP 009E0FE5
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00C60FE5
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00C60075
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00C60064
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00C60F8A
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00C60047
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00C6001B
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00C600BE
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00C600AD
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C600FB
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00C600EA
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00C6010C
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00C6002C
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00C60FCA
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00C60086
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00C60FAF
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00C60000
.text C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00C600CF
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00C40FC3
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00C40F6F
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00C40014
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00C40FDE
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00C40036
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00C40FEF
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00C40F9E
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [E7, 88] {OUT 0x88, EAX}
.text C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00C40025
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00C20027
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00C20F9C
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00C20FD2
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00C20FE3
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00C20FB7
.text C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00C2000C
.text C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 00C00000
.text C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 00C0001B
.text C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 00C0002C
.text C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 00C00047
.text C:\WINDOWS\Explorer.EXE[1396] WS2_32.dll!socket 71A14211 5 Bytes JMP 00C1000A
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BE0FE5
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BE0F70
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BE0F81
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BE005B
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BE0040
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BE002F
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BE00B8
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BE009B
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BE0F30
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BE0F55
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BE00E4
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BE0FA8
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BE0FD4
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BE0080
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BE0014
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BE0FC3
.text C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BE00D3
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00940040
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00940087
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00940FE5
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 0094001B
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00940FCA
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00940000
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0094006C
.text C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00940051
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0093002C
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0093001B
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00930FAB
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00930FEF
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00930000
.text C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00930FD2
.text C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenA 408CC879 5 Bytes JMP 00910FE5
.text C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenW 408CCEA9 5 Bytes JMP 00910000
.text C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlA 408D0BD2 5 Bytes JMP 00910011
.text C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlW 4091B081 5 Bytes JMP 00910022
.text C:\WINDOWS\system32\svchost.exe[1696] WS2_32.dll!socket 71A14211 5 Bytes JMP 00920FEF
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CE0FE5
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00CE007B
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00CE0F90
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00CE0FA1
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00CE0FB2
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00CE004A
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00CE0098
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00CE0F50
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CE0F13
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00CE0F2E
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00CE00C7
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00CE0FC3
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CE0FD4
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00CE0F61
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00CE002F
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00CE0014
.text C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00CE0F3F
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CD002C
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CD0FAF
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CD0011
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CD0FE5
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CD006C
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CD0000
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00CD0FC0
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [F0, 88]
.text C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CD003D
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CC0042
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CC0FC1
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CC000C
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CC0FEF
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CC0031
.text C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CC0FDE
|
|
31.07.2009, 12:55
| #15 |
| | win32.trojandropper.joiner und win32.trojanproxy.rankyCode:
ATTFilter ---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
---- EOF - GMER 1.0.15 ----
  :aplaus:4 posts später... man is das ding lang *lach* |
|
| Themen zu win32.trojandropper.joiner und win32.trojanproxy.ranky |
| ad-aware, adobe, bho, canon, ebanking, explorer, firefox, firewall, gservice, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, mozilla, neue tabs, object, opera, phishing, plug-in, pop-up-blocker, programme, siteadvisor, software, solution, spyware, super, superantispyware, trojaner, windows, windows xp |
Linear-Darstellung
