Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   win32.trojandropper.joiner und win32.trojanproxy.ranky (https://www.trojaner-board.de/75884-win32-trojandropper-joiner-win32-trojanproxy-ranky.html)

nixbuh 30.07.2009 08:55
win32.trojandropper.joiner und win32.trojanproxy.ranky
 
Leider hab ich wohl ein paar kleinere (oder auch größere?) Probleme mit kleinen Schmarotzern. Erkannt hat er mir win32.trojanproxy.ranky schon vor einigen Wochen über adaware. hab eben entdeckt das ihr davon wohl gar nicht begeistert seid und werd mich im laufe des tages um löschung kümmern. die tage dachte ich mir dann mal, nachdem mein firefox plötzlich beim mail löschen neue tabs öffnete, mein onlinebanking nicht mehr reagierte und der rechner in meinem gefühl immer langsamer wurde das ich wohl doch noch was drauf hab und mich mal intensiver damit auseinander setzen sollte.

gelöscht bzw in quarantäne hat er mir beide trojaner geworfen wobei ich jetzt im nachhinein nicht mehr sagen könnte welches programm/schritt dazu geführt hat. euer verlinktes super anti spyware meldet aktuell nichts ausser ein paar cookies. der rechner wird seit jeher brav mit ccleaner und händisch bereinigt und defragmentiert. fürs internet nutze ich ausschließlich firefox... die tage hab ich fürs mail lesen dann opera ausprobiert nachdem firefox mich so geärgert hat. achja... und mein virenproggi mcafee hat den quatsch nicht mal entdeckt :(

Code:
Betriebssystemname        Microsoft Windows XP Professional
Version        5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller        Microsoft Corporation
Systemname        COMPUTER-801
Systemhersteller        System manufacturer
Systemmodell        System Product Name
Systemtyp        X86-basierter PC
Prozessor        x86 Family 16 Model 2 Stepping 3 AuthenticAMD ~2606 Mhz
BIOS-Version/-Datum        American Megatrends Inc. 0306, 27.08.2008
SMBIOS-Version        2.5
Windows-Verzeichnis        C:\WINDOWS
Systemverzeichnis        C:\WINDOWS\system32
Startgerät        \Device\HarddiskVolume1
Gebietsschema        Deutschland
Hardwareabstraktionsebene        Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername        COMPUTER-801\User
Zeitzone        Westeuropäische Normalzeit
Gesamter realer Speicher        4.096,00 MB
Verfügbarer realer Speicher        2,52 GB
Gesamter virtueller Speicher        2,00 GB
Verfügbarer virtueller Speicher        1,96 GB
Größe der Auslagerungsdatei        7,09 GB
Auslagerungsdatei        C:\pagefile.sys

und hier noch hijack this:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:03, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSM\McSmtFwk.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8300 bytes

ich hoffe ich hab jetzt nix vergessen.
und danke schonmal fürs ansehen :)

Larusso 30.07.2009 12:31
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
deine Logfile
schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt


schritt 3
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

nixbuh 30.07.2009 14:12
so aye aye sir... teil 1 und 2 sind fertig... teil 3 folgt gleich

Code:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2529
Windows 5.1.2600 Service Pack 3

30.07.2009 14:55:33
mbam-log-2009-07-30 (14-55-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 197272
Laufzeit: 47 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by User at 2009-07-30 15:00:20
Microsoft Windows XP Professional Service Pack 3
System drive C: has 17 GB (34%) free of 50 GB
Total RAM: 3327 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:27, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Dokumente und Einstellungen\User\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7641 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\McDefragTask.job
C:\WINDOWS\tasks\McQcTask.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-01-09 246800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-03-25 62784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2009-02-13 150032]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-01-08 645328]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-06-12 17887232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-29 520024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
C:\WINDOWS\ALCMTR.EXE [2009-03-02 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2009-05-11 24064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2004-09-13 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Nero\Nero 7\InCD\InCD.exe [2007-11-26 1057064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
C:\Programme\Microsoft IntelliPoint\ipoint.exe [2006-06-16 568096]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
C:\Programme\Microsoft IntelliType Pro\itype.exe [2006-06-16 555816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2009-06-17 2363392]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-02-26 2376992]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe [2007-11-26 1629480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe /startoptions []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-03-17 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-06-23 1830128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe [2004-11-04 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~4\Office\OSA9.EXE [1999-04-30 65588]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
F1U201.401.lnk - C:\Programme\Belkin\F1U201.401\usbshare.exe
WL-142 Wireless Network Utility.lnk - C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-03-16 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoRun"=
"NoFolderOptions"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Curse\CurseClient.exe"="C:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{60431305-864e-11dd-9e88-002215860d8b}]
shell\AutoRun\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe
shell\verb\command - F:\Programs\ShadowProtectPE\ShadowProtectPE.exe


======List of files/folders created in the last 1 months======

2009-07-30 15:00:20 ----D---- C:\rsit
2009-07-30 14:01:01 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2009-07-30 14:00:55 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-30 14:00:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-30 09:14:50 ----D---- C:\Programme\Trend Micro
2009-07-28 12:27:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:22 ----D---- C:\Programme\SUPERAntiSpyware
2009-07-28 12:27:22 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-27 13:59:23 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera
2009-07-27 13:59:08 ----D---- C:\Programme\Opera
2009-07-26 21:16:06 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skypePM
2009-07-26 21:00:14 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Skype
2009-07-26 20:59:16 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-26 20:59:11 ----RD---- C:\Programme\Skype
2009-07-26 20:59:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-24 13:18:38 ----A---- C:\WINDOWS\Iedit_.INI
2009-07-21 09:36:48 ----D---- C:\Programme\QuickTime
2009-07-21 09:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-07-21 09:36:33 ----D---- C:\Programme\Apple Software Update
2009-07-21 09:36:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-07-19 14:47:28 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ulead Systems
2009-07-19 13:07:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2009-07-19 13:05:29 ----D---- C:\Programme\Ulead Systems
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\ROBOEX32.DLL
2009-07-19 13:05:28 ----N---- C:\WINDOWS\system32\INETWH32.dll
2009-07-19 13:05:26 ----D---- C:\Programme\Gemeinsame Dateien\Ulead Systems
2009-07-18 11:04:55 ----D---- C:\Programme\Engelmann Media
2009-07-18 11:04:55 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Engelmann Media
2009-07-16 09:19:58 ----A---- C:\WINDOWS\system32\iacenc.dll
2009-07-16 09:13:14 ----A---- C:\WINDOWS\IsUn0407.exe
2009-07-15 13:30:35 ----D---- C:\Programme\directx
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-07-15 13:04:50 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-07-15 13:04:49 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-07-15 13:04:48 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-07-15 13:04:47 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-07-15 13:04:46 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-07-15 13:04:45 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-07-15 13:04:44 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-07-15 13:04:43 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-07-15 13:04:42 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-07-15 13:04:41 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-07-15 13:04:40 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-07-15 13:04:39 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-07-15 13:04:38 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-07-15 13:04:37 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-07-15 13:04:36 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-07-15 13:04:35 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-07-15 13:03:33 ----D---- C:\WINDOWS\Logs
2009-07-15 11:02:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 11:02:54 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 11:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-15 10:45:02 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-10 13:16:42 ----A---- C:\WINDOWS\system32\HDX4ImageProcessor.dll

nixbuh 30.07.2009 14:13
hier der rest vom (ich glaub es war log.txt)

Code:
======List of files/folders modified in the last 1 months======

2009-07-30 15:00:13 ----D---- C:\WINDOWS\Prefetch
2009-07-30 14:59:48 ----D---- C:\WINDOWS\Temp
2009-07-30 14:57:45 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-30 14:06:51 ----D---- C:\WINDOWS\system32
2009-07-30 14:06:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-30 14:03:46 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 14:00:57 ----D---- C:\WINDOWS\system32\drivers
2009-07-30 14:00:55 ----RD---- C:\Programme
2009-07-30 09:49:33 ----SHD---- C:\WINDOWS\Installer
2009-07-30 09:49:28 ----D---- C:\Programme\GfK Internet-Monitor 2.0
2009-07-29 20:11:00 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\teamspeak2
2009-07-29 16:08:35 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-29 16:05:24 ----D---- C:\WINDOWS
2009-07-29 12:34:56 ----D---- C:\WINDOWS\inf
2009-07-29 12:34:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-29 12:34:47 ----D---- C:\WINDOWS\system32\de-de
2009-07-29 12:34:47 ----D---- C:\Programme\Internet Explorer
2009-07-29 12:34:33 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-29 11:18:34 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla
2009-07-28 15:57:14 ----AH---- C:\boot.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\win.ini
2009-07-28 15:57:14 ----A---- C:\WINDOWS\system.ini
2009-07-28 12:27:04 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-25 19:50:24 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Corel
2009-07-19 20:33:20 ----D---- C:\Programme\ICQ6.5
2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 13:07:45 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-19 13:05:26 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-19 13:05:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-19 13:05:25 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-18 23:06:27 ----D---- C:\Programme\World of Warcraft
2009-07-18 13:06:05 ----D---- C:\Programme\Gemeinsame Dateien\LightScribe
2009-07-15 19:44:21 ----D---- C:\Programme\WinRAR
2009-07-15 14:24:24 ----D---- C:\Programme\Easy CD-DA Extractor 11
2009-07-15 14:24:18 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-15 14:23:02 ----D---- C:\WINDOWS\WinSxS
2009-07-15 14:22:00 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 14:19:44 ----D---- C:\Programme\Windows Live
2009-07-15 14:19:24 ----RSD---- C:\WINDOWS\assembly
2009-07-15 14:17:20 ----D---- C:\Programme\XP-Clean Express
2009-07-15 14:16:49 ----AC---- C:\WINDOWS\system32\polynet.dll
2009-07-15 14:15:25 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Move Networks
2009-07-15 13:04:51 ----D---- C:\WINDOWS\system32\DirectX
2009-07-15 11:10:34 ----D---- C:\WINDOWS\Debug
2009-07-10 17:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-07-10 17:38:48 ----D---- C:\Programme\McAfee
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-04 10:51:44 ----D---- C:\WINDOWS\system32\ReinstallBackups

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2007-11-26 36776]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2007-11-26 38440]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-03-25 214024]
R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2008-10-23 120136]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2005-03-01 15781]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-03-16 3597312]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-05-20 93696]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-07-15 51120]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-07-15 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-07-15 21744]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-06-16 5095936]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-03-25 79880]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-03-25 35272]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]
R3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2006-06-02 21760]
R3 sitwl142;Sitecom WL-142 Driver; C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2005-03-01 344032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2007-11-26 118952]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-03-25 34216]
S3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-03-25 40552]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320]
S3 optousb;OPTO ELECTRONICS optousb; C:\WINDOWS\system32\DRIVERS\optousb.sys [2008-04-04 18432]
S3 optovcm;OPTO ELECTRONICS optovcm; C:\WINDOWS\system32\DRIVERS\optovcm.sys [2008-04-04 26368]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 se45bus;Sony Ericsson Device 069 driver (WDM); C:\WINDOWS\system32\DRIVERS\se45bus.sys [2006-11-30 61536]
S3 se45mdfl;Sony Ericsson Device 069 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se45mdfl.sys [2006-11-30 9360]
S3 se45mdm;Sony Ericsson Device 069 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se45mdm.sys [2006-11-30 97088]
S3 se45mgmt;Sony Ericsson Device 069 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se45mgmt.sys [2006-11-30 88624]
S3 se45nd5;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (NDIS); C:\WINDOWS\system32\DRIVERS\se45nd5.sys [2006-11-30 18704]
S3 se45obex;Sony Ericsson Device 069 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se45obex.sys [2006-11-30 86432]
S3 se45unic;Sony Ericsson Device 069 USB Ethernet Emulation SEMC45 (WDM); C:\WINDOWS\system32\DRIVERS\se45unic.sys [2006-11-30 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-04-29 288896]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-03-16 602112]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2007-11-26 1554728]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-29 1029456]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-06-17 73728]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-02-11 210216]
R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-01-08 797864]
R2 McNASvc;McAfee Network Agent; c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe [2009-01-09 2482848]
R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-01-09 359952]
R2 McShield;McAfee Real-time Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [2009-03-25 144704]
R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-03-19 884360]
R2 MSK80Service;McAfee Anti-Spam Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-01-09 26640]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-03-17 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 MBackMonitor;MBackMonitor; C:\Programme\McAfee\MBK\MBackMonitor.exe [2009-01-09 68112]
S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-04-01 365072]
S3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-03-24 606736]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ServiceLayer;ServiceLayer; D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2009-03-04 621056]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

nixbuh 30.07.2009 14:14
und jetzt noch die info.txt

Code:
info.txt logfile of random's system information tool 1.06 2009-07-30 15:00:29

======Uninstall list======

-->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2x1/4x1 USB Peripheral Switch-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A3752427-9AAA-4B1C-B428-01723E0E9FFA}\SETUP.EXE"
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ASUSUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
Canon Camera Access Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon EOS 5D WIA-Treiber-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BB3AB664-D92B-4CB5-8B3E-D841841F4E68} /l1031
CANON iMAGE GATEWAY Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon RAW Image Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities CameraWindow-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities Digital Photo Professional 3.4-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Digital Photo Professional\Uninst.ini"
Canon Utilities EOS Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities Original Data Security Tools-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Original Data Security Tools\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities Picture Style Editor-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Picture Style Editor\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities WFT-E1/E2/E3 Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\WFT Utility\Uninst.ini"
Canon Utilities ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Corel Paint Shop Pro Photo XI-->MsiExec.exe /X{E1C7EF5E-3A7B-4ED4-A48B-F70F1B36EAB4}
Curse Client-->C:\Programme\Curse\uninstall.exe
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Fotostory 3 für Windows-->MsiExec.exe /I{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}
Free Audio Dub version 1.4-->"C:\Programme\DVDVideoSoft\Free Audio Dub\unins000.exe"
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Image Zone Express-->MsiExec.exe /X{85BCA736-A0F4-448E-9BC1-6EA08693E10B}
HP PSC & OfficeJet 4.7-->"C:\Programme\HP\Digital Imaging\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzscr01.exe" -datfile hposcr05.dat
HP Software Update-->MsiExec.exe /X{64FC0C98-B035-4530-B15D-3D30610B6DF1}
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LightScribe System Software-->MsiExec.exe /X{82EF29B1-9B60-4142-A155-0599216DD053}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
MediaMonkey 3.0-->"C:\Programme\MediaMonkey\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
MobMap 3.20-->"C:\Programme\MobMapUpdater\unins000.exe"
Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MRUClear 1.6-->MsiExec.exe /X{101DFCB2-9734-455B-8BDE-E4AB02ED90FC}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials-->MsiExec.exe /X{1596098A-FCEC-48F0-B7C7-08A31B771031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /I{82427977-8776-4087-90CA-9F65174D3C4D}
Nokia Flashing Cable Driver-->MsiExec.exe /X{A4E0CA0F-1903-440A-9B98-FEA6CB049999}
Nokia Music-->MsiExec.exe /I{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}
Nokia Ovi Application Installer 6.85.3011-->msiexec /qn /x {42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Application Installer-->MsiExec.exe /I{42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Content Copier 6.85.3011-->msiexec /qn /x {6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi Content Copier-->MsiExec.exe /X{6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi One Touch Access 6.85.3011-->msiexec /qn /x {4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi One Touch Access-->MsiExec.exe /I{4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi Suite-->MsiExec.exe /I{B5264B25-8908-49BB-A708-5A70DFBF8094}
Nokia Ovi System Utilities 6.85.3016-->msiexec /qn /x {FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Ovi System Utilities-->MsiExec.exe /X{FF34EA62-92C1-41E6-BA64-B2B7ECB53737}
Nokia Photos-->MsiExec.exe /I{D3656CE3-0F62-447F-AEF3-9BF29B6197D9}
Nokia Software Updater-->MsiExec.exe /X{7169FA93-66C2-43BD-86E0-CD332A686B29}
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Panel Client 3.2-->"C:\Programme\Panel Client\unins000.exe"
PC Connectivity Solution-->MsiExec.exe /I{B7CB0BF3-791E-44D3-9F04-786E36D51C9D}
PC Probe II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\setup.exe" -l0x7
Photomizer-->MsiExec.exe /X{A00F8237-F496-44D2-0001-E3CCF8CD58AE}
PokerStars-->"C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shape Collage-->C:\Programme\Shape Collage\uninstall.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Driver Package - OPTO ELECTRONICS CO.,LTD (optousb) Ports  (06/02/2008 2.0.5.5)-->C:\PROGRA~1\DIFX\7F01D4C0B2897E27\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\optousb_B4BF16D6AA4E4280B2969769E5DD04B1DF3D9CAD\optousb.inf
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WL-142 Wireless Network Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20278679-B213-495B-B20D-4DC4856401C6}\Setup.exe" -l0x9
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe

======Security center information======

AV: McAfee VirusScan
FW: McAfee Personal Firewall

======System event log======

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 13797
Source Name: Service Control Manager
Time Written: 20090624100243.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet".

Record Number: 13796
Source Name: Service Control Manager
Time Written: 20090624100240.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTER-801
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet.

Record Number: 13795
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13794
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTER-801
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 13793
Source Name: Service Control Manager
Time Written: 20090624100239.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: COMPUTER-801
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 4562
Source Name: LoadPerf
Time Written: 20090430191219.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTER-801
Event Code: 4099
Message: Dienst konnte nicht geöffnet werden.

Record Number: 4561
Source Name: WmiAdapter
Time Written: 20090430190841.000000+120
Event Type: Fehler
User: VORDEFINIERT\Administratoren

Computer Name: COMPUTER-801
Event Code: 5000
Message: McShield-Dienst gestartet.

Modulversion: 5301.4018

DAT-Version: 5600.0000



Anzahl an Signaturen in EXTRA.DAT: None

Namen der Bedrohungen, die EXTRA.DAT entdecken kann: None

Record Number: 4560
Source Name: McLogEvent
Time Written: 20090430190839.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTER-801
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4559
Source Name: SecurityCenter
Time Written: 20090430190819.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTER-801
Event Code: 0
Message:
Record Number: 4558
Source Name: McAfee SiteAdvisor Service
Time Written: 20090430190811.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=D:\Programme\Nokia\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

nixbuh 30.07.2009 15:43
so :) und hier nun der letzte teil

Code:
GMER 1.0.15.15011 [301nj19s.exe] - http://www.gmer.net
Rootkit scan 2009-07-30 16:35:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                            ZwCreateKey [0xF74F787E]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                            ZwSetValueKey [0xF74F7BFE]

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateFile [0xEEA534EA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcess [0xEEA53498]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xEEA534AC]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xEEA5352A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenProcess [0xEEA53470]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenThread [0xEEA53484]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xEEA534FE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetContextThread [0xEEA534D6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xEEA534C2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xEEA53559]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xEEA53540]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwYieldExecution [0xEEA53514]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwYieldExecution                                                                80504AE8 7 Bytes  JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                    80579084 5 Bytes  JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                              805B2006 7 Bytes  JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                            805B2E14 5 Bytes  JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                          805B83E6 7 Bytes  JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                    805CB408 5 Bytes  JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                    805CB694 5 Bytes  JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                          805CDE52 5 Bytes  JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                805D1142 7 Bytes  JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                  805D11F8 5 Bytes  JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                              805D1702 5 Bytes  JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                              805D29AA 5 Bytes  JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CE0000
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CE0073
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CE0F7E
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CE0062
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CE0051
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CE0FC0
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CE00C6
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CE009F
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CE0F3E
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CE00E1
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CE00F2
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CE0FAF
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CE0011
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CE0084
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CE002C
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CE0FDB
.text          C:\WINDOWS\system32\svchost.exe[116] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CE0F63
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CD0FCA
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CD0F94
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CD001B
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CD0FE5
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CD0FAF
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CD0000
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 00CD0051
.text          C:\WINDOWS\system32\svchost.exe[116] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CD002C
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CC0F9C
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CC0FB7
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CC001D
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CC0FEF
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CC0FD2
.text          C:\WINDOWS\system32\svchost.exe[116] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CC000C
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 0007000A
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00070F83
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00070F9E
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00070FB9
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00070076
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00070040
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 0007009D
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00070F55
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00070F1F
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00070F44
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00070F0E
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 0007005B
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00070FE5
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00070F72
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00070FD4
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 0007001B
.text          C:\WINDOWS\system32\services.exe[640] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 000700B8
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00060036
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00060087
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00060025
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00060FEF
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00060FCA
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 0006000A
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 0006006C
.text          C:\WINDOWS\system32\services.exe[640] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00060047
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 0005002C
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00050F97
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00050FC3
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00050FEF
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00050FA8
.text          C:\WINDOWS\system32\services.exe[640] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00050FDE
.text          C:\WINDOWS\system32\services.exe[640] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00040FEF
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileA                                  7C801A28 5 Bytes  JMP 00F4000A
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 00F40F7C
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 00F40F8D
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 00F40FA8
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 00F40FC3
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 00F40FE5
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoW                              7C801E54 5 Bytes  JMP 00F40F3A
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetStartupInfoA                              7C801EF2 5 Bytes  JMP 00F40F61
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 00F400B8
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 00F4009D
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 00F400C9
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 00F40FD4
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateFileW                                  7C810800 5 Bytes  JMP 00F40025
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 00F4008C
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 00F40047
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 00F40036
.text          C:\WINDOWS\system32\lsass.exe[652] kernel32.dll!WinExec                                      7C86250D 5 Bytes  JMP 00F40F1F
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExW                                77DA6AAF 5 Bytes  JMP 00F3001B
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExW                              77DA776C 5 Bytes  JMP 00F3006C
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyExA                                77DA7852 5 Bytes  JMP 00F30000
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyW                                  77DA7946 5 Bytes  JMP 00F30FD4
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyExA                              77DAE9F4 5 Bytes  JMP 00F30051
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegOpenKeyA                                  77DAEFC8 5 Bytes  JMP 00F30FEF
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyW                                77DCBA55 5 Bytes  JMP 00F30036
.text          C:\WINDOWS\system32\lsass.exe[652] ADVAPI32.dll!RegCreateKeyA                                77DCBCF3 5 Bytes  JMP 00F30FAF
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00F2003D
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00F20FB2
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00F20022
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_open                                          77BFF566 5 Bytes  JMP 00F20000
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wcreat                                        77BFFC9B 5 Bytes  JMP 00F20FCD
.text          C:\WINDOWS\system32\lsass.exe[652] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00F20011
.text          C:\WINDOWS\system32\lsass.exe[652] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00E40000
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CB0FEF
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CB0F97
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CB0FA8
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CB0076
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CB005B
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CB002F
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CB0F5F
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CB00A7
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CB0F33
.text          C:\WINDOWS\system32\svchost.exe[836]

nixbuh 30.07.2009 15:45
Code:
kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CB00C2
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CB0F22
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CB004A
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CB000A
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CB0F86
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CB0FC3
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CB0FD4
.text          C:\WINDOWS\system32\svchost.exe[836] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CB0F44
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CA0022
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CA0047
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CA0011
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CA0000
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CA0F80
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CA0FEF
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CA0F9B
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [ED, 88]
.text          C:\WINDOWS\system32\svchost.exe[836] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CA0FAC
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00C90FC6
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00C90047
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00C90011
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00C90000
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00C90036
.text          C:\WINDOWS\system32\svchost.exe[836] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00C90FD7
.text          C:\WINDOWS\system32\svchost.exe[836] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C80000
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CC0FEF
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00CC0F7E
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00CC0073
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00CC0062
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00CC0051
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00CC0FC0
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CC009A
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CC0F48
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 00CC0F2D
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 00CC00C6
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00CC0F12
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00CC0FAF
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CC000A
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00CC0F63
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00CC002C
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 00CC001B
.text          C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CC00B5
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CB0FB2
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CB0F86
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CB0FCD
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CB0FDE
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CB0FA1
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CB0FEF
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 00CB0039
.text          C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CB0028
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00CA0FAB
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00CA0FBC
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 00CA001B
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CA0FEF
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CA002C
.text          C:\WINDOWS\system32\svchost.exe[904] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 00CA0000
.text          C:\WINDOWS\system32\svchost.exe[904] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 00C90000
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 02DC0000
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 02DC0076
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 02DC0F8B
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 02DC0F9C
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 02DC0065
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 02DC0040
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 02DC0F2E
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 02DC0F3F
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 02DC0098
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 02DC0087
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 02DC00BD
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 02DC0FC3
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 02DC0FE5
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 02DC0F66
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 02DC002F
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 02DC0FD4
.text          C:\WINDOWS\System32\svchost.exe[952] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 02DC0F13
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 02DB0025
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 02DB0FA5
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 02DB0FD4
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 02DB0FEF
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 02DB0062
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 02DB000A
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 02DB0047
.text          C:\WINDOWS\System32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 02DB0036
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 02CA0FB2
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 02CA003D
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 02CA0011
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 02CA0000
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 02CA002C
.text          C:\WINDOWS\System32\svchost.exe[952] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 02CA0FD7
.text          C:\WINDOWS\System32\svchost.exe[952] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 02C90FEF
.text          C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenA                                408CC879 5 Bytes  JMP 02C80FEF
.text          C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenW                                408CCEA9 5 Bytes  JMP 02C80FD4
.text          C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 02C8000A
.text          C:\WINDOWS\System32\svchost.exe[952] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 02C8002F
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00650000
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 00650F92
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 00650087
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 00650FAD
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 00650076
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 00650FCA
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 006500A2
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00650F5A
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 006500DF
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 006500CE
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 00650F2B
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 00650051
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 0065001B
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 00650F77
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 00650FE5
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 0065002C
.text          C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 006500BD
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00640FDE
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00640080
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00640025
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00640FEF
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 0064006F
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00640000
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00640FC3
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [87, 88]
.text          C:\WINDOWS\system32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 0064004A
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 00630049
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 00630038
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 0063001D
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00630FEF
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00630FD2
.text          C:\WINDOWS\system32\svchost.exe[992] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 0063000C
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 007B0FEF
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 007B0F8A
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 007B007F
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 007B0064
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 007B0047
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 007B0FB9
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 007B0F4B
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 007B0F68
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 007B00B8
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 007B0F1F
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 007B00D3
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 007B0036
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 007B0FD4
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 007B0F79
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 007B001B
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 007B000A
.text          C:\WINDOWS\system32\svchost.exe[1056] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 007B0F30
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 007A000A
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 007A0F7C
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 007A0FB9
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 007A0FD4
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 007A0039
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 007A0FEF
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 007A0F8D
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [9D, 88]
.text          C:\WINDOWS\system32\svchost.exe[1056] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 007A0F9E
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00790FA1
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 0079002C
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00790011
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00790FEF
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00790FBC
.text          C:\WINDOWS\system32\svchost.exe[1056] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00790000
.text          C:\WINDOWS\system32\svchost.exe[1056] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00780FEF
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00A10FEF
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00A10F6E
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00A10F7F
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00A1004D
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00A10032
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00A10FAB
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00A100A5
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00A10F5D
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00A10F16
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00A10F31
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00A100C0
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00A10F90
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00A10FDE
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00A10088
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00A10FBC
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00A10FCD
.text          C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00A10F42
.text          C:\WINDOWS\system32\svchost.exe[1084]

nixbuh 30.07.2009 15:46
Code:
ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00A00FCA
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00A00F83
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00A0001B
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00A0000A
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00A00F94
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00A00FEF
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 00A00036
.text          C:\WINDOWS\system32\svchost.exe[1084] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00A00FB9
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 009F0FA6
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 009F0FB7
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 009F0FD2
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 009F0000
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 009F001D
.text          C:\WINDOWS\system32\svchost.exe[1084] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 009F0FE3
.text          C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 009E0FEF
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00BE0FEF
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00BE0F55
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00BE0F66
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00BE0F81
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00BE0040
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00BE0F9E
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00BE0F1F
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00BE0071
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00BE0EE9
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00BE0F0E
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00BE009D
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00BE0025
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00BE0FD4
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00BE0F3A
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00BE0FB9
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00BE000A
.text          C:\WINDOWS\system32\svchost.exe[1396] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00BE008C
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00940FDB
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 0094006C
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00940022
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00940011
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00940FAF
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00940000
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00940FC0
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [B7, 88] {MOV BH, 0x88}
.text          C:\WINDOWS\system32\svchost.exe[1396] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00940047
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00930047
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00930036
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 0093001B
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00930FE3
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00930FC6
.text          C:\WINDOWS\system32\svchost.exe[1396] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00930000
.text          C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenA                              408CC879 5 Bytes  JMP 00910FEF
.text          C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenW                              408CCEA9 5 Bytes  JMP 0091000A
.text          C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 00910FD4
.text          C:\WINDOWS\system32\svchost.exe[1396] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 00910025
.text          C:\WINDOWS\system32\svchost.exe[1396] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00920000
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileA                                        7C801A28 5 Bytes  JMP 00C60FEF
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtectEx                                  7C801A61 5 Bytes  JMP 00C60F46
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!VirtualProtect                                    7C801AD4 5 Bytes  JMP 00C60F61
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExW                                    7C801AF5 5 Bytes  JMP 00C6002F
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryExA                                    7C801D53 5 Bytes  JMP 00C60F7C
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryA                                      7C801D7B 5 Bytes  JMP 00C60FA8
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoW                                    7C801E54 5 Bytes  JMP 00C60071
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetStartupInfoA                                    7C801EF2 5 Bytes  JMP 00C60060
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessW                                    7C802336 5 Bytes  JMP 00C60EE9
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateProcessA                                    7C80236B 5 Bytes  JMP 00C60082
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!GetProcAddress                                    7C80AE40 5 Bytes  JMP 00C60ECE
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!LoadLibraryW                                      7C80AEEB 5 Bytes  JMP 00C60F8D
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateFileW                                        7C810800 5 Bytes  JMP 00C60000
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreatePipe                                        7C81D83F 5 Bytes  JMP 00C60F35
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeW                                  7C82F0DD 5 Bytes  JMP 00C60FC3
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!CreateNamedPipeA                                  7C860CDC 5 Bytes  JMP 00C60FD4
.text          C:\WINDOWS\Explorer.EXE[1516] kernel32.dll!WinExec                                            7C86250D 5 Bytes  JMP 00C60F04
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExW                                      77DA6AAF 5 Bytes  JMP 00C30FB2
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExW                                    77DA776C 5 Bytes  JMP 00C3003C
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyExA                                      77DA7852 5 Bytes  JMP 00C30FCD
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyW                                        77DA7946 5 Bytes  JMP 00C30FDE
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyExA                                    77DAE9F4 5 Bytes  JMP 00C30F7F
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegOpenKeyA                                        77DAEFC8 5 Bytes  JMP 00C30FEF
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW                                      77DCBA55 2 Bytes  JMP 00C30F90
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyW + 3                                  77DCBA58 2 Bytes  [E6, 88] {OUT 0x88, AL}
.text          C:\WINDOWS\Explorer.EXE[1516] ADVAPI32.dll!RegCreateKeyA                                      77DCBCF3 5 Bytes  JMP 00C30FA1
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wsystem                                            77BF931E 5 Bytes  JMP 00C20FC1
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!system                                              77BF93C7 5 Bytes  JMP 00C20FD2
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_creat                                              77BFD40F 5 Bytes  JMP 00C20FE3
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_open                                                77BFF566 5 Bytes  JMP 00C20000
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wcreat                                              77BFFC9B 5 Bytes  JMP 00C20042
.text          C:\WINDOWS\Explorer.EXE[1516] msvcrt.dll!_wopen                                              77C00055 5 Bytes  JMP 00C2001D
.text          C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenA                                      408CC879 5 Bytes  JMP 00BF0FEF
.text          C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenW                                      408CCEA9 5 Bytes  JMP 00BF0000
.text          C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlA                                    408D0BD2 5 Bytes  JMP 00BF0025
.text          C:\WINDOWS\Explorer.EXE[1516] WININET.dll!InternetOpenUrlW                                    4091B081 5 Bytes  JMP 00BF0036
.text          C:\WINDOWS\Explorer.EXE[1516] WS2_32.dll!socket                                              71A14211 5 Bytes  JMP 00C10000
.text          c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryA              7C801D7B 5 Bytes  JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text          c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[1864] kernel32.dll!LoadLibraryW              7C80AEEB 5 Bytes  JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 001B0000
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 001B007D
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 001B006C
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 001B0051
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 001B0040
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 001B0FB9
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 001B0F63
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 001B00AB
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 001B00F2
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 001B00D7
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 001B0103
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 001B0FA8
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 001B0FEF
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 001B008E
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 001B0025
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 001B0FD4
.text          C:\WINDOWS\system32\wuauclt.exe[3428] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 001B00C6
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 002A0FA8
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 002A0033
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 002A0FCD
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 002A0FEF
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 002A0022
.text          C:\WINDOWS\system32\wuauclt.exe[3428] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 002A0FDE
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 002B0FC3
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 002B0F7C
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 002B000A
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 002B0FD4
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 002B002F
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 002B0FEF
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 002B0F8D
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [4E, 88]
.text          C:\WINDOWS\system32\wuauclt.exe[3428] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 002B0F9E
.text          C:\WINDOWS\system32\wuauclt.exe[3428] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 003C0FEF
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileA              7C801A28 5 Bytes  JMP 0026000A
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtectEx          7C801A61 5 Bytes  JMP 00260F6F
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!VirtualProtect            7C801AD4 5 Bytes  JMP 00260064
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExW            7C801AF5 5 Bytes  JMP 00260053
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryExA            7C801D53 5 Bytes  JMP 00260F8A
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryA              7C801D7B 5 Bytes  JMP 0026002C
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoW          7C801E54 5 Bytes  JMP 00260F43
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetStartupInfoA          7C801EF2 5 Bytes  JMP 0026008B
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessW            7C802336 5 Bytes  JMP 00260EFC
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateProcessA            7C80236B 5 Bytes  JMP 00260F17
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!GetProcAddress            7C80AE40 5 Bytes  JMP 002600B0
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!LoadLibraryW              7C80AEEB 5 Bytes  JMP 00260FAF
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateFileW              7C810800 5 Bytes  JMP 00260FEF
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreatePipe                7C81D83F 5 Bytes  JMP 00260F54
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeW          7C82F0DD 5 Bytes  JMP 0026001B
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!CreateNamedPipeA          7C860CDC 5 Bytes  JMP 00260FCA
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] kernel32.dll!WinExec                  7C86250D 5 Bytes  JMP 00260F32
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExW            77DA6AAF 5 Bytes  JMP 00350040
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExW          77DA776C 5 Bytes  JMP 00350087
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyExA            77DA7852 5 Bytes  JMP 00350025
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyW              77DA7946 5 Bytes  JMP 00350FEF
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyExA          77DAE9F4 5 Bytes  JMP 00350076
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegOpenKeyA              77DAEFC8 5 Bytes  JMP 00350000
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW            77DCBA55 2 Bytes  JMP 00350FCA
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyW + 3        77DCBA58 2 Bytes  [58, 88]
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] ADVAPI32.dll!RegCreateKeyA            77DCBCF3 5 Bytes  JMP 00350051
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem                    77BF931E 1 Byte  [E9]
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wsystem                    77BF931E 5 Bytes  JMP 00360022
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!system                      77BF93C7 5 Bytes  JMP 00360F97
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_creat                      77BFD40F 5 Bytes  JMP 00360000
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_open                      77BFF566 5 Bytes  JMP 00360FE3
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wcreat                    77BFFC9B 5 Bytes  JMP 00360011
.text          C:\Programme\Microsoft Office\Office\WINWORD.EXE[3544] msvcrt.dll!_wopen                      77C00055 5 Bytes  JMP 00360FD2

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                        mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                      Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                    Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                    Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                  Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----

:taenzer:

jetzt bin ich mal gespannt

Larusso 30.07.2009 20:01
Zu sehen ist nichts mehr :)

schritt 1

Deine Java Version ist nicht aktuell.
Deinstalliere bitte alle alten Versionen.
Downloade Dir bitte Java Update 14 und installiere diese.


schritt 2

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


schritt 3

Poste eine frische HJT Logfile.

nixbuh 31.07.2009 11:19
alles erledigt :)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:11, on 31.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Belkin\F1U201.401\usbshare.exe
C:\Programme\WL-142 Wireless Network Utility\WLANUTL.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.search.yahoo.com/search?fr=mcafee&p=%s
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F1U201.401.lnk = ?
O4 - Global Startup: WL-142 Wireless Network Utility.lnk = ?
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7665 bytes
Code:
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Freitag, 31. Juli 2009 12:03:24
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 31/07/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2325622
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        A:\
        C:\
        D:\
        E:\
        F:\
        G:\
        H:\
        I:\
        J:\
        K:\
        L:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 104354
        Viren gefunden: 0
        Infizierte Objekte gefunden: 0
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 01:33:08

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNA\NAData        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MNM\NDData        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\Events.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\Logs\{88CF7B1E-4DBB-4AE6-874A-B78FF76B0CFA}.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSC\McUsers.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\MSKWMDB.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\MSK\settingsdb.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\SiteAdvisor\SA.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Data\TFRD.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\OAS.Log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\VirusScan\Logs\SYSTEM_ODS.Log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\cookies.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\signons.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db.shadow        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\eqd3x7v3.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\etilqs_XkRWalssR4wshYtIJOKW        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\~DFE90B.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009073120090801\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\User\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Programme\WL-142 Wireless Network Utility\sitecom_new.avi        Das Objekt ist gesperrt        übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step1_Name.AVI        Das Objekt ist gesperrt        übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step2_Infra.AVI        Das Objekt ist gesperrt        übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step5_NoSetIP.AVI        Das Objekt ist gesperrt        übersprungen
C:\Programme\WL-142 Wireless Network Utility\Step6_SetIP.AVI        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{A1D9F676-0227-478E-B865-D4111DE236AB}\RP222\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\mcmsc_2dWwYsJRP8RVzJY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\mcmsc_D2wakflfqqZnfvI        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\mcmsc_ZfICzCCjP5qXGoX        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_460.dat        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_2FCCwpZYfZyUGUZ        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_5iZXHlOB0gQ6siJ        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_8TrOMsHjeuW0Seq        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_hgviGnFgfEWEQg9        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_lyCfAjcTwgusaYT        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_T4OTIcjHSeBsOVN        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\sqlite_ZqUjwA0mEdYLqvm        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
H:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.

meine frage jetzt noch, was macht sinn an den programmen die ich hab (adaware, mcafee, usw)? vorallem was adaware betrifft interessiert mich das doch sehr.

achja :) :aplaus: vielen vielen dank! finds super das ihr euch die zeit nehmt und dem unwissenden volk ein wenig helft

Larusso 31.07.2009 11:24
schritt 1

Bitte wende CCleaner wie beschrieben an.


schritt 2

Ich möchte noch nachsehen, ob sich was vor uns versteckt. :)
( scandauer ca 5 min ) :)
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

nixbuh 31.07.2009 12:51
das mit den 5 minuten haut da bei mir nicht ganz hin *lach* aber auftrag ausgeführt!


Code:
GMER 1.0.15.15011 [301nj19s.exe] - h**p://www.gmer.net
Rootkit scan 2009-07-31 13:46:42
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                            ZwCreateKey [0xF74F787E]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                            ZwSetValueKey [0xF74F7BFE]

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateFile [0xEEA534EA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcess [0xEEA53498]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xEEA534AC]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwMapViewOfSection [0xEEA5352A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenProcess [0xEEA53470]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwOpenThread [0xEEA53484]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwProtectVirtualMemory [0xEEA534FE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetContextThread [0xEEA534D6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xEEA534C2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xEEA53559]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwUnmapViewOfSection [0xEEA53540]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  ZwYieldExecution [0xEEA53514]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwYieldExecution                                                                80504AE8 7 Bytes  JMP EEA53518 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                    80579084 5 Bytes  JMP EEA534EE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                              805B2006 7 Bytes  JMP EEA5352E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                            805B2E14 5 Bytes  JMP EEA53544 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                          805B83E6 7 Bytes  JMP EEA53502 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                    805CB408 5 Bytes  JMP EEA53474 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                    805CB694 5 Bytes  JMP EEA53488 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                          805CDE52 5 Bytes  JMP EEA534C6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                805D1142 7 Bytes  JMP EEA534B0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                  805D11F8 5 Bytes  JMP EEA5349C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                              805D1702 5 Bytes  JMP EEA534DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                              805D29AA 5 Bytes  JMP EEA5355D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 001B0FE5
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtectEx                            7C801A61 5 Bytes  JMP 001B0F6F
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!VirtualProtect                              7C801AD4 5 Bytes  JMP 001B0064
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExW                              7C801AF5 5 Bytes  JMP 001B0049
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryExA                              7C801D53 5 Bytes  JMP 001B0F80
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryA                                7C801D7B 5 Bytes  JMP 001B001B
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 001B009A
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 001B0F54
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 001B00C6
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateProcessA                              7C80236B 5 Bytes  JMP 001B00AB
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!GetProcAddress                              7C80AE40 5 Bytes  JMP 001B0F12
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!LoadLibraryW                                7C80AEEB 5 Bytes  JMP 001B002C
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 001B0000
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreatePipe                                  7C81D83F 5 Bytes  JMP 001B0075
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeW                            7C82F0DD 5 Bytes  JMP 001B0FB9
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!CreateNamedPipeA                            7C860CDC 5 Bytes  JMP 001B0FCA
.text          C:\WINDOWS\system32\wuauclt.exe[276] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 001B0F37
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wsystem                                      77BF931E 5 Bytes  JMP 002A0FB2
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!system                                        77BF93C7 5 Bytes  JMP 002A003D
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_creat                                        77BFD40F 5 Bytes  JMP 002A0011
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 002A0000
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 002A002C
.text          C:\WINDOWS\system32\wuauclt.exe[276] msvcrt.dll!_wopen                                        77C00055 5 Bytes  JMP 002A0FE3
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 002B0FC3
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 002B0F8D
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 002B0FD4
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 002B0000
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 002B0FA8
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 002B0FE5
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 002B004A
.text          C:\WINDOWS\system32\wuauclt.exe[276] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 002B002F
.text          C:\WINDOWS\system32\wuauclt.exe[276] WS2_32.dll!socket                                        71A14211 5 Bytes  JMP 003C0FEF
.text          c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryA                7C801D7B 5 Bytes  JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text          c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[436] kernel32.dll!LoadLibraryW                7C80AEEB 5 Bytes  JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00F30000
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00F30F83
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00F30F9E
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00F3006C
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00F30FAF
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00F30036
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00F300BF
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00F300AE
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00F30F41
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00F300DA
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00F30F30
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00F30051
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00F30FE5
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00F3009D
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00F30FCA
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00F3001B
.text          C:\WINDOWS\system32\services.exe[812] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00F30F5C
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00E60FC3
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00E6002F
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00E60FD4
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00E60000
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00E60F7C
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00E60FEF
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00E60F8D
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [09, 89]
.text          C:\WINDOWS\system32\services.exe[812] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00E60FB2
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00E50058
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00E5003D
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00E50FCD
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00E50FEF
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00E50022

nixbuh 31.07.2009 12:53
Code:
.text          C:\WINDOWS\system32\services.exe[812] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00E50FDE
.text          C:\WINDOWS\system32\services.exe[812] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00E40FEF
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileA                                  7C801A28 5 Bytes  JMP 010D000A
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 010D0080
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 010D0F95
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 010D0FA6
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 010D0FC3
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 010D0FE5
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoW                              7C801E54 5 Bytes  JMP 010D0F55
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetStartupInfoA                              7C801EF2 5 Bytes  JMP 010D009D
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW                                7C802336 1 Byte  [E9]
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 010D0F3A
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 010D00D3
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 010D0F1F
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 010D0FD4
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW                                  7C810800 3 Bytes  JMP 010D001B
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateFileW + 4                              7C810804 1 Byte  [84]
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe                                    7C81D83F 3 Bytes  JMP 010D0F66
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreatePipe + 4                                7C81D843 1 Byte  [84]
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 010D0047
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 010D002C
.text          C:\WINDOWS\system32\lsass.exe[824] kernel32.dll!WinExec                                      7C86250D 5 Bytes  JMP 010D00C2
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExW                                77DA6AAF 5 Bytes  JMP 00FF0036
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExW                              77DA776C 5 Bytes  JMP 00FF0F8A
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyExA                                77DA7852 5 Bytes  JMP 00FF0FE5
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyW                                  77DA7946 5 Bytes  JMP 00FF001B
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyExA                              77DAE9F4 5 Bytes  JMP 00FF0047
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegOpenKeyA                                  77DAEFC8 5 Bytes  JMP 00FF000A
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW                                77DCBA55 2 Bytes  JMP 00FF0FAF
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyW + 3                            77DCBA58 2 Bytes  [22, 89]
.text          C:\WINDOWS\system32\lsass.exe[824] ADVAPI32.dll!RegCreateKeyA                                77DCBCF3 5 Bytes  JMP 00FF0FC0
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 00FE0FB7
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 00FE0042
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 00FE0FD2
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_open                                          77BFF566 5 Bytes  JMP 00FE0FEF
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wcreat                                        77BFFC9B 5 Bytes  JMP 00FE0027
.text          C:\WINDOWS\system32\lsass.exe[824] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 00FE000C
.text          C:\WINDOWS\system32\lsass.exe[824] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00FD0000
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CC0000
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00CC0F91
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00CC007C
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00CC0FA2
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00CC005F
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00CC0033
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CC00BC
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CC00AB
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00CC00F9
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00CC00E8
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00CC010A
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00CC004E
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CC0011
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00CC0F80
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00CC0FD1
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00CC0022
.text          C:\WINDOWS\system32\svchost.exe[1012] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CC00D7
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CB0036
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CB0076
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CB001B
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CB000A
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CB0065
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CB0FEF
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CB0FB9
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [EE, 88]
.text          C:\WINDOWS\system32\svchost.exe[1012] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CB0FCA
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00CA0FA6
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00CA0031
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00CA0FD2
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CA0000
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CA0FC1
.text          C:\WINDOWS\system32\svchost.exe[1012] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00CA0FE3
.text          C:\WINDOWS\system32\svchost.exe[1012] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00B50FEF
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00D00000
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00D00093
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00D00082
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00D00071
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00D0004A
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00D00FB9
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00D000BA
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00D00F72
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00D000E6
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00D00F4D
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00D000F7
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00D00FA8
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00D00FE5
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00D00F83
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00D00FCA
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00D0001B
.text          C:\WINDOWS\system32\svchost.exe[1060] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00D000CB
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CF0FD4
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CF005B
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CF0025
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CF000A
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CF0F9E
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CF0FEF
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CF0FAF
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [F2, 88]
.text          C:\WINDOWS\system32\svchost.exe[1060] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CF0040
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00CE0050
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00CE0FCF
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00CE002E
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CE000C
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CE003F
.text          C:\WINDOWS\system32\svchost.exe[1060] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00CE001D
.text          C:\WINDOWS\system32\svchost.exe[1060] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00CD000A
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 035C000A
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 035C007D
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 035C006C
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 035C0F92
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 035C0FAF
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 035C0FDB
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 035C00AE
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 035C0F5C
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 035C00D0
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 035C00BF
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 035C0F1C
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 035C0FCA
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 035C001B
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 035C0F6D
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 035C0047
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 035C0036
.text          C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 035C0F4B
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 035B002C
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 035B0F80
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 035B001B
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 035B0FE5
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 035B0F9B
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 035B0000
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 035B003D
.text          C:\WINDOWS\System32\svchost.exe[1108] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 035B0FC0
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 035A0FAD
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 035A002E
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 035A000C
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 035A0FEF
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 035A001D
.text          C:\WINDOWS\System32\svchost.exe[1108] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 035A0FD2
.text          C:\WINDOWS\System32\svchost.exe[1108] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 03590FEF
.text          C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenA                              408CC879 5 Bytes  JMP 02DC0000
.text          C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenW                              408CCEA9 5 Bytes  JMP 02DC0FE5
.text          C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 02DC0FD4
.text          C:\WINDOWS\System32\svchost.exe[1108] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 02DC0FB9
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00650FEF
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 0065007D
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 0065006C
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 0065005B
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00650FA8
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00650FC3
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00650F49
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00650F66
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 006500A2
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00650F13
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00650EE4
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 0065004A
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 0065000A
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00650F77
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00650FD4
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00650025
.text          C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00650F2E
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 0064002F
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00640F83
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 0064000A
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00640FD4
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 0064004A
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00640FEF
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00640FA8
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [87, 88]
.text          C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00640FC3
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00630F7F
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00630F9A
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00630FB5
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00630FE3
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 0063000A
.text          C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00630FC6
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 007B0FEF

nixbuh 31.07.2009 12:54
Code:
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 007B005D
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 007B0F72
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 007B0F83
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 007B0040
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 007B0FAF
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 007B00A6
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 007B0095
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 007B0F21
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 007B0F32 .text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 007B00DF
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 007B0F9E
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 007B0000
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 007B0078
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 007B0FCA
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 007B0011
.text          C:\WINDOWS\system32\svchost.exe[1236] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 007B0F43
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 007A0025
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 007A0F8D
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 007A0FD4
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 007A0FEF
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 007A004A
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 007A000A
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 007A0FA8
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [9D, 88]
.text          C:\WINDOWS\system32\svchost.exe[1236] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 007A0FC3
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 0079005A
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00790049
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 0079001D
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00790FEF
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00790038
.text          C:\WINDOWS\system32\svchost.exe[1236] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 0079000C
.text          C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00780FEF
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00A10FEF
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00A10F44
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00A10F5F
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00A10F70
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00A10039
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00A10FA1
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00A10F1D
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00A10065
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00A1008A
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00A10EF1
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00A1009B
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00A10028
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00A10FDE
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00A10054
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00A10FBC
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00A10FCD
.text          C:\WINDOWS\system32\svchost.exe[1296] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00A10F02
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00A0001B
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00A00F72
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00A00FCA
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00A00FEF
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00A00F83
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00A00000
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00A00F94
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [C3, 88]
.text          C:\WINDOWS\system32\svchost.exe[1296] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00A00FA5
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 009F0053
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 009F0FC8
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 009F002E
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 009F0000
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 009F0FE3
.text          C:\WINDOWS\system32\svchost.exe[1296] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 009F0011
.text          C:\WINDOWS\system32\svchost.exe[1296] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 009E0FE5
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileA                                        7C801A28 5 Bytes  JMP 00C60FE5
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtectEx                                  7C801A61 5 Bytes  JMP 00C60075
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!VirtualProtect                                    7C801AD4 5 Bytes  JMP 00C60064
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExW                                    7C801AF5 5 Bytes  JMP 00C60F8A
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryExA                                    7C801D53 5 Bytes  JMP 00C60047
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryA                                      7C801D7B 5 Bytes  JMP 00C6001B
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoW                                    7C801E54 5 Bytes  JMP 00C600BE
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetStartupInfoA                                    7C801EF2 5 Bytes  JMP 00C600AD
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessW                                    7C802336 5 Bytes  JMP 00C600FB
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateProcessA                                    7C80236B 5 Bytes  JMP 00C600EA
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!GetProcAddress                                    7C80AE40 5 Bytes  JMP 00C6010C
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!LoadLibraryW                                      7C80AEEB 5 Bytes  JMP 00C6002C
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateFileW                                        7C810800 5 Bytes  JMP 00C60FCA
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreatePipe                                        7C81D83F 5 Bytes  JMP 00C60086
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeW                                  7C82F0DD 5 Bytes  JMP 00C60FAF
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!CreateNamedPipeA                                  7C860CDC 5 Bytes  JMP 00C60000
.text          C:\WINDOWS\Explorer.EXE[1396] kernel32.dll!WinExec                                            7C86250D 5 Bytes  JMP 00C600CF
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExW                                      77DA6AAF 5 Bytes  JMP 00C40FC3
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExW                                    77DA776C 5 Bytes  JMP 00C40F6F
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyExA                                      77DA7852 5 Bytes  JMP 00C40014
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyW                                        77DA7946 5 Bytes  JMP 00C40FDE
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyExA                                    77DAE9F4 5 Bytes  JMP 00C40036
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegOpenKeyA                                        77DAEFC8 5 Bytes  JMP 00C40FEF
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW                                      77DCBA55 2 Bytes  JMP 00C40F9E
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyW + 3                                  77DCBA58 2 Bytes  [E7, 88] {OUT 0x88, EAX}
.text          C:\WINDOWS\Explorer.EXE[1396] ADVAPI32.dll!RegCreateKeyA                                      77DCBCF3 5 Bytes  JMP 00C40025
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wsystem                                            77BF931E 5 Bytes  JMP 00C20027
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!system                                              77BF93C7 5 Bytes  JMP 00C20F9C
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_creat                                              77BFD40F 5 Bytes  JMP 00C20FD2
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_open                                                77BFF566 5 Bytes  JMP 00C20FE3
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wcreat                                              77BFFC9B 5 Bytes  JMP 00C20FB7
.text          C:\WINDOWS\Explorer.EXE[1396] msvcrt.dll!_wopen                                              77C00055 5 Bytes  JMP 00C2000C
.text          C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenA                                      408CC879 5 Bytes  JMP 00C00000
.text          C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenW                                      408CCEA9 5 Bytes  JMP 00C0001B
.text          C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlA                                    408D0BD2 5 Bytes  JMP 00C0002C
.text          C:\WINDOWS\Explorer.EXE[1396] WININET.dll!InternetOpenUrlW                                    4091B081 5 Bytes  JMP 00C00047
.text          C:\WINDOWS\Explorer.EXE[1396] WS2_32.dll!socket                                              71A14211 5 Bytes  JMP 00C1000A
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00BE0FE5
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00BE0F70
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00BE0F81
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00BE005B
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00BE0040
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00BE002F
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00BE00B8
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00BE009B
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00BE0F30
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00BE0F55
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00BE00E4
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00BE0FA8
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00BE0FD4
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00BE0080
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00BE0014
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00BE0FC3
.text          C:\WINDOWS\system32\svchost.exe[1696] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00BE00D3
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00940040
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00940087
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00940FE5
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 0094001B
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00940FCA
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00940000
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 5 Bytes  JMP 0094006C
.text          C:\WINDOWS\system32\svchost.exe[1696] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00940051
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 0093002C
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 0093001B
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00930FAB
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00930FEF
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00930000
.text          C:\WINDOWS\system32\svchost.exe[1696] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00930FD2
.text          C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenA                              408CC879 5 Bytes  JMP 00910FE5
.text          C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenW                              408CCEA9 5 Bytes  JMP 00910000
.text          C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlA                            408D0BD2 5 Bytes  JMP 00910011
.text          C:\WINDOWS\system32\svchost.exe[1696] WININET.dll!InternetOpenUrlW                            4091B081 5 Bytes  JMP 00910022
.text          C:\WINDOWS\system32\svchost.exe[1696] WS2_32.dll!socket                                      71A14211 5 Bytes  JMP 00920FEF
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileA                                7C801A28 5 Bytes  JMP 00CE0FE5
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtectEx                          7C801A61 5 Bytes  JMP 00CE007B
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!VirtualProtect                            7C801AD4 5 Bytes  JMP 00CE0F90
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExW                            7C801AF5 5 Bytes  JMP 00CE0FA1
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryExA                            7C801D53 5 Bytes  JMP 00CE0FB2
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryA                              7C801D7B 5 Bytes  JMP 00CE004A
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoW                            7C801E54 5 Bytes  JMP 00CE0098
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetStartupInfoA                            7C801EF2 5 Bytes  JMP 00CE0F50
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 00CE0F13
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateProcessA                            7C80236B 5 Bytes  JMP 00CE0F2E
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!GetProcAddress                            7C80AE40 5 Bytes  JMP 00CE00C7
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!LoadLibraryW                              7C80AEEB 5 Bytes  JMP 00CE0FC3
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateFileW                                7C810800 5 Bytes  JMP 00CE0FD4
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreatePipe                                7C81D83F 5 Bytes  JMP 00CE0F61
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeW                          7C82F0DD 5 Bytes  JMP 00CE002F
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!CreateNamedPipeA                          7C860CDC 5 Bytes  JMP 00CE0014
.text          C:\WINDOWS\system32\svchost.exe[1824] kernel32.dll!WinExec                                    7C86250D 5 Bytes  JMP 00CE0F3F
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExW                              77DA6AAF 5 Bytes  JMP 00CD002C
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExW                            77DA776C 5 Bytes  JMP 00CD0FAF
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyExA                              77DA7852 5 Bytes  JMP 00CD0011
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyW                                77DA7946 5 Bytes  JMP 00CD0FE5
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyExA                            77DAE9F4 5 Bytes  JMP 00CD006C
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegOpenKeyA                                77DAEFC8 5 Bytes  JMP 00CD0000
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW                              77DCBA55 2 Bytes  JMP 00CD0FC0
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyW + 3                          77DCBA58 2 Bytes  [F0, 88]
.text          C:\WINDOWS\system32\svchost.exe[1824] ADVAPI32.dll!RegCreateKeyA                              77DCBCF3 5 Bytes  JMP 00CD003D
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wsystem                                    77BF931E 5 Bytes  JMP 00CC0042
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!system                                      77BF93C7 5 Bytes  JMP 00CC0FC1
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_creat                                      77BFD40F 5 Bytes  JMP 00CC000C
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_open                                        77BFF566 5 Bytes  JMP 00CC0FEF
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wcreat                                      77BFFC9B 5 Bytes  JMP 00CC0031
.text          C:\WINDOWS\system32\svchost.exe[1824] msvcrt.dll!_wopen                                      77C00055 5 Bytes  JMP 00CC0FDE

nixbuh 31.07.2009 12:55
Code:
---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                        mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                      Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                    Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                    Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                  Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----
:Boogie::singsing::aplaus:

4 posts später... man is das ding lang *lach*


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:01 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131