Trojaner-Board - Windows Restore

Ich habe mir auch den WindowsRestore Virus eingefangen. Ich habe MBAM durchlaufen lassen und er scheint stillgelegt zu sein, doch mein Desktophintergrund ist immernoch schwarz. Kann mir jemand helfen?
Ich poste jetzt die Logfiles von allen Scans die ich durchgeführt habe.

Ich bedanke mich schon mal im Voraus.
:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:47:14, on 13.04.2011

Platform: Windows 7  (WinNT 6.00.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16722)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Windows\WindowsMobile\wmdc.exe

C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files\Microsoft Security Client\msseces.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

D:\Program Files\Steam\Steam.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Common Files\Java\Java Update\jucheck.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Admin\Desktop\HiJackThis204.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll

R3 - URLSearchHook: (no name) -  - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [SpriteService] "C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Steam] "D:\Program Files\Steam\steam.exe" -silent

O4 - HKCU\..\Run: [Vdavagifinosob] rundll32.exe  "C:\Users\Admin\AppData\Local\WPetmdts.dll",Startup

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
 

--

End of file - 7876 bytes

Code:

7-Zip 9.20                29.12.2010                

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        13.04.2010                10.0.45.2

Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        05.04.2011        6,00MB        10.2.153.1

Adobe Reader 9.4.2 - Deutsch        Adobe Systems Incorporated        14.02.2011        167,9MB        9.4.2

Akamai NetSession Interface                29.08.2010                

Apple Application Support        Apple Inc.        27.05.2010        39,7MB        1.2.1

Apple Mobile Device Support        Apple Inc.        27.05.2010        19,7MB        3.0.1.3

Apple Software Update        Apple Inc.        27.05.2010        2,26MB        2.1.2.120

ASIO4ALL                08.03.2010                

Audacity 1.2.6                06.02.2011                

Avira AntiVir Personal - Free Antivirus        Avira GmbH        18.03.2011        61,8MB        10.0.0.635

Battlefield 1942                07.06.2010                

Battlefield 1942: Secret Weapons of WWII                07.06.2010                

Battlefield 1942: The Road To Rome                07.06.2010                

Bonjour        Apple Inc.        27.05.2010        0,76MB        2.0.1.2

CCleaner        Piriform        12.04.2011                3.05

Common RTP 1.0                25.08.2010                

Company of Heroes        THQ Inc.        15.06.2010                2.0.0.1

Compatibility Pack for the 2007 Office system        Microsoft Corporation        09.02.2011        88,2MB        12.0.6514.5001

DAEMON Tools Lite        DT Soft Ltd        14.01.2011                4.40.1.0127

Dealio Toolbar v4.0.2        Spigot, Inc.        23.04.2010        4,64MB        1.1.2

Divine Divinity                28.07.2010                

DivX-Setup        DivX, Inc.         04.07.2010                1.0.2.22

Free Audio CD Burner version 1.4.7        DVDVideoSoft Limited.        30.03.2011        10,7MB        

Free Video Converter V 2.6        Koyote Soft        23.04.2010        12,5MB        2.6.0.0

Free YouTube Download 2.4        DVDVideoSoft Limited.        10.04.2010        24,4MB        

Free YouTube to MP3 Converter version 3.9.35.324        DVDVideoSoft Limited.        30.03.2011        36,0MB        

G-tune 2.50                28.10.2010                

Gadwin PrintScreen        Gadwin Systems, Inc.        31.08.2010                4.4

GameSpy Arcade                27.07.2010                

GIMP 2.6.10        The GIMP Team        29.08.2010        108,4MB        2.6.10

Glary Utilities 2.30.0.1066        Glarysoft Ltd        14.12.2010                2.30.0.1066

Google Toolbar for Internet Explorer        Google Inc.        15.03.2011                6.6.1409.1944

Hardcore        Image-Line        08.03.2010                

Heroes of Might and Magic IV: Winds of War                27.07.2010                

ICQ Toolbar        ICQ        02.03.2010                3.0.0

ICQ7        ICQ        02.03.2010                7.0

IL Download Manager        Image-Line        08.03.2010                

Innovative Music Systems IntelliScore Polyphonic Edition v6.0                22.04.2010                

iTunes        Apple Inc.        27.05.2010        160,0MB        9.1.1.11

Java(TM) 6 Update 18        Sun Microsystems, Inc.        28.02.2010        97,1MB        6.0.180

JDownloader        AppWork UG (haftungsbeschränkt)        26.05.2010                0.89

Left 4 Dead 2        Valve        01.04.2011                

Legend of Edda USA_v1.0_101224        EyaSoft        12.03.2011                USA_v1.0_101224

Malwarebytes' Anti-Malware        Malwarebytes Corporation        24.12.2010        10,5MB        

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        24.06.2010        38,8MB        4.0.30319

Microsoft Office Professional Edition 2003        Microsoft Corporation        08.03.2011        967MB        11.0.8173.0

Microsoft Security Essentials        Microsoft Corporation        26.01.2011                2.0.657.0

Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        20.04.2010        1,72MB        3.1.0000

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        10.06.2010        0,25MB        8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        07.06.2010        3,31MB        8.0.56336

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148        Microsoft Corporation        04.03.2010        0,20MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        03.03.2010        0,58MB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        15.12.2010        0,58MB        9.0.30729.4148

Mozilla Firefox (3.6.16)        Mozilla        25.03.2011                3.6.16 (de)

MpcStar 4.2        www.mpcstar.com        03.03.2010                4.2

OpenOffice.org 3.2        OpenOffice.org        28.02.2010        347MB        3.2.9483

Pando Media Booster        Pando Networks Inc.        12.03.2011        5,47MB        2.3.5.2

PoiZone        Image-Line        08.03.2010                

PunkBuster für Battlefield 1942                07.06.2010                

QuickTime        Apple Inc.        27.05.2010        73,8MB        7.66.71.0

RPG Maker 2003 v1.04        Enterbrain, Inc.        28.08.2010                

RPG Maker VX        Enterbrain        28.08.2010                1.02

RPG Maker VX RTP        Enterbrain        28.08.2010                1.02

RTP for RM2K (Png, Wav, Midi, Fonts)                23.08.2010                

Sawer        Image-Line        08.03.2010                

Search Settings v1.2.3        Spigot, Inc.        23.04.2010        3,36MB        

Sprite Backup                22.10.2010                5.10

Steam        Valve Corporation        01.04.2011        42,3MB        1.0.0.0

Stronghold Crusader Extreme        Firefly Studios        06.06.2010                1.20.0000

SWF Opener        UnH Solutions        13.04.2010                1.3

Synthesia (remove only)                06.03.2010                

TeamViewer 6        TeamViewer GmbH        30.12.2010                6.0.9895

Titan Quest        Iron Lore        07.06.2010                1.00.0000

Titan Quest Immortal Throne        Iron Lore        07.06.2010                1.00.0000

Toxic Biohazard        Image-Line        08.03.2010                

Uninstall 1.0.0.1                30.03.2011        10,9MB        

Unreal Tournament 2004        Epic Games        07.10.2010                1.00.0000

Windows Live Anmelde-Assistent        Microsoft Corporation        21.04.2010        1,94MB        5.000.818.5

Windows Live Essentials        Microsoft Corporation        21.04.2010                14.0.8089.0726

Windows Live Sync        Microsoft Corporation        21.04.2010        2,79MB        14.0.8089.726

Windows Live-Uploadtool        Microsoft Corporation        21.04.2010        0,22MB        14.0.8014.1029

Windows Mobile Device Center Driver Update        Microsoft Corporation        22.10.2010        42,4MB        6.1.6965.0

Windows Mobile-Gerätecenter        Microsoft Corporation        22.10.2010        27,5MB        6.1.6965.0

Windows Mobile-Ressourcen        Microsoft Corporation        22.10.2010                1.0

WinRAR                05.03.2010

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 6345
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

13.04.2011 01:01:13

mbam-log-2011-04-13 (01-01-13).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 433462

Laufzeit: 2 Stunde(n), 20 Minute(n), 0 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

c:\Users\Admin\AppData\Local\WPetmdts.dll (Trojan.Hiloti) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vdavagifinosob (Trojan.Hiloti) -> Value: Vdavagifinosob -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HDFryVTMFjAtTWN (Trojan.FakeAlert) -> Value: HDFryVTMFjAtTWN -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

c:\Users\Admin\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

c:\Users\Admin\AppData\Local\WPetmdts.dll (Trojan.Hiloti) -> Delete on reboot.

c:\programdata\hdfryvtmfjattwn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Local\Temp\emoansrxcw.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Local\Temp\err.log28244265 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Roaming\Adobe\plugs\kb28246562.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Roaming\Adobe\plugs\kb28246578.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\programdata\31973128.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\uninstall windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Admin\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 6345
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

13.04.2011 13:12:54

mbam-log-2011-04-13 (13-12-54).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 160491

Laufzeit: 9 Minute(n), 13 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vdavagifinosob (Trojan.Agent.U) -> Value: Vdavagifinosob -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

GMER 1.0.15.15570 - hxxp://www.gmer.net

Rootkit scan 2011-04-13 18:11:20

Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST9320320AS rev.0303

Running: vmq1d3h6.exe; Driver: C:\Users\Admin\AppData\Local\Temp\ugldapog.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                                                                                                                                                                  82C96589 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                                                                                                                                           82CBB092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                                                                                                                                                         section is writeable [0x9340F000, 0x2D5378, 0xE8000020]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                                                                                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 

Device          \Driver\ACPI_HAL \Device\00000071                                                                                                                                                                                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                                                                                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                                                                                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                                                                                                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@D:\DOWNLOADS\Share-Films.net.D0010405\Share-Films.net.D0010405\nakadashi_spy\ÆåÅoéÁâXâpâCé\xa6æ}ô\xb3æ{ì\xa9ü@-Äqï{é\xa6ò\xa2ÿaé-ë\xa6é\xacÄþéÚüI-\SETUP.exe  1
 

---- EOF - GMER 1.0.15 ----