daten gehen unkontrollierbar ins netz

#16 sorry, hat etwas länger gedauert, war unterwegs. hier der text, danke

edit (Sabina)

#17 ich finde nichts, was irgendwie suspekt ist....

nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 als ich gmer starten wollte führte der rechner sofort einen neustart aus. als ich dann den ie startete dauerte es ewig, bis er mit startseite about blank aufging und dann wurden daten gesendet und empfangen, ohne das etwas passierte.
sollte ich vielleicht doch mal die dektop.ini in temporary internetfiles und content löschen?

#19 poste dieses log
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#20 der rootkitscan

HKU\.DEFAULT\Control Panel\International 20.01.2007 07:36 0 bytes Security mismatch.
HKU\S-1-5-21-73586283-1993962763-1060284298-1000\Control Panel\International 20.01.2007 07:36 0 bytes Security mismatch.
HKU\S-1-5-21-73586283-1993962763-1060284298-1000\Software\Microsoft\Command Processor 20.01.2007 07:36 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 21.05.2003 08:19 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 21.05.2003 08:19 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\XATM:7a9cb7e6-d52d-4beb-872a-3b6b6a92ec35* 21.05.2003 07:54 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Ahead\NeroVision\Effects\{e9523f94-f971-422a-9ad5-578d5aea1969} 07.09.2003 17:52 25 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Command Processor 20.01.2007 07:37 0 bytes Security mismatch.
C:\Recycled\NPROTECT\00000305 20.01.2007 21:15 4.97 MB Hidden from Windows API.
C:\Recycled\NPROTECT\00000306.RDB 20.01.2007 20:57 1.81 MB Hidden from Windows API.

#21 Könnten wir mal so eine Meldung oder Logfile sehen, was da gesendet werden soll? Immerhin lässt sich ja nicht auszuschliessen das es sich um eine Falschmeldung handelt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#22 wie gesagt, bis jetzt ist mir ausser dem proxy von safersurf nichts aufgefallen
__________
MfG Sabina

rund um die PC-Sicherheit

#23 wahrscheinlich werde ich ja wirklich eine neuinstallation vorsehen. irgendwie scheinen alle aktivitäten, die ich ausführen will abgebloggt zu werden. als ich z.B. CleanUp452 gedownloaded hatte und es starten wollte, ließ es sich nicht starten (falsche Größe kam). ich habe es dann auf einem anderen rechner runtergeladen und auf den rechner kopiert, dann ließ es sich starten. gemer führt zum absturz des system mit sofortigen neustart (habe ich allerdings mit dem betroffenen rechner runtergeladen). im outlookexpress hatte ich mal eine mail, wo überhaupt kein empfänger drinstand. irgendwas muß doch da sein.
Ich hoffe nun bloß, das ich das nicht mittlerweile auf allen meinen rechnern habe. was gibt es denn für einen mail client, den ich statt outlook oder outlookexpress verwenden könnt?
ich habe von dem betroffenen rechner noch ein abbild von 2005. auf das würde ich gern zurückgreifen oder ist das auch nicht empfehlenswert?
mfg
christian

#24 wenn du ein sauberes Image hast, so wende es dann - dann mache auch gleich die Windowsupdates, damit es auf dem neusten Stand ist.
dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#25 hallo,
ich habe mir mal meine firewall-einträge auf dem xp rechner angesehen. besonders einen finde ich sehr bedenklich, mit dem mail
ich schicke ihn mal mit, hab ich bestimmt hier dasselbe drauf

Kategorie: Firewall-Warnungen
Datum/Uhrzeit,Meldung,Details
20.01.2007 10:28:24,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe""."
18.01.2007 14:53:51,Für dieses Mal hat der Benutzer Folgendes gewählt: "Zulassen" Kommunikation.,"Für dieses Mal hat der Benutzer Folgendes gewählt: ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,netbios-dgm(138)). Remote-Adresse, Service ist (192.168.0.255,netbios-dgm(138)). Prozessname ist ""C:\WINDOWS\Explorer.EXE""."
18.01.2007 14:53:19,Für dieses Mal hat der Benutzer Folgendes gewählt: "Zulassen" Kommunikation.,"Für dieses Mal hat der Benutzer Folgendes gewählt: ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,netbios-ns(137)). Remote-Adresse, Service ist (192.168.0.255,netbios-ns(137)). Prozessname ist ""C:\WINDOWS\Explorer.EXE""."
14.01.2007 23:24:57,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Norton Internet Security\Norton AntiVirus\navw32.exe""."
12.01.2007 07:52:58,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\XPcleanV7\XPclean.exe""."
10.01.2007 13:27:13,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\WINDOWS\system32\DivXCodecUpdateChecker.exe""."
08.01.2007 09:28:23,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (66.179.199.134,http(80)). Prozessname ist ""C:\Dokumente und Einstellungen\HST\Anwendungsdaten\WholeSecurity\CAT\WSOOPScan.exe""."
06.01.2007 11:55:38,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (213.198.84.206,995). Prozessname ist ""C:\Programme\Outlook Express\msimn.exe""."
04.01.2007 17:09:22,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (12.158.80.10,http(80)). Prozessname ist ""E:\Virenentfernung\chktrust.exe""."
02.01.2007 09:01:22,Eine Regel wurde erstellt für "Blockieren" Kommunikation.,"Eine Regel wurde erstellt für ""Blockieren"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (64.192.134.206,http(80)). Prozessname ist ""C:\Programme\Babylon Translator\babylon.exe""."
01.01.2007 13:10:47,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (62.4.69.65,http(80)). Prozessname ist ""C:\WINDOWS\system32\DivXCodecUpdateChecker.exe""."
31.12.2006 23:00:39,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\DAP\DAPUPD.EXE""."
31.12.2006 19:45:30,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\DAP\DAP.exe""."
29.12.2006 19:05:47,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Gemeinsame Dateien\Lexware\IUpdate\LxIntUpd.exe""."
29.12.2006 18:23:05,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe""."
29.12.2006 18:01:59,Für dieses Mal hat der Benutzer Folgendes gewählt: "Zulassen" Kommunikation.,"Für dieses Mal hat der Benutzer Folgendes gewählt: ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Dokumente und Einstellungen\HST\Lokale Einstellungen\Temp\ICD1.tmp\jinstall.exe""."
24.12.2006 18:38:33,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Norton SystemWorks\WebReg.exe""."
24.12.2006 18:34:11,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.15,0). Remote-Adresse, Service ist (192.168.0.1,domain(53)). Prozessname ist ""C:\Programme\Norton SystemWorks\cfgwiz.exe""."
23.12.2006 18:34:36,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,0). Remote-Adresse, Service ist (217.237.151.51,domain(53)). Prozessname ist ""c:\windows\system32\rundll32.exe""."
23.12.2006 18:32:43,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,netbios-ns(137)). Remote-Adresse, Service ist (192.168.0.255,netbios-ns(137)). Prozessname ist ""System""."
23.12.2006 18:31:37,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,netbios-dgm(138)). Remote-Adresse, Service ist (192.168.0.255,netbios-dgm(138)). Prozessname ist ""System""."
23.12.2006 18:29:52,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,0). Remote-Adresse, Service ist (217.237.151.51,domain(53)). Prozessname ist ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe""."
23.12.2006 18:26:59,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,0). Remote-Adresse, Service ist (217.237.151.51,domain(53)). Prozessname ist ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe""."
23.12.2006 18:21:57,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehendes UDP-Paket. Lokale Adresse, Service ist (192.168.0.177,0). Remote-Adresse, Service ist (217.237.151.51,domain(53)). Prozessname ist ""C:\Programme\Symantec\LiveUpdate\LuComServer_3_1.EXE""."

mfg
christian

#26 du hast weiterhin ugebetenen Besuch....

06.01.2007 11:55:38,Eine Regel wurde erstellt für "Zulassen" Kommunikation.,"Eine Regel wurde erstellt für ""Zulassen"" Kommunikation. Ausgehende TCP-Verbindung. Remote-Adresse, Service ist (213.198.84.206,995). Prozessname ist ""C:\Programme\Outlook Express\msimn.exe""."

domain or IP address - 213.198.84.206

Domain Name: SAFERSURF.COM
Registrar: CRONON AG BERLIN, NIEDERLASSUNG REGENSBURG
Whois Server: whois.tmagnic.net
Referral URL: http://nsi-robo.tmag.de
Name Server: NS.ESC.DE
Name Server: NS2.ESC.DE

_______________

du kannst das System auch hiermit gut ueberwachen: (Whois, Ping usw...)
http://virus-protect.org/artikel/tools/portexplorer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 hane das programm genutzt, habe noch eine ip in italien gefunden
195.22.198.207
wie kriege ich die denn nun weg?

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '195.22.198.128 - 195.22.198.255'

mfg
christian

#28 Meiner Meinung nach bekommst du dein System nicht mehr komplett sauber, leb damit oder formatiere und lerne was daraus
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#29 Und für die Zukunft würde ich statt dem IE Firefox, und statt Outlook/Express lieber Thunderbird benutzen. Thunderbird hat zusätzlich sogar einen eigenen eingebauten SPAM-Filter (trainierbar/lernend)

#30 ich habe mich jetzt dazu durchgerungen, alles neu zu machen. nun wollte ich mir meine gedownloadeten datei auf cd brennen. dabei kommt bei allen ausführbaren und html datei der hinweis datei ist mit einer Markierung versehen, die beim kopieren verloren gehen könnte. kann ich daraus den schluß ziehen, wenn ich das system neu mache und dann auf die anderen partitionen zugreife, das ich dann selbigen zustand, wie er jetzt ist, wieder herstelle? weil ich ja eigentlich nur mein laufwerk c formatieren kann.
Hier noch der gmerscan dieses xp-rechners

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-24 14:37:25
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT 854663A0 ZwAlertResumeThread
SSDT 854886C8 ZwAlertThread
SSDT 8505D6E8 ZwAllocateVirtualMemory
SSDT GoBack2K.sys ZwClose
SSDT 854771A8 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 8544C118 ZwCreateMutant
SSDT 850826E8 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT 8539C2D8 ZwFreeVirtualMemory
SSDT GoBack2K.sys ZwFsControlFile
SSDT 8547C0F0 ZwImpersonateAnonymousToken
SSDT 85455CB0 ZwImpersonateThread
SSDT 8542B008 ZwMapViewOfSection
SSDT 856B8890 ZwOpenEvent
SSDT 854D22A0 ZwOpenProcessToken
SSDT 853A61F0 ZwOpenThreadToken
SSDT 853A9280 ZwResumeThread
SSDT 853A4238 ZwSetContextThread
SSDT 853831F0 ZwSetInformationProcess
SSDT 85431A78 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT 856D0130 ZwSuspendProcess
SSDT 853A4130 ZwSuspendThread
SSDT 85493E40 ZwTerminateProcess
SSDT 85390240 ZwTerminateThread
SSDT 854830E8 ZwUnmapViewOfSection
SSDT 84F02680 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 235C 80501060 8 Bytes [ A0, 63, 46, 85, C8, 86, 48, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2478 8050117C 8 Bytes [ D8, C2, 39, 85, D0, DA, 35, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2518 8050121C 1 Byte [ A0 ]
.text ntkrnlpa.exe!ZwCallbackReturn + 251A 8050121E 2 Bytes [ 4D, 85 ]
.text ntkrnlpa.exe!ZwCallbackReturn + 26BC 805013C0 8 Bytes [ F0, 31, 38, 85, 78, 1A, 43, ... ]
.text ...

---- Devices - GMER 1.0.12 ----

Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk1\DR1 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk1\DR1 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk1\DR1 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk1\DR1 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DR4 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DR4 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DR4 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DR4 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DP(1)0-0+8 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DP(1)0-0+8 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DP(1)0-0+8 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk2\DP(1)0-0+8 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DR5 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DR5 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DR5 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DR5 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DP(1)0-0+9 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DP(1)0-0+9 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DP(1)0-0+9 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk3\DP(1)0-0+9 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DP(1)0-0+a IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DP(1)0-0+a IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DP(1)0-0+a IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DP(1)0-0+a IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DR6 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DR6 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DR6 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk4\DR6 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DP(1)0-0+b IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DP(1)0-0+b IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DP(1)0-0+b IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DP(1)0-0+b IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DR7 IRP_MJ_READ [F735D190] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DR7 IRP_MJ_WRITE [F735D280] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DR7 IRP_MJ_FLUSH_BUFFERS [F735D370] GoBack2K.sys
Device \Driver\Disk \Device\Harddisk5\DR7 IRP_MJ_DEVICE_CONTROL [F735D600] GoBack2K.sys

---- EOF - GMER 1.0.12 ----


mfg
christian