schwarzer desktop mit spywarewarnung

#16 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only

Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru

O2 - BHO: (no name) - {49582D01-5592-4E9A-B672-FBABAB3B9A2C} - (no file)

O20 - Winlogon Notify: iifebCRl - iifebCRl.dll (file missing)

und wähle fix checked.
Starte den Rechner neu.

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Update dein JAVA:
ttp://board.protecus.de/t32385-1.htm


Gruss Swiss

#17 Edit Mod: MfG Ralf
__________
Ich brauche keinen sex, das leben fickt mich jeden Tag.

#18 wofür? arbeite die anleitung ab

#19 hier das log von combo fix:
ComboFix 08-12-20.05 - Alina 2008-12-21 14:52:09.1 - [color=red]FAT32[/color]x86
ausgef³hrt von:: c:\dokumente und einstellungen\Alina\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L÷schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\dbfb.dll
c:\windows\system32\test.ttt
c:\windows\system32\uuddc32.dll
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-21 bis 2008-12-21 ))))))))))))))))))))))))))))))
.

2008-12-20 10:51 . 2008-12-20 10:51 <DIR> d-------- c:\programme\Trend Micro
2008-12-18 15:06 . 2008-12-18 15:06 <DIR> d-------- c:\programme\Zone Five Software
2008-12-18 15:06 . 2008-12-18 15:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoneFiveSoftware
2008-12-14 14:30 . 2008-12-14 14:28 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-11 17:31 . 2008-12-11 17:31 <DIR> d-------- c:\programme\Avanquest update
2008-12-11 17:31 . 2008-12-11 17:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-12-11 17:30 . 2007-12-10 14:22 110,632 --a------ c:\windows\system32\drivers\s3017mdm.sys
2008-12-11 17:30 . 2007-12-10 14:22 110,120 --a------ c:\windows\system32\drivers\s3017unic.sys
2008-12-11 17:30 . 2007-12-10 14:22 104,616 --a------ c:\windows\system32\drivers\s3017mgmt.sys
2008-12-11 17:30 . 2007-12-10 14:22 100,648 --a------ c:\windows\system32\drivers\s3017obex.sys
2008-12-11 17:30 . 2007-12-10 14:22 83,880 --a------ c:\windows\system32\drivers\s3017bus.sys
2008-12-11 17:30 . 2007-12-10 14:22 25,512 --a------ c:\windows\system32\drivers\s3017nd5.sys
2008-12-11 17:30 . 2007-12-10 14:22 15,016 --a------ c:\windows\system32\drivers\s3017mdfl.sys
2008-12-11 17:30 . 2007-12-10 14:22 12,200 --a------ c:\windows\system32\drivers\s3017whnt.sys
2008-12-11 17:30 . 2007-12-10 14:22 12,200 --a------ c:\windows\system32\drivers\s3017wh.sys
2008-12-11 17:30 . 2007-12-10 14:22 12,200 --a------ c:\windows\system32\drivers\s3017cmnt.sys
2008-12-11 17:30 . 2007-12-10 14:22 12,200 --a------ c:\windows\system32\drivers\s3017cm.sys
2008-12-11 17:30 . 2007-12-10 14:22 10,792 --a------ c:\windows\system32\drivers\s3017cr.sys
2008-12-11 17:28 . 2008-12-11 17:28 <DIR> d-------- c:\programme\Sony Ericsson
2008-12-11 17:28 . 2008-12-11 17:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-12-06 13:34 . 2008-12-06 13:34 <DIR> d-------- c:\programme\AxiomX
2008-12-06 13:34 . 1999-12-17 09:13 86,016 --a------ c:\windows\unvise32.exe
2008-12-04 16:44 . 2008-12-04 16:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-04 16:44 . 2008-12-04 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-04 16:44 . 2008-12-04 16:44 <DIR> d-------- c:\dokumente und einstellungen\Alina\Anwendungsdaten\Malwarebytes
2008-12-04 16:44 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-04 16:44 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-03 20:53 . 2008-12-03 20:53 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-12-03 20:53 . 2008-12-03 20:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-03 20:40 . 2008-12-20 17:09 664 --a------ c:\windows\system32\d3d9caps.dat
2008-11-30 21:38 . 2008-11-30 21:38 <DIR> d-------- c:\programme\iPod
2008-11-30 21:37 . 2008-11-30 21:37 <DIR> d-------- c:\programme\iTunes
2008-11-30 21:37 . 2008-11-30 21:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-12 17:01 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll
2008-10-28 23:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 23:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 23:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 23:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 23:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-24 12:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 12:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-16 01:00 671,744 ------w c:\windows\system32\dllcache\wininet.dll
2008-10-16 01:00 620,544 ------w c:\windows\system32\dllcache\urlmon.dll
2008-10-16 01:00 1,499,136 ------w c:\windows\system32\dllcache\shdocvw.dll
2008-10-15 17:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-25 09:03 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-25 09:03 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-25 09:03 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-25 09:03 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-25 09:03 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-25 09:03 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-25 09:03 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-25 09:03 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-25 09:03 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-25 09:03 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-03-21 20:07 0 ----a-w c:\programme\temp01
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrõge & legitime Standardeintrõge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 53248]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-04-27 151552]
"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-06-23 602112]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"BisonBar"="c:\windows\BUtilityBar\BisonBar.exe" [2006-09-08 245760]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"LXBTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll" [2004-03-17 65536]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Alina\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-03-27 45056]
Video Link Instant Record Edition.lnk - c:\programme\NEOTION\Video Link Instant Record Edition\Bin\ASLaunch.exe [2008-01-15 86016]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Lexmark 5200 series"="c:\programme\Lexmark 5200 series\lxbtbmgr.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Dokumente und Einstellungen\\Alina\\Eigene Dateien\\utorrent.exe"=
"c:\\Programme\\esel\\emule\\emule.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Dokumente und Einstellungen\\Alina\\Desktop\\PATRICK\\IPCurve100Win32\\IPCurve\\ipcurve.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys []
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys []
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\DRIVERS\s3017bus.sys [2008-12-11 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s3017mdfl.sys [2008-12-11 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s3017mdm.sys [2008-12-11 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s3017mgmt.sys [2008-12-11 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\DRIVERS\s3017nd5.sys [2008-12-11 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s3017obex.sys [2008-12-11 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\DRIVERS\s3017unic.sys [2008-12-11 110120]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);c:\windows\system32\DRIVERS\SE2Ebus.sys [2007-03-18 61600]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;c:\windows\system32\DRIVERS\SE2Emdfl.sys [2007-03-18 9360]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;c:\windows\system32\DRIVERS\SE2Emdm.sys [2007-03-18 97184]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\SE2Emgmt.sys [2007-03-18 88688]
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\DRIVERS\se2End5.sys [2007-03-18 18704]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\SE2Eobex.sys [2007-03-18 86560]
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\DRIVERS\se2Eunic.sys [2007-03-18 90800]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-21 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]

2008-12-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseintrõge - - - -

ShellExecuteHooks-{49582D01-5592-4E9A-B672-FBABAB3B9A2C} - (no file)


.
------- Zusõtzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Alina\Anwendungsdaten\Mozilla\Firefox\Profiles\1geh9ilx.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-21 14:54:20
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintrõge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(624)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-21 14:55:17
ComboFix-quarantined-files.txt 2008-12-21 13:55:14

Vor Suchlauf: 8.032.485.376 Bytes frei
Nach Suchlauf: 8,634,662,912 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

239 --- E O F --- 2008-12-18 18:44:05

#20 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

>>
Poste ein neues HJT Log

Grus Swiss

#21 thx hier die Logfiles:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 28. Dezember 2008 22:15

Es wird nach 1125477 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ALINALAPTOP

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.04.2008 15:08:00
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 15:33:40
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 15:33:42
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 15:33:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:15:42
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 09:57:26
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 09:57:26
ANTIVIR3.VDF : 7.1.1.41 116736 Bytes 28.12.2008 16:23:24
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 20:02:36
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 11.12.2008 16:25:28
AESCN.DLL : 8.1.1.5 123251 Bytes 08.09.2008 11:46:08
AERDL.DLL : 8.1.1.3 438645 Bytes 05.09.2008 22:05:14
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.09.2008 16:21:12
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 16:25:24
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 11.12.2008 16:25:22
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.04.2008 16:20:28
AEGEN.DLL : 8.1.1.8 323956 Bytes 11.12.2008 16:25:06
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:02:22
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 17:26:00
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:02:16
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 15:33:40
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 15:33:40
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:20:02
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 15:33:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 06:36:52
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 15:33:40
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 06:36:52
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 15:33:42
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 06:36:52
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 15:33:20
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 15:33:20

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 28. Dezember 2008 22:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uTorrent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acer.Empowering.Framework.Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonBar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIAPSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDFMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [87]: Falscher Parameter.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '78' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\ComboFix\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <ACERDATA>
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.


Ende des Suchlaufs: Montag, 29. Dezember 2008 15:34
Benötigte Zeit: 17:18:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8798 Verzeichnisse wurden überprüft
338112 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
338109 Dateien ohne Befall
11254 Archive wurden durchsucht
3 Warnungen
1 Hinweise







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:27, on 29.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alina\Eigene Dateien\uTorrent.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: Video Link Instant Record Edition.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10717 bytes

#22

Zitat

[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\ComboFix\nircmd.com

Das ist lediglich von Combofix, kannst du löschen:
C:\Combofix

>>
Hast du dein Java geupdatet?
ttp://board.protecus.de/t32385-1.htm

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#23 hey
sry war im Urlaub desweegen hat es nen bischen länger gedauert.

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1624
Windows 5.1.2600 Service Pack 3

06.01.2009 18:56:23
mbam-log-2009-01-06 (18-56-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 142166
Laufzeit: 35 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Bin ich´s endlich los?
p.s. der java Link geht bei mir nicht Firefox weiß nicht wie es die Datei öffnen soll

#24 Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u11 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe
__________
MfG Argus

#25 Hey
danke erstmal hab meine Java Software jetzt geupdatet. Kann mir jetzt bitte noch jemand sagen ob ich die blöde Spyware endlich komplett los bin?
mfg Zerberus

#26 Hast du noch Meldungen oder Probleme?

Dürfte alles weg sein.
Du kannst jedoch noch einige Kontrollscans machen online:
http://virus-protect.org/onlinescan.html

Gruss Swiss

#27 Ne ich schein ihn besiegt zu haben werde aber denk ich zu sichherheit den kontrollscan irgend wann noch mal drüber laufen lassen und dann posten.
Vielen dank erstmal mal für den klasse Support
mfg Zerberus

Hab ihn aber jetzt leider auch auf nem anderm Rechner den ich eig schonaufgegeben hatte hab die Liste schon abgearbeitet hier die Logs wäre net wenn mal einer drber schauen könnte:

ComboFix 09-01-21.04 - Administrator 2009-01-31 11:03:38.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.609 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Panda Internet Security 2008 *On-access scanning disabled* (Outdated)
FW: Panda Internet Security 2008 *disabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 ))))))))))))))))))))))))))))))
.

2009-01-31 10:28 . 2009-01-31 10:28 <DIR> d-------- d:\programme\Trend Micro
2009-01-30 18:04 . 2009-01-30 18:04 <DIR> d-------- d:\programme\Malwarebytes' Anti-Malware
2009-01-30 18:04 . 2009-01-30 18:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-30 18:04 . 2009-01-30 18:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-30 18:04 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-30 18:04 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 09:59 241,200 ----a-w c:\windows\system32\drivers\APPFCONT.DAT.bck
2009-01-31 09:59 241,200 ----a-w c:\windows\system32\drivers\APPFCONT.DAT
2009-01-31 09:59 1,204 ----a-w c:\windows\system32\drivers\APPFLTR.CFG.bck
2009-01-31 09:59 1,204 ----a-w c:\windows\system32\drivers\APPFLTR.CFG
2009-01-31 09:43 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2009-01-31 09:01 --------- d-----w d:\programme\firefox
2009-01-30 21:15 --------- d-----w d:\programme\QIP
2007-06-08 17:55 388,877 --sha-w c:\windows\system32\ddeeg.ini2
.

((((((((((((((((((((((((((((( snapshot@2009-01-30_18.40.19,60 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-30 17:36:49 64,590 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-31 09:59:21 64,590 ----a-w c:\windows\system32\perfc007.dat
- 2009-01-30 17:36:49 53,608 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-31 09:59:21 53,608 ----a-w c:\windows\system32\perfc009.dat
- 2009-01-30 17:36:49 394,510 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-31 09:59:21 394,510 ----a-w c:\windows\system32\perfh007.dat
- 2009-01-30 17:36:50 383,254 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-31 09:59:21 383,254 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]
"AlcoholAutomount"="d:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 219520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"QveCtl2Tray"="d:\programme\Philips\PSA2\skin\QveCplSk.EXE" [2002-11-04 569344]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"SecurDisc"="d:\programme\Nero\Nero8\InCD\NBHGui.exe" [2007-09-20 2044712]
"InCD"="d:\programme\Nero\Nero8\InCD\InCD.exe" [2007-09-20 1077032]
"NBKeyScan"="d:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"APVXDWIN"="d:\programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" [2007-07-23 406832]
"SCANINICIO"="d:\programme\Panda Security\Panda Internet Security 2008\Inicio.exe" [2007-07-11 27952]
"SunJavaUpdateSched"="d:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"SoundMan"="SOUNDMAN.EXE" [2004-11-11 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
NETGEAR WG111v2 Smart Wizard.lnk - d:\programme\NETGEAR\WG111v2\WG111v2.exe [2006-07-30 1101824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"MaxRecentDocs"= 7 (0x7)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-02-15 19:02 50736 c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 c:\windows\system32\geedd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000004
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\utorrent.exe"=
"d:\\programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\programme\\ICQ6\\ICQ.exe"=

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [2004-11-11 97920]
R1 APPFLT;App Filter Plugin;c:\windows\system32\drivers\APPFLT.SYS [2007-02-27 71736]
R1 DSAFLT;DSA Filter Plugin;c:\windows\system32\drivers\dsaflt.sys [2007-02-27 51256]
R1 FNETMON;NetMon Filter Plugin;c:\windows\system32\drivers\fnetmon.sys [2007-02-27 22072]
R1 IDSFLT;Ids Filter Plugin;c:\windows\system32\drivers\idsflt.sys [2007-02-27 191672]
R1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\drivers\NETFLTDI.SYS [2007-02-27 16:20:40 132920]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2007-02-27 38968]
R1 SMSFLT;SMS Filter Plugin;c:\windows\system32\drivers\smsflt.sys [2007-02-27 37304]
R1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\drivers\wnmflt.sys [2007-02-27 30648]
R3 AvFlt;Antivirus Filter Driver;c:\windows\system32\drivers\av5flt.sys --> c:\windows\system32\drivers\av5flt.sys [?]
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;c:\windows\system32\drivers\netimflt.sys [2007-02-27 142128]
R3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys --> c:\windows\system32\PavSRK.sys [?]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
R3 PSC60x;Philips PCI Audio Driver (WDM);c:\windows\system32\drivers\pscaudio.sys [2006-09-04 365460]
R3 QsndEnum;QSound Virtual Audio Devices Bus Enumerator;c:\windows\system32\drivers\QsndEnum.sys [2006-09-04 9600]
R3 QSoftAud;Philips Sound Agent 2 (WDM);c:\windows\system32\drivers\QSoftAud.sys [2006-09-04 411008]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2006-03-27 167808]
R4 cpoint;Panda CPoint Driver;c:\windows\system32\drivers\cpoint.sys [2007-02-27 24760]
R4 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2007-02-27 178872]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-07-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]

2008-07-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

2008-06-20 c:\windows\Tasks\Grundlegende Bereinigung.job
- d:\programme\Panda Security\Panda Internet Security 2008\PlaTasks.exe [2007-07-17 14:13]

2009-01-30 c:\windows\Tasks\Grundlegende Bereinigung1.job
- d:\programme\Panda Security\Panda Internet Security 2008\PlaTasks.exe [2007-07-17 14:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyServer = 10.1.254.2:2020
uInternet Settings,ProxyOverride = *.local
IE: Crawler Search - tbr:iemenu
IE: In &neuem Fenster öffnen - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
IE: Mit &Google suchen - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Übersetzen mit &dict.leo.org - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
IE: {{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
LSP: d:\programme\Panda Security\Panda Internet Security 2008\pavlsp.dll
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - d:\programme\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\fsbg19iz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://cgi.ebay.de/BURTON-MOTOROLA-AUDEX-CARGO-Jacket-Bluetooth-Black-M-L_W0QQitemZ350047946771QQihZ022QQcategoryZ57988QQssPageNameZWDVWQQrdZ1QQcmdZViewItem#ShippingPayment
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: d:\programme\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: d:\programme\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: d:\programme\Crawler\Toolbar\firefox\components\xwsg.dll
FF - component: d:\programme\firefox\components\xpinstal.dll
FF - component: d:\programme\firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 11:03:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(940)
c:\windows\system32\sfc_os.dll
c:\windows\system32\RtlGina2.dll
c:\windows\system32\avldr.dll
.
Zeit der Fertigstellung: 2009-01-31 11:06:57
ComboFix-quarantined-files.txt 2009-01-31 10:05:39
ComboFix2.txt 2009-01-30 17:42:40

Vor Suchlauf: 1.576.054.784 Bytes frei
Nach Suchlauf: 1,573,675,008 Bytes frei

167





Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 31. Januar 2009 11:27

Es wird nach 1302306 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: WINDOWSPC

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 10:19:57
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 10:20:18
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 10:20:19
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 10:20:51
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 31.01.2009 10:20:49
AESCN.DLL : 8.1.1.6 127348 Bytes 31.01.2009 10:20:46
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 31.01.2009 10:20:44
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 31.01.2009 10:20:39
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 31.01.2009 10:20:37
AEHELP.DLL : 8.1.2.0 119159 Bytes 31.01.2009 10:20:24
AEGEN.DLL : 8.1.1.12 328053 Bytes 31.01.2009 10:20:23
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.3 176501 Bytes 31.01.2009 10:20:20
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 31. Januar 2009 11:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PavBckPT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBHGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QveCplSk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsImSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pskmssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVENGINE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAVSRV51.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PavPrSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAVFNSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsCtrlS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office 2007 Enterprise .rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
--> crack.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e72a35.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Premium 2007.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
--> crack.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e72a36.qua' verschoben!
C:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP2\A0000196.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b42c94.qua' verschoben!
C:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP2\A0000288.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b42c9a.qua' verschoben!
C:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP2\A0000370.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b42c9f.qua' verschoben!
C:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP2\A0000408.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b42ca3.qua' verschoben!
C:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP3\A0000458.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b42ca8.qua' verschoben!
C:\WINDOWS\system32\ALu.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Podnuha.aaq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f92d69.qua' verschoben!
C:\WINDOWS\system32\bjktadrt.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ef2d89.qua' verschoben!
C:\WINDOWS\system32\dlgtsmsb.dll
[FUND] Ist das Trojanische Pferd TR/Monder.105024.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49eb2d92.qua' verschoben!
C:\WINDOWS\system32\fnxhaqpr.exe
[FUND] Ist das Trojanische Pferd TR/PrivacySet.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fc2d97.qua' verschoben!
C:\WINDOWS\system32\fuhjdpmj.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.EMI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ec2d9f.qua' verschoben!
C:\WINDOWS\system32\fvvlrtsd.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fa2da0.qua' verschoben!
C:\WINDOWS\system32\geedd.dll.ren
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e92d8f.qua' verschoben!
C:\WINDOWS\system32\glsyyymj.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f72d97.qua' verschoben!
C:\WINDOWS\system32\hfdidvqv.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e82d91.qua' verschoben!
C:\WINDOWS\system32\irptxdso.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f42da1.qua' verschoben!
C:\WINDOWS\system32\lgxmquic.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fc2d98.qua' verschoben!
C:\WINDOWS\system32\ltmleoln.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f12da6.qua' verschoben!
C:\WINDOWS\system32\nkcvynmr.exe
[FUND] Ist das Trojanische Pferd TR/PrivacySet.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e72da5.qua' verschoben!
C:\WINDOWS\system32\nnwnjosf.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fb2da8.qua' verschoben!
C:\WINDOWS\system32\opqtgwqf.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f52db0.qua' verschoben!
C:\WINDOWS\system32\qixnnrby.exe
[FUND] Ist das Trojanische Pferd TR/PrivacySet.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fc2dab.qua' verschoben!
C:\WINDOWS\system32\ruvoynjv.exe
[FUND] Ist das Trojanische Pferd TR/PrivacySet.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fa2dba.qua' verschoben!
C:\WINDOWS\system32\scfbgnes.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ea2da9.qua' verschoben!
C:\WINDOWS\system32\ssqppmm.dll.ren
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f52dbb.qua' verschoben!
C:\WINDOWS\system32\tswbcpng.dll
[FUND] Ist das Trojanische Pferd TR/Proxy.101376
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fb2dbe.qua' verschoben!
C:\WINDOWS\system32\xhmcblok.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f12db9.qua' verschoben!
C:\WINDOWS\system32\xpenmtmf.exe
[FUND] Ist das Trojanische Pferd TR/Lowzones.SG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e92dc2.qua' verschoben!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ef2dc6.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Data>
D:\games\juiced\hlm-intro.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f12fba.qua' verschoben!
D:\programme\Panda Security\Panda Internet Security 2008\Pskavs.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ef3305.qua' verschoben!
D:\System Volume Information\_restore{7F0D0B3A-2C99-4A28-A2BA-DA56DA39380A}\RP3\A0000480.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b4332c.qua' verschoben!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [1392]: Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar.
Beginne mit der Suche in 'J:\' <platte 3>
J:\pornos usw\bilder xxx\xxx\Jenna.Jameson.Age.18.First.Scene.HardCore.[XXX]\password.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f734bc.qua' verschoben!
J:\themen\Enterprise.exe.part
[0] Archivtyp: CAB SFX (self extracting)
--> README.HTM
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Samstag, 31. Januar 2009 12:24
Benötigte Zeit: 57:20 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6091 Verzeichnisse wurden überprüft
262502 Dateien wurden geprüft
37 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
34 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
262463 Dateien ohne Befall
3526 Archive wurden durchsucht
4 Warnungen
35 Hinweise



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:07, on 31.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\programme\Bonjour\mDNSResponder.exe
D:\programme\Nero\Nero8\InCD\InCDsrv.exe
D:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
D:\programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
D:\programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
D:\programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
D:\programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
d:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
D:\programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\programme\Philips\PSA2\skin\QveCplSk.EXE
D:\programme\Nero\Nero8\InCD\NBHGui.exe
D:\programme\Nero\Nero8\InCD\InCD.exe
D:\programme\Java\jre1.6.0_05\bin\jusched.exe
D:\programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS\system32\rundll32.exe
D:\programme\iPod\bin\iPodService.exe
D:\programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
D:\programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\explorer.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
d:\programme\avira\antivir personaledition classic\avcenter.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\notepad.exe
D:\programme\Opera\Opera.exe
D:\programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.254.2:2020
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - D:\programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - D:\programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QveCtl2Tray] D:\programme\Philips\PSA2\skin\QveCplSk.EXE D:\programme\Philips\PSA2\skin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SecurDisc] D:\programme\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] D:\programme\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [APVXDWIN] "D:\programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "D:\programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = D:\programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\programme\ICQ6\ICQ.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\programme\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - d:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - D:\programme\Panda Security\Panda Internet Security 2008\TPSrv.exe

--
End of file - 10081 bytes

#28 >>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\PavSRK.sys
c:\windows\system32\PavTPK.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

>>
Wende GMER an und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

>>
scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss

Für mich:

Zitat

R3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys --> c:\windows\system32\PavSRK.sys [?]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]

#29 hey
vielen dank erstmal konnte aber leider die Dateien
c:\windows\system32\PavSRK.sys
c:\windows\system32\PavTPK.sys
nicht finden sie sind nicht merh da, es sind aber noch andere Dateien die mit PAV anfangen vorhenden. Es handelt sich um dll, cpl, opc, ico, dat ka ob diese von bedeutung sind. Arbeite die Liste jetzt einfach mal so weiter ab bis ich neue Anweisungen kriege.
mfg Zerberus

hier das erste LOG
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-01 13:29:30
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF74650D0]
SSDT F7C587A4 ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF746AFB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF746B340]
SSDT sptd.sys ZwOpenKey [0xF74650B0]
SSDT F7C58790 ZwOpenProcess
SSDT F7C58795 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF746B418]
SSDT sptd.sys ZwQueryValueKey [0xF746B298]
SSDT sptd.sys ZwSetValueKey [0xF746B4AA]
SSDT \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys (Panda Process Protection driver/Panda Software International) ZwTerminateProcess [0xB9ED9A70]
SSDT \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys (Panda Process Protection driver/Panda Software International) ZwTerminateThread [0xB9ED8E40]
SSDT F7C5879A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F6DBF62C 5 Bytes JMP 869601C8
? System32\Drivers\arey0iq5.SYS Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\PavTPK.sys Das System kann die angegebene Datei nicht finden. !
? system32\drivers\av5flt.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\PavSRK.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[204] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\iPod\bin\iPodService.exe[332] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\iPod\bin\iPodService.exe[332] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe[688] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\Bonjour\mDNSResponder.exe[1812] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\Bonjour\mDNSResponder.exe[1812] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\NETGEAR\WG111v2\WG111v2.exe[2756] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\Philips\PSA2\skin\QveCplSk.EXE[3008] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\iTunes\iTunesHelper.exe[3152] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\iTunes\iTunesHelper.exe[3152] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtClose 7C91D586 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtClose + 4 7C91D58A 2 Bytes [ 4D, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtCreateFile 7C91D682 1 Byte [ FF ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtCreateFile + 2 7C91D684 1 Byte [ 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtCreateFile + 4 7C91D686 2 Bytes [ 6E, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtCreateKey 7C91D6D6 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtCreateKey + 4 7C91D6DA 2 Bytes [ 50, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteFile 7C91D88F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteFile + 4 7C91D893 2 Bytes [ 71, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteKey 7C91D8A4 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteKey + 4 7C91D8A8 2 Bytes [ 53, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteValueKey 7C91D8CE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDeleteValueKey + 4 7C91D8D2 2 Bytes [ 56, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDuplicateObject 7C91D90D 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtDuplicateObject + 4 7C91D911 2 Bytes [ 59, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtEnumerateKey + 4 7C91D950 2 Bytes [ 5C, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 2 Bytes [ 5F, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtOpenFile 7C91DCFD 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtOpenFile + 4 7C91DD01 2 Bytes [ 74, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtQueryMultipleValueKey 7C91E0AE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtQueryMultipleValueKey + 4 7C91E0B2 2 Bytes [ 62, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtQueryValueKey 7C91E1FE 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtQueryValueKey + 4 7C91E202 2 Bytes [ 65, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtReadFile 7C91E27C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtReadFile + 4 7C91E280 2 Bytes [ 77, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtSetInformationFile 7C91E5D9 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtSetInformationFile + 4 7C91E5DD 2 Bytes [ 7A, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtSetValueKey 7C91E7BC 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtSetValueKey + 4 7C91E7C0 2 Bytes [ 68, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtUnloadKey 7C91E90C 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtUnloadKey + 4 7C91E910 2 Bytes [ 6B, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtWriteFile 7C91E9F3 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!NtWriteFile + 4 7C91E9F7 2 Bytes [ 7D, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 4A, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!TerminateProcess 7C801E16 6 Bytes JMP 5F310F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!WriteProcessMemory 7C80220F 6 Bytes JMP 5F370F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CreateFileMappingW 7C80939E 6 Bytes JMP 5F3D0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!MapViewOfFileEx 7C80B71E 6 Bytes JMP 5F340F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CreateRemoteThread 7C810626 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CreateRemoteThread + 4 7C81062A 2 Bytes [ 41, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CreateProcessInternalW 7C8191EB 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CreateProcessInternalW + 4 7C8191EF 2 Bytes [ 47, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!MoveFileWithProgressW 7C821565 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!MoveFileWithProgressW + 4 7C821569 2 Bytes [ 44, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] kernel32.dll!CopyFileExW 7C82EFF2 6 Bytes JMP 5F3A0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!DispatchMessageW 77D189D9 6 Bytes JMP 5FA90F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!TranslateMessage 77D18BCE 6 Bytes JMP 5F940F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!DispatchMessageA 77D1BCBD 6 Bytes JMP 5F910F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!GetKeyState 77D1C379 6 Bytes JMP 5FA00F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!BeginDeferWindowPos 77D1CDCB 6 Bytes JMP 5F8E0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!GetAsyncKeyState 77D1D051 6 Bytes JMP 5F970F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!GetKeyboardState 77D1EF35 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!GetKeyboardState + 4 77D1EF39 2 Bytes [ 9E, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!AttachThreadInput 77D2674F 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!AttachThreadInput + 4 77D26753 2 Bytes [ 9B, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!SetWindowsHookExW 77D3E621 6 Bytes JMP 5FA60F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!CreateAcceleratorTableW 77D3E642 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!CreateAcceleratorTableW + 4 77D3E646 2 Bytes [ A4, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] USER32.dll!SetWindowsHookExA 77D402B2 6 Bytes JMP 5F8B0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!CloseServiceHandle 77DB5E4D 6 Bytes JMP 5F100F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!OpenServiceW 77DB6165 6 Bytes JMP 5F220F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!ControlService 77DBB635 6 Bytes JMP 5F130F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!OpenServiceA 77DBB88C 6 Bytes JMP 5F1F0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!StartServiceW 77DBBBAC 6 Bytes JMP 5F280F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!StartServiceA 77DC3238 6 Bytes JMP 5F250F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!LsaAddAccountRights 77DEA9A1 6 Bytes JMP 5F2B0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!LsaRemoveAccountRights 77DEAA41 6 Bytes JMP 5F2E0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!ChangeServiceConfigA 77E06CC9 6 Bytes JMP 5F040F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!ChangeServiceConfigW 77E06E61 6 Bytes JMP 5F070F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!ChangeServiceConfig2A 77E06F61 6 Bytes JMP 5F0A0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!ChangeServiceConfig2W 77E06FE9 6 Bytes JMP 5F0D0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!CreateServiceA 77E07071 6 Bytes JMP 5F160F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!CreateServiceW 77E07209 3 Bytes [ FF, 25, 1E ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!CreateServiceW + 4 77E0720D 2 Bytes [ 1A, 5F ]
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ADVAPI32.dll!DeleteService 77E07311 6 Bytes JMP 5F1C0F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ole32.dll!CoCreateInstanceEx 774F5FB1 6 Bytes JMP 5F880F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ole32.dll!CoGetClassObject 7750F356 6 Bytes JMP 5F850F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ole32.dll!CLSIDFromProgID 775129DD 6 Bytes JMP 5F820F5A
.text D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[3472] ole32.dll!CLSIDFromProgIDEx 77514093 6 Bytes JMP 5F7F0F5A

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F747C06C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F747C018] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F749E9AE] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F747C06C] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7465AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7465C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7465B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7466748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F746661E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F747B29A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs ShlDrv51.sys (PandaShield driver/Panda Software)
Device \FileSystem\Ntfs \Ntfs 86F611E8

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs pavdrv51.sys (Antivirus Filter Driver for Windows XP/2003 x86/Panda Software International)
AttachedDevice \FileSystem\Ntfs \Ntfs av5flt.sys

Device \FileSystem\Fastfat \FatCdrom 860451E8

AttachedDevice \Driver\Tcpip \Device\Ip NETFLTDI.SYS (Panda TDI Filter/Panda Software)

Device \Driver\usbohci \Device\USBPDO-0 8695F1E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F641E8
Device \Driver\dmio \Device\DmControl\DmConfig 86F641E8
Device \Driver\dmio \Device\DmControl\DmPnP 86F641E8
Device \Driver\dmio \Device\DmControl\DmInfo 86F641E8
Device \Driver\usbohci \Device\USBPDO-1 8695F1E8
Device \Driver\usbehci \Device\USBPDO-2 869481E8

AttachedDevice \Driver\Tcpip \Device\Tcp NETFLTDI.SYS (Panda TDI Filter/Panda Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD11E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD11E8
Device \Driver\Cdrom \Device\CdRom0 86F621E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD11E8
Device \Driver\Cdrom \Device\CdRom1 86F621E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 86FD01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 86FD01E8
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 86FD01E8
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f 86FD01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume4 86FD11E8
Device \Driver\Ftdisk \Device\HarddiskVolume5 86FD11E8
Device \Driver\USBSTOR \Device\00000081 862CF1E8
Device \Driver\USBSTOR \Device\00000081 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBt_Wins_Export 869D21E8
Device \Driver\NetBT \Device\NetbiosSmb 869D21E8

AttachedDevice \Driver\Tcpip \Device\Udp NETFLTDI.SYS (Panda TDI Filter/Panda Software)
AttachedDevice \Driver\Tcpip \Device\RawIp NETFLTDI.SYS (Panda TDI Filter/Panda Software)

Device \Driver\PCI_NTPNP5682 \Device\0000005e sptd.sys
Device \Driver\usbohci \Device\USBFDO-0 8695F1E8
Device \Driver\usbohci \Device\USBFDO-1 8695F1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864AB1E8
Device \Driver\usbehci \Device\USBFDO-2 869481E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 864AB1E8
Device \Driver\Ftdisk \Device\FtControl 86FD11E8
Device \Driver\USBSTOR \Device\0000007f 862CF1E8
Device \Driver\USBSTOR \Device\0000007f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\arey0iq5 \Device\Scsi\arey0iq51 869E2790
Device \Driver\arey0iq5 \Device\Scsi\arey0iq51 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\SI3112r \Device\Scsi\SI3112r1Port2Path1Target0Lun0 86FCF1E8
Device \Driver\SI3112r \Device\Scsi\SI3112r1Port2Path1Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\arey0iq5 \Device\Scsi\arey0iq51Port3Path0Target0Lun0 869E2790
Device \Driver\arey0iq5 \Device\Scsi\arey0iq51Port3Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\SI3112r \Device\Scsi\SI3112r1 86FCF1E8
Device \Driver\SI3112r \Device\Scsi\SI3112r1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 860451E8

AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (Nero InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat pavdrv51.sys (Antivirus Filter Driver for Windows XP/2003 x86/Panda Software International)

Device \FileSystem\Cdfs \Cdfs 86AD71E8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x69 0xB2 0xD3 0xB2 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xBB 0xCF 0x21 0x26 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE5 0xB6 0x24 0x01 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x8E 0xEC 0x4B 0x48 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xBB 0xCF 0x21 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE5 0xB6 0x24 0x01 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x8E 0xEC 0x4B 0x48 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xBB 0xCF 0x21 0x26 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xE5 0xB6 0x24 0x01 ...

---- EOF - GMER 1.0.14 ----




hier ist NR 2:

SmitFraudFix v2.392

Scan done at 13:33:01,90, 01.02.2009
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\programme\Bonjour\mDNSResponder.exe
D:\programme\Nero\Nero8\InCD\InCDsrv.exe
D:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
D:\programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
D:\programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
d:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
D:\programme\Panda Security\Panda Internet Security 2008\psimsvc.exe
D:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\programme\Panda Security\Panda Internet Security 2008\ApvxdWin.exe
D:\programme\Philips\PSA2\skin\QveCplSk.EXE
C:\WINDOWS\system32\rundll32.exe
D:\programme\Nero\Nero8\InCD\NBHGui.exe
D:\programme\Nero\Nero8\InCD\InCD.exe
D:\programme\Java\jre1.6.0_05\bin\jusched.exe
D:\programme\iTunes\iTunesHelper.exe
D:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\NETGEAR\WG111v2\WG111v2.exe
D:\programme\iPod\bin\iPodService.exe
D:\programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
D:\programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
D:\programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
D:\programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\programme\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End









hier kommt NR 3
SmitFraudFix v2.392











Hab die Anleitung von der batch Datei net ganz gepeilt hoffe das ist da richtigen Log:

Datenträger in Laufwerk C: ist Windows XP
Volumeseriennummer: FC08-9BA5

Verzeichnis von c:\

01.02.2009 13:57 0 dirdat.txt
01.02.2009 13:49 1.610.612.736 pagefile.sys
01.02.2009 13:48 2.467 rapport.txt
31.01.2009 16:20 318 boot.ini
31.01.2009 11:07 11.298 ComboFix.txt
14.04.2008 13:00 47.564 NTDETECT.COM
14.04.2008 13:00 251.712 ntldr

Scan done at 13:42:14,45, 01.02.2009
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CA90F941-E928-47EE-A272-1C9F284394AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#30 Das hier noch

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Hast du noch Probleme? Welche?

Gruss Swiss