namrxswcoe.exe enthält Trojaner |
||
---|---|---|
#0
| ||
20.01.2010, 00:50
Member
Beiträge: 27 |
||
|
||
20.01.2010, 09:38
Member
Themenstarter Beiträge: 27 |
#2
Okay, kurz vnachdem ich hier geschrieben habe, poppte wieder Avira auf und meldete neue Trojanerfunde -> Trojanerdownloader .
Habe dann nachts mal abgesicherten Modus gestartet und avira per "Löschen" durchlaufen lassen. Wurde dann laut Log auch die besagte Exe , die wiedermal nen anderen Trojaner enthielt gelöscht. Habe dann noch Windowsupdate im normalen Modus ausgeführt und konnte dann auch die lsass.exe löschen. Bin jetzt seid ner Stunde im IE unterwegs und bis jetzt wurde noch nix wieder gefunden. Kann man nur hoffen das es so bleibt. |
|
|
||
20.01.2010, 12:05
Moderator
Beiträge: 5694 |
#3
Hallo Kuni25
Schritt 1 AntiVir - Funde rauskopieren Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse Typ anklicken, damit die Ereignisse nach Typart sortiert werden. Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten. Schritt 2 Malwarebytes Anti-Malware Lade MBAM herunter, installiere es und wähle bei Reiter: -> “Update“> “Suche nach Aktualisierungen“ -> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“ -> “Scanner”> "Quickscan durchfuehren". Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu Schritt 3 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
20.01.2010, 20:16
Member
Themenstarter Beiträge: 27 |
#4
Code
Antivir Funde. Code
Malwarebytes Logfile. Code
erster OTL Log. Code
2 ter Logfile. |
|
|
||
20.01.2010, 22:57
Moderator
Beiträge: 5694 |
#5
Schritt 1
Kommen immernoch Meldungen von Avira? Schritt 2 Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer. Vorbereitung • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an. • Bitte während der Online-Scans deaktivieren: Anti-Virus-Programm und Firewall. • Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und • unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen. Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen.. • Während der Online-Scans auf andere Online-Aktivitäten verzichten. • Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen. • . • Eset Online Scanner (NOD32) • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten. • Voraussetzung: Internet Explorer (IE) 5.0 oder höher • Haken bei "YES, I accept the Terms of Use" machen • Start • ActiveX-Steuerelement installieren • Start • Signaturen werden heruntergeladen • Haken machen bei "Remove found threads" • Haken machen bei "Remove found threads" und "Scan unwanted applications" • Scan • Scanende • Browser schließen • Explorer öffnen • C:\Programme\EsetOnlineScanner\log.txt • Log hier posten • Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen. • mit HJT folgenden Eintrag fixen: • O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} F-Secure Onlinescanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. • Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit) • Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten. • Einen Haken bei "I have read and accepted the license terms". • Den Button "Install" drücken. • IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken. • Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten. • Den Button "Start" drücken. • "Full Scan" einstellen und den Button "Start" drücken. • Die Signaturen werden heruntergeladen. • Der Scan beginnt automatisch. • Scanende (Finish). • Bei Funden benutze => Automatische Bereinigung (Automatically) • und klicke auf den Button "Next". • Bericht anzeigen, indem Du auf den Button "Full report" klickst. • Menü => Datei => Seite speichern unter • Dateityp auf Textdatei umstellen und • auf dem Desktop als f-secure.txtspeichern. • Log hier posten.Deinstallation • Firefox: Addon über Extras => F-Secure deinstallieren. • Internet Explorer: mit HJT folgenden Eintrag fixen: O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) Schritt 3 Rootkit-Suche mit Gmer Was sind Rootkits? [color=red]Wichtig:[/color] Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
20.01.2010, 23:26
Member
Themenstarter Beiträge: 27 |
#6
@ Swisstreasure: Habe vorhin mal durchlaufen lassen auch malwarebytes, keiner sagt jetzt mehr was von Malware, zumindestens bis jetzt, werds morgen nochmal durchscannen, evt. wars das ja wirklich und der müll ist weg !?!
|
|
|
||
21.01.2010, 16:50
Member
Themenstarter Beiträge: 27 |
#7
So, habe heute nen mehrstündiges malwarebytes komplettscan laufen lassen.
Den alten Trojaner hat er nicht mehr gefunden dafür zwei evt. falscheinträge, da steht Rogue.Crusader allerdings bezieht sich das auf 2 Dateien eines Spieles namens Crusader Kings (Issn altes Strategiespiel von Paradox Entertainment) was mich skeptisch macht ob dies wirklich echtalarme sind oder doch nur falschmeldungen ? hänge mal den Log dazu an Code
|
|
|
||
22.01.2010, 00:12
Moderator
Beiträge: 5694 |
#8
Das kann ich Dir nichr sagen. Die Dateien sagen mir nichts. Du kannst Sie bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.
Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Wo bleibt das GMER Log? |
|
|
||
22.01.2010, 11:08
Member
Themenstarter Beiträge: 27 |
#9
@ Swisstreasure: Gmer stürtzt bei mir immer ab, weisst du wie man das umgehen kann ?
Rec hner geht dann einfach ned mehr, weder Str Alt Entf noch sonstwas. Antivir ist ausgeschaltet gewesen, Verbindung auch weg. Andere Virenprogramme laufen ned, soll ich Firewall auch ausschalten ? Oder es im abgesicherten Modus probieren ? |
|
|
||
22.01.2010, 11:25
Member
Themenstarter Beiträge: 27 |
#10
Wenn ich Firewall noch ausschalte geht er bis zu "ShadowCopy1" oder so ähnlich und dann stürtzt das programm mit "Reagiert nicht mehr" ab. Bis dahin war aber kein Roter Eintrag zu sehen, was auf Rootkits hinweist !?!
|
|
|
||
22.01.2010, 12:54
Moderator
Beiträge: 5694 |
#11
Dann nehmen wir mal Rootrepeal:
Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. |
|
|
||
22.01.2010, 13:07
Member
Themenstarter Beiträge: 27 |
#12
Habe ich gemacht, da gab es 2 logs:
Code
sieht hier aus wie so nen rootkit, wie kriege ich das jetzte wech ? danach hat er mir dann aber gleich nen Error aqngezeigt mit folgender Meldung (Log) Code
|
|
|
||
22.01.2010, 15:45
Moderator
Beiträge: 5694 |
#13
Nun kontrollieren wir den Master Boot Record,ob alles in Ordnung ist:
• Downloade die MBR.exe von Gmer und • speichere das Programm auf Deinem Desktop. • Mache einen Doppelklick auf das Programm, um es zu starten. • Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen. • Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden. • Poste mir den Inhalt dieser Logdatei hier in den Thread. |
|
|
||
22.01.2010, 16:45
Member
Themenstarter Beiträge: 27 |
#14
Da kam leider bloss nen kurzer Log :
Code
In dem vorherigen log sieht es so aus als wäre da was verkehrt, hat das was zu sagen ? |
|
|
||
23.01.2010, 17:06
Moderator
Beiträge: 5694 |
#15
Melde mich am Abend wieder
|
|
|
||
Habe dann sofort auf löschen gedrückt.
Danach dann mal wieder Highjackthis ausgeführt und alles was ominös schien rausgeschmissen.
Leider weiss ich nun nicht ob ich ihn dadurch beseitigen konnte.
Denn ist nun im Verzeichniss C:\Users\MeinName\AppData\Roaming ein Verzeichniss namens SystemProc in dem sich ein lsass.exe befindet. Diese hat mir HJT als evt. gefährlich gemeldet, ist aber nicht wegzubekommen, sie steht bei mir als schreibgeschützt oder was auch immer (schreibschutz habe ich schon versucht zu entfernen) und kann man nicht löschen, weil ich keinen zugriff habe (Ist aber Adminaccount). Sie hat auch nach dem neustart als von der Firewall identifiziertes "Critical Windows Update" von dort versucht zu connecten, habe das aber mal vorsichtshalber geblockt, weil so ne Datei dort ja ansich nix zu tun hat und das ganze mich bissle an Sasser erinnerte.
Nun ist die Frage wie ich die Datei wegbekomme ?, Antivir meldet übrigens die Datei währe in Ordnung -> bin trotzdem skeptisch.
Anbei hänge ich noch nen HJT Log, falls jemand was auffälliges sieht oder einen Virus /Trojaner entdeckt, scheut euch nicht mir das mitzuteilen ;-)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:34:25, on 20.01.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\nvraidservice.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp32&d=1208&m=aspire_m5641
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: ASETRES.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\Windows\system32\pr2agqwb.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Protection Technology (StarForce) - C:\Windows\system32\pr2agqwc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
--
End of file - 7145 bytes