======List of files/folders created in the last 1 months======

2009-09-28 17:55:14 ----D---- C:\rsit
2009-09-28 17:55:14 ----D---- C:\Programme\trend micro
2009-09-28 16:32:20 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-28 16:32:14 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-09-28 16:32:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-26 01:04:00 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-09-26 01:03:56 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-09-26 01:02:09 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-26 01:02:04 ----HDC---- C:\WINDOWS\$NtUninstallKB961371-v2$
2009-09-26 01:02:00 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-09-26 01:01:55 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-09-26 01:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-09-26 01:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-09-26 01:01:39 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-09-26 01:01:28 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-09-26 01:01:20 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-26 01:01:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-09-26 01:01:11 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-09-26 01:01:06 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-09-26 01:00:58 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-09-26 01:00:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-09-26 01:00:15 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-09-26 01:00:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-09-26 01:00:04 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-09-26 01:00:02 ----A---- C:\WINDOWS\system32\wmpns.dll
2009-09-26 00:59:58 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-09-26 00:59:36 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-09-26 00:59:31 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-09-26 00:59:27 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-09-26 00:59:22 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-09-26 00:59:10 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-09-26 00:59:05 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2009-09-26 00:58:49 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\muweb.dll
2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-09-25 19:15:49 ----D---- C:\Programme\Windows Defender
2009-09-23 17:27:44 ----A---- C:\WINDOWS\system32\rmoc3260.dll
2009-09-23 17:27:38 ----A---- C:\WINDOWS\system32\pndx5032.dll
2009-09-23 17:27:38 ----A---- C:\WINDOWS\system32\pndx5016.dll
2009-09-23 17:27:20 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real
2009-09-05 11:24:42 ----A---- C:\WINDOWS\CD_Start.INI

======List of files/folders modified in the last 1 months======

2009-09-28 18:01:47 ----D---- C:\Programme\Mozilla Firefox
2009-09-28 18:01:31 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager
2009-09-28 18:01:09 ----D---- C:\WINDOWS\Prefetch
2009-09-28 18:01:07 ----D---- C:\WINDOWS\Debug
2009-09-28 18:01:07 ----D---- C:\WINDOWS
2009-09-28 18:01:06 ----D---- C:\WINDOWS\Temp
2009-09-28 17:55:14 ----RD---- C:\Programme
2009-09-28 17:36:43 ----AD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-09-28 17:28:21 ----SD---- C:\WINDOWS\Tasks
2009-09-28 17:25:28 ----D---- C:\WINDOWS\system32\drivers
2009-09-28 17:25:28 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-28 17:24:02 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-28 16:31:31 ----D---- C:\Programme\Spyware Doctor
2009-09-27 21:27:12 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2009-09-27 18:07:51 ----D---- C:\Programme\Diablo II
2009-09-27 18:05:32 ----D---- C:\WINDOWS\system32
2009-09-27 01:56:51 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Real
2009-09-26 10:10:04 ----D---- C:\WINDOWS\system32\wbem
2009-09-26 10:10:02 ----D---- C:\WINDOWS\AppPatch
2009-09-26 01:04:03 ----HD---- C:\WINDOWS\inf
2009-09-26 01:04:02 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-26 01:01:44 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-26 01:00:49 ----D---- C:\WINDOWS\system32\de-de
2009-09-26 01:00:49 ----D---- C:\Programme\Internet Explorer
2009-09-26 01:00:32 ----SHD---- C:\WINDOWS\Installer
2009-09-26 01:00:27 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-09-26 01:00:12 ----D---- C:\Programme\Outlook Express
2009-09-26 00:59:19 ----D---- C:\WINDOWS\WinSxS
2009-09-25 19:15:49 ----SD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft
2009-09-24 17:43:51 ----A---- C:\WINDOWS\system32\CmdLineExt03.dll
2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\pncrt.dll
2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\msvcr71.dll
2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\msvcp71.dll
2009-09-23 17:27:20 ----D---- C:\Programme\Gemeinsame Dateien\Real
2009-09-19 14:19:44 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-15 19:34:25 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-09-12 09:25:13 ----D---- C:\WINDOWS\network diagnostic
2009-09-11 19:48:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2009-09-08 17:17:04 ----D---- C:\Medien
2009-09-05 10:50:19 ----D---- C:\Sicherheitskopie
2009-08-31 19:14:01 ----D---- C:\Programme\Power Sound Editor Free

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2008-10-31 66952]
R1 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2008-10-31 81288]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS []
R3 Afc;PPdus ASPI Shell; C:\WINDOWS\system32\drivers\Afc.sys [2005-02-23 11776]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-10-16 4615168]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-10-04 6854464]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S1 d3dsgsw;d3dsgsw; \??\C:\WINDOWS\system32\drivers\d3dsgsw.sys []
S3 ALLOW-IO;ALLOW-IO; \??\H:\ALLOW-IO.sys []
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352]
S3 RT73;D-Link USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\Dr71WU.sys [2007-07-28 451456]
S3 scramby;Scramby Microphone; C:\WINDOWS\system32\drivers\scramby.sys [2007-02-13 25896]
S3 scramby_out;Scramby Output; C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ACDaemon;ArcSoft Connect Daemon; C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-10-11 51712]
R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-25 68865]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 Diskeeper;Diskeeper; C:\Programme\Executive Software\DiskeeperLite\DKService.exe [2002-10-16 176128]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-09 152984]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-11-15 73728]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-10-04 155716]
R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920]
R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-10-31 1079176]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-25 151297]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104]
S2 ANIWZCSdService;ANIWZCSd Service; C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2007-01-19 49152]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 183280]
S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2009-07-14 66056]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-09-21 1028432]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

(nicht sicher ob alle per. Informationen ge*** wurden, ich hoffs einfach mal)


So wie ihr ja aus den Logfiles sehen könnt habe ich Antivir, Ad-Aware und Spyware Doctor schon länger auf dem Rechner, den Defender und Malewarbytes erst nach der Meldung von Antivir.

Es geht hierbei um die 3 Trojaner:
TR/PCK.Zack.A106
TR/Spy.Bebloh.A14
TR/PCK.Krap.Z.49
Die sich in system32 eingenistet haben.

Hier mal der Bericht von Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 23. September 2009 17:54

Es wird nach 1740103 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:52:56
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:13:20
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:13:20
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:13:20
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 01:17:16
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 17:02:22
ANTIVIR2.VDF : 7.1.6.1 3857920 Bytes 16.09.2009 16:26:38
ANTIVIR3.VDF : 7.1.6.24 313344 Bytes 22.09.2009 17:09:02
Engineversion : 8.2.1.23
AEVDF.DLL : 8.1.1.2 106867 Bytes 18.09.2009 16:26:59
AESCRIPT.DLL : 8.1.2.33 479611 Bytes 22.09.2009 17:09:04
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 17:42:54
AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 12:04:32
AEPACK.DLL : 8.2.0.0 422261 Bytes 18.09.2009 16:26:56
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 17:52:47
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 17:11:41
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 17:42:53
AEGEN.DLL : 8.1.1.63 364916 Bytes 18.09.2009 16:26:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 22:09:04
AECORE.DLL : 8.1.8.1 184693 Bytes 18.09.2009 16:26:44
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 22:09:02
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:13:20
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:13:20
AVREP.DLL : 8.0.0.3 155688 Bytes 25.04.2009 14:25:54
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:13:20
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:13:20
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:13:20
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:13:17
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:13:17

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 23. September 2009 17:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIACE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DKService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\wqwnzeyvb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '67' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MHUXQNF2\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{950BCB31-CA9B-460B-AA53-8994BF7A1E22}\RP138\A0103494.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Zack.A.106
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{950BCB31-CA9B-460B-AA53-8994BF7A1E22}\RP140\A0103878.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\wqwnzeyvb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UZINCLMX\tvp11[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 23. September 2009 18:30
Benötigte Zeit: 35:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9562 Verzeichnisse wurden überprüft
404690 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
404683 Dateien ohne Befall
5068 Archive wurden durchsucht
9 Warnungen
3 Hinweise

Dazu sollte man sagen das diese Viren da schon das zweite mal aufgetreten sind (kann den ersten Bericht auch noch posten wenn gewünscht) und ich das ungute Gefühl habe das das ganze damit noch nicht erledigt ist.
Ich habe darauf hin zunächst einmal den Defender installiert und durchlaufen lassen (der hat aber leider nix gefunden) und dann von einem Bekannten (kenne aber seinen Forenacc nicht) eure Adresse bekommen.

Es wäre sehr schön wenn es sichere Bekämpfungsmöglichkeiten gibt ohne das man das System neu aufsetzen muss da ich einige zum Teil recht teure Programme auf dem Rechner habe die ich so nicht wiederbekomme (nein nicht illegal sondern über meine damalige Uni über die man nen paar Programme umsonst beziehen konnte).

Auf jeden Fall schonmal vielen Dank im vorraus und ich hoffe der Post ist nun nicht ganz unsinnig^^

Falls noch Informationen zum System gewünscht werden die in keiner Log stehen (mir fallen grad keine sinnvollen ein) postet es einfach, is halt alles nach bestem Wissen und Gewissen ...

Erstmal klasse wie ihr euch hier kümmert und nun zu euren goldenen Regeln:
Nun gut arbeiten wir die Liste mal der Reihe nach ab.

Zu Punkt 1:
Diese beiden Threads hatten laut Suchmaschiene etwas mit meinen netten Trojanern zu tun:
h**p://www.trojaner-board.de/45467-unimontr-exe-bzw-tr-inject-bz-2-a.html
h**p://www.trojaner-board.de/77231-frage-zu-tr-pck-krap-z-4-a.html

Da aber die Versionen der Trojaner nicht ganz übereinstimmen und auch noch keine Antwort vorliegt dachte ich es wäre gut ein neues Thema zu eröffnen.

Zu Punkt 2-4:
Ich hoffe das is für euch so okay, kenne mich hier ja noch nicht so sehr aus.

Zu Punkt 5:
So nu gehts los^^

CCleaner: Wie jeden Tag ausgeführt
Malewarebytes installiert und ausgeführt:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2867
Windows 5.1.2600 Service Pack 3

28.09.2009 17:22:50
mbam-log-2009-09-28 (17-22-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 229593
Laufzeit: 48 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\d.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.


Zu RSIT: Habe nur eine Logfile erhalten, hier das Ergebniss:

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-09-28 18:41:56
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 177 GB (74%) free of 238 GB
Total RAM: 1917 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:57, on 28.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\trend micro\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;192.168.178.1;*.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin .dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .15642\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 11287 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - c:\programme\real\realplayer\rpbrowserrecordplugin .dll [2009-09-23 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .15642\swg.dll [2009-06-20 669168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]
FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdm2.dll [2007-11-26 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-05-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll [2009-05-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-05-08 352256]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-10-16 16855552]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2007-10-11 1826816]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-10-04 8491008]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.d ll [2007-10-04 81920]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497]
"ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2008-10-31 1168264]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-03-28 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.ex e [2008-03-30 267048]
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3 \E_FATIACE.EXE [2005-02-08 98304]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.ex e [2001-07-09 155648]
"AVMWlanClient"=C:\Programme\avmwlanstick\FRITZWLA NMini.exe [2007-02-02 283136]
"D-Link AirPlus XtremeG DWL-G122"=C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe [2008-01-02 1552384]
"ANIWZCS2Service"=C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe [2007-01-19 49152]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\ju sched.exe [2009-05-09 148888]
"ArcSoft Connection Service"=C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe [2007-10-11 31232]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"Ad-Watch"=C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-09-21 520024]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-09-23 198160]
"Windows Defender"=C:\Programme\Windows Defender\MSASCui.exe [2006-11-03 866584]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\Go ogleToolbarNotifier.exe [2008-05-02 68856]
""= []

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
PHOTOfunSTUDIO -viewer-.lnk - C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E 1~1.DLL [2006-10-27 2210608]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WINDOW~4\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\explorer]
"NoDriveTypeAutoRun"=5F000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32 \sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Progr amme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTu nes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mi rc.exe:*:Enabled:mIRC"
"H:\fsetup.exe"="H:\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microso ft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsof t Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microso ft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\WINDOWS\Temp\KD_installer.exe"="C:\WINDOWS\Tem p\KD_installer.exe:*:Enabled:Kabel Deutschland Installer"
"C:\Programme\TeamViewer\Version4\TeamViewer.exe"= "C:\Programme\TeamViewer\Version4\TeamViewer.exe:* :Enabled:TeamViewer Remote Control Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32 \sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Hallo und

Zitat:

da ich einige zum Teil recht teure Programme auf dem Rechner habe die ich so nicht wiederbekomme (nein nicht illegal sondern über meine damalige Uni über die man nen paar Programme umsonst beziehen konnte).

Ähm, und wie sind die Programme da raufgekommen? Von irgendeiner Installationsquelle müssen die installiert worden sein oder hat man Dir nicht die Setups bzw. ISO-Dateien zum Brennen der CDs gegeben?

Was machst Du wenn die Platte ihren Geist aufgibt? Wenn Du kein Image zur Hand hast, ist es auch Essig mit den Programmen.

Wäre nett, wenn Du mal die Logdateien zur besseren Übersicht bei file-upload hochladen und hier verlinken könntest, also alle Logdateien, von RSIT die log.txt und die info.txt (die fehlt nämlich noch in Deinen Postings).

Mach auch einen Durchlauf mit GMER => GMER - Anleitung

Nuja ich hatte ne CD aber da ich nen absoluter Chaosmensch bin und das dummerweise nen Singlechase war hab ich die bei meinem Umzug im Februar verschlampt.
Da ich nicht mehr an der Uni bin komme ich nun leider nicht mehr legal und umsonst an diese Programme.

Um ganz ehrlich zu sein die Sorge was ich mache wenn die Platte aufgibt hab ich schon seit ich weiss das die CD weg is (habe ich im Juli bemerkt).

Die Logdateien von RIST habe ich eigentlich gepostet (also zumindest die die mir ausgegeben wurden, es kam wie gepostet leider nur eine statt der versprochenen 2 und ehrlich gesagt habe ich keine Ahnung was da falsch gelaufen sein könnte, ich schau mir das aber nachher nochmal an).

GMER werde ich mir dann auch nochmal reinziehn.

Vielen Dank auf jeden Fall für die Antwort.

GMER läuft nun seit 1.5 Stunden (keine Ahnung was da normal ist).
Ich poste von meinem Zweitrechner (ne 800 Mhz Krücke dafür aber Virenfrei, die Programme die ich nicht verlieren will sind leider nicht drauf)
Hier nochmal ein paar Fragen zusätzlich:

1. Wie schafft man es den nun das RIST die 2 Logs postet?
Ich kriegs ehrlich gesagt nicht hin.

2. Wo genau kann ich mir das eingefangen haben?
Meine Ideen dazu sind bisher:
-youtube downloader aus dem Netz installiert (okay das war wohl etwas sehr unvorsichtig)
-nachdem was ich auf dem Forum gelesen habe Powerpoint Präsentation (habe ich bisher wenn ich sie lesen wollte immer ohne nachzudenken geöffnet da ich nicht wusste das diese schädlich sein können)
- on the fly

hmm das wars eigentlich auch schon was mir jetzt so eingefallen ist, wahrscheinlich ne recht unvollständige Liste aber man will ja wissen was man vermeiden sollte.

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-28 23:04:29
Windows 5.1.2600 Service Pack 3
Running: wefwefwfwef.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xBA90887E]
SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcess [0xB353A794]
SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcessEx [0xB353AF1E]
SSDT BAF9894C ZwCreateThread
SSDT BAF98938 ZwOpenProcess
SSDT BAF9893D ZwOpenThread
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xBA908BFE]
SSDT BAF98947 ZwTerminateProcess
SSDT BAF98942 ZwWriteVirtualMemory

Code \??\C:\WINDOWS\system32\drivers\d3dsgsw.sys (Windows interface driver/Microsoft Corporation) ZwResumeThread [0xB32E5590]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\Explorer.EXE[144] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\Explorer.EXE[144] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 02180001
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\ctfmon.exe[424] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\ctfmon.exe[424] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D20001
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Messenger\msmsgs.exe[432] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Messenger\msmsgs.exe[432] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01530001
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[456] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F70001
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\RTHDCPL.EXE[484] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\RTHDCPL.EXE[484] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 04D50001
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00AE0001
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe[520] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\RUNDLL32.EXE[528] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00E20001
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[552] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01950001
.text C:\Programme\Spyware Doctor\pctsTray.exe[560] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0044A81D C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools Tray Application/PC Tools)
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\iTunes\iTunesHelper.exe[584] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\iTunes\iTunesHelper.exe[584] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 02360001
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE[592] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C90001
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\csrss.exe[604] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\csrss.exe[604] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 02BE0001
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\winlogon.exe[628] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\winlogon.exe[628] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01410001
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\services.exe[672] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\services.exe[672] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01230001
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\lsass.exe[684] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\lsass.exe[684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C60001
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[840] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[840] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00EE0001

.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\avmwlanstick\FRITZWLANMini.exe[860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D20001
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[900] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F90001
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MsMpEng.exe[940] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Windows Defender\MsMpEng.exe[940] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01210001
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\System32\svchost.exe[984] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 05720001
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe[1060] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 031B0001
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[1084] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00AA0001
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1112] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[1112] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D00001
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe[1156] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01410001
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[1172] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01320001
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [1D, 5F]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [23, 5F]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [26, 5F]
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[1220] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 076F0001
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\System32\alg.exe[1292] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\System32\alg.exe[1292] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 006E0001
.text C:\WINDOWS\System32\alg.exe[1292] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[1360] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 013B0001
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wuauclt.exe[1376] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\wuauclt.exe[1376] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B00001
.text C:\WINDOWS\system32\wuauclt.exe[1376] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\spoolsv.exe[1416] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\spoolsv.exe[1416] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01650001
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Windows Defender\MSASCui.exe[1440] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Windows Defender\MSASCui.exe[1440] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01950001
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[1528] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[1528] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00930001
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe[1680] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00A20001
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1736] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 003F0001
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]

.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Bonjour\mDNSResponder.exe[1764] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00E00001
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Executive Software\DiskeeperLite\DKService.exe[1780] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01540001
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Java\jre6\bin\jusched.exe[1808] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00E70001
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Java\jre6\bin\jqs.exe[1868] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01A60001
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[1912] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00640001
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1932] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01480001
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\nvsvc32.exe[1936] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\nvsvc32.exe[1936] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F00001
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe[1956] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 003E0001
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe[1976] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F20001
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Spyware Doctor\pctsAuxs.exe[2008] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00730001
.text C:\Programme\Spyware Doctor\pctsSvc.exe[2036] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0044A809 C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools Security Service/PC Tools)
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\svchost.exe[2272] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\svchost.exe[2272] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00ED0001
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 007A0001
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3024] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Downloads\Software\wefwefwfwef.exe[3280] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Downloads\Software\wefwefwfwef.exe[3280] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 003D0001
.text C:\Downloads\Software\wefwefwfwef.exe[3280] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00980001
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[3620] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\iPod\bin\iPodService.exe[3792] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\iPod\bin\iPodService.exe[3792] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 008B0001
.text C:\Programme\iPod\bin\iPodService.exe[3792] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00CC0001
.text C:\WINDOWS\system32\wbem\unsecapp.exe[5244] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01020001
.text C:\PROGRA~1\FREEDO~1\fdm.exe[5536] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F40001
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[6108] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\WINDOWS\system32\wscntfy.exe[6140] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\WINDOWS\system32\wscntfy.exe[6140] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00A00001
.text C:\WINDOWS\system32\wscntfy.exe[6140] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtCreateSection 7C91D17E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtCreateSection + 4 7C91D182 2 Bytes [05, 5F]
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtTerminateProcess 7C91DE6E 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtTerminateProcess + 4 7C91DE72 2 Bytes [0B, 5F]
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes [FF, 25, 1E]
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 2 Bytes [0E, 5F] {PUSH CS; POP EDI}
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B90001
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[7216] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

---- EOF - GMER 1.0.15 ----

Zitat:

Zitat von Max2

1. Wie schafft man es den nun das RIST die 2 Logs postet?
Ich kriegs ehrlich gesagt nicht hin.

2. Wo genau kann ich mir das eingefangen haben?

1.) Steht in der Anleitung, bitte genauer lesen:

Zitat:

Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (wird in die Taskleiste minimiert) in Deinen Thread.

Wie geschrieben, bitte beide Datei bei file-upload.net hochladen und hier verlinken. Manche Logfiles sind zu groß und unübersichtlich fürs direkte Posten.

2.) Kann ich noch nicht einschätzen.

Leider wurde es nicht in der Taskleiste minimiert.
Das ganze hab ich nu schon gelesen aber es wurde bei mir nur die eine Logfile erzeugt.
Nuja ich hab die files einfach mal über den explorer geöffnet, hier sind sie nu:

http://www.file-upload.net/download-...tinfo.txt.html

http://www.file-upload.net/download-...itlog.txt.html

GMER kommt gleich file-upload will irgendwie net mehr.

btw. Die derzeit auftretenden Probleme sind:
1. Antivir muss jedesmal manuell gestartet werden
2. Antivir zeigt etwa alle 3 Tage wieder die gleichen Viren an
3. Mein Internet verliert ab und zu stark an Geschwindigkeit

Alles ist zusammen aufgetreten ob es nun auch miteinander zutun hat weiss ich nicht, denke aber das die Vermutung nahe liegt.

Hier nun GMER:
http://www.file-upload.net/download-.../GMER.txt.html

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So das wäre dann der nächste Log:

ComboFix 09-09-28.01 - *** 29.09.2009 17:25.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1282 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1659004503-1580436667-839522115-1004

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-29 ))))))))))))))))))))))))))))))
.

2009-09-28 15:55 . 2009-09-28 16:41 -------- d-----w- c:\programme\trend micro
2009-09-28 15:55 . 2009-09-28 15:55 -------- d-----w- C:\rsit
2009-09-28 14:32 . 2009-09-28 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-28 14:32 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-28 14:32 . 2009-09-28 14:32 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-09-28 14:32 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-28 14:32 . 2009-09-28 14:32 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-25 23:00 . 2008-04-14 05:52 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-25 21:42 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-09-25 21:42 . 2009-03-06 14:19 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-09-25 21:42 . 2009-02-09 11:21 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-09-25 21:42 . 2009-02-09 10:51 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-09-25 21:42 . 2009-02-09 10:51 678400 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-09-25 21:42 . 2009-02-09 10:51 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-09-25 21:42 . 2009-02-09 10:51 736768 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2009-09-25 21:42 . 2009-02-09 10:51 740352 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-09-25 21:42 . 2009-02-09 10:51 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-09-25 21:41 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-25 21:41 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-09-25 21:39 . 2008-04-21 21:13 217600 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-09-25 21:34 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-25 21:34 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-09-25 17:15 . 2009-09-25 17:15 -------- d-----w- c:\programme\Windows Defender

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-29 15:27 . 2008-05-11 15:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Free Download Manager
2009-09-29 15:24 . 2006-02-28 12:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2009-09-29 15:24 . 2006-02-28 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2009-09-29 14:51 . 2009-02-04 18:11 -------- d-----w- c:\programme\Diablo II
2009-09-29 14:33 . 2008-05-02 13:11 -------- d-----w- c:\programme\Spyware Doctor
2009-09-29 14:33 . 2008-05-11 14:26 -------- d---a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-09-28 20:28 . 2008-05-11 14:24 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2009-09-25 23:00 . 2009-04-17 13:35 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-09-24 15:47 . 2009-02-04 18:17 34771 ----a-w- c:\windows\DIIUnin.dat
2009-09-24 15:43 . 2009-03-19 17:56 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-09-23 15:27 . 2009-07-21 06:52 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-09-23 15:27 . 2003-02-21 02:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-23 15:27 . 2008-05-02 13:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-09-11 17:48 . 2008-05-13 16:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-08-31 17:14 . 2008-05-14 11:11 -------- d-----w- c:\programme\Power Sound Editor Free
2009-08-22 17:37 . 2009-08-22 17:37 -------- d-----w- c:\programme\DivX7
2009-08-22 17:37 . 2008-05-02 15:53 -------- d-----w- c:\programme\DivX
2009-08-22 17:37 . 2009-08-22 17:37 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-08-09 20:27 . 2009-08-09 20:27 -------- d-----w- c:\programme\YouTube Downloader
2009-08-05 08:59 . 2006-02-28 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2006-02-28 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
1992-08-13 08:32 . 2009-03-22 18:07 374272 ----a-w- c:\programme\BERLITZ.EXE
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-02 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-10-31 1168264]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-09 148888]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-21 520024]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-23 198160]
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-16 16855552]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-10-11 1826816]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 434528]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
PHOTOfunSTUDIO -viewer-.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-4-7 40960]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [25.06.2009 16:53 64160]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [02.05.2008 15:11 356920]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.05.2008 20:27 265088]
S3 ALLOW-IO;ALLOW-IO;\??\h:\allow-io.sys --> h:\ALLOW-IO.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [07.05.2008 20:28 4352]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1028432]
S3 scramby_out;Scramby Output;c:\windows\system32\drivers\scramby_out.sys [08.08.2007 08:31 23840]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - d3dsgsw
*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2009-09-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 14:53]

2009-09-29 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-02 14:36]

2009-09-29 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1;*.local
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ywx0r99l.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\DivX7\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: c:\programme\DivX7\DivX Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-29 17:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-09-29 17:30
ComboFix-quarantined-files.txt 2009-09-29 15:30

Vor Suchlauf: 17 Verzeichnis(se), 185.470.541.824 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 185.440.894.976 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

188 --- E O F --- 2009-09-28 14:22

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\scramby_out.sys
h:\ALLOW-IO.sys
         

Was ist bzgl. nun folgenden Auswirkungen nach Combofix:

Zitat:

1. Antivir muss jedesmal manuell gestartet werden
2. Antivir zeigt etwa alle 3 Tage wieder die gleichen Viren an
3. Mein Internet verliert ab und zu stark an Geschwindigkeit

Wenn ja, was hat sich geändert?

Virus Total scheint nichts gefunden zu haben bei:
c:\windows\system32\drivers\scramby_out.sys

Und:
h:\ALLOW-IO.sys
ist nicht mehr vorhanden.


Hier das Ergebniss von scramby:

Datei scramby_out.sys empfangen 2009.09.30 15:00:54 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 17.
Geschätzte Startzeit ist zwischen 170 und 242 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.30 -
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.09.30 -
Antiy-AVL 2.0.3.7 2009.09.30 -
Authentium 5.1.2.4 2009.09.30 -
Avast 4.8.1351.0 2009.09.29 -
AVG 8.5.0.412 2009.09.30 -
BitDefender 7.2 2009.09.30 -
CAT-QuickHeal 10.00 2009.09.30 -
ClamAV 0.94.1 2009.09.30 -
Comodo 2472 2009.09.30 -
DrWeb 5.0.0.12182 2009.09.30 -
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet 31.6.6769 2009.09.30 -
F-Prot 4.5.1.85 2009.09.30 -
F-Secure 8.0.14470.0 2009.09.30 -
Fortinet 3.120.0.0 2009.09.30 -
GData 19 2009.09.30 -
Ikarus T3.1.1.72.0 2009.09.30 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.09.30 -
McAfee 5756 2009.09.29 -
McAfee+Artemis 5756 2009.09.29 -
McAfee-GW-Edition 6.8.5 2009.09.30 -
Microsoft 1.5005 2009.09.23 -
NOD32 4470 2009.09.30 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.09.30 -
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.09.30 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.09.30 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.09.30 -
TheHacker 6.5.0.2.022 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 -
VBA32 3.12.10.11 2009.09.29 -
ViRobot 2009.9.30.1965 2009.09.30 -
VirusBuster 4.6.5.0 2009.09.30 -
weitere Informationen
File size: 23840 bytes
MD5...: ccb29acf557f7172367647b30fd21dbe
SHA1..: 854494bfdef1e64fd9182a0cf71e561d91f147b8
SHA256: af06d24a6908f9933597f436b743bbccce63618e2c715a4df4c054039f1c0341
ssdeep: 384:LfoSdLWDC4AIpygubKVl5Z8MshhGjkQ61YJLWd6jNnl3bsW:LfDWDC48gPHB
BFLAmNl3bL

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x37c7
timedatestamp.....: 0x46b87f8f (Tue Aug 07 14:19:59 2007)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xd98 0xe00 5.79 8b5a25e9311cf8ed17e99c89812b5367
.rdata 0x1280 0x627 0x680 5.59 a1369f461d679fdacf7001a2bdeeea39
.data 0x1900 0x670 0x680 2.64 cf11092ac8b0651f9af4ed4d17b8d53e
PAGE 0x1f80 0x17d6 0x1800 6.24 8ae4b2ef80a88a88b674626578980c3c
INIT 0x3780 0x3ea 0x400 5.37 7d646d5a3301861fbee0a90c94660690
.rsrc 0x3b80 0x440 0x480 3.16 11831da9775e0c0756548e339c96f4d9
.reloc 0x4000 0x2dc 0x300 5.79 35bd7704bcb40b3f98225fe69d5002a7

( 2 imports )
> ntoskrnl.exe: ExFreePool, IofCompleteRequest, ExAllocatePoolWithTag, KeQueryInterruptTime, KeInitializeMutex, _purecall, KeCancelTimer, _alldiv, _allmul, KeSetTimerEx, KeInitializeTimerEx, KeInitializeDpc, KeReleaseMutex, KeWaitForSingleObject, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IoDeleteDevice, KeTickCount, RtlAssert, InterlockedIncrement, InterlockedDecrement
> portcls.sys: PcRegisterPhysicalConnection, PcRegisterAdapterPowerManagement, PcDispatchIrp, PcAddAdapterDevice, PcInitializeAdapterDriver, PcNewServiceGroup, PcNewMiniport, PcRegisterSubdevice, PcNewPort

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: RapidSolution Software AG
copyright....: Copyright (C) 2005-2007 RapidSolution Software AG
product......: Scramby Output
description..: Scramby Output
original name: scramby_out.sys
internal name: scramby_out.sys
file version.: 2, 0, 0, 0
comments.....: Scramby Output
signers......: RapidSolution Software AG
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:57 PM 8/7/2007
verified.....: -



Zu den anderen Sachen:

1. Antivir muss jedesmal manuell gestartet werden => Ist noch so
2. Antivir zeigt etwa alle 3 Tage wieder die gleichen Viren an => wäre nach meiner Zeitrechnung morgen wieder soweit, heute und gestern habe ich nichts gefunden
3. Mein Internet verliert ab und zu stark an Geschwindigkeit => gestern noch (vor combo), heute bisher noch nicht


Könnte es also schon sein das es das schon war?
Wäre ja nett wenns so schnell gehn würde.
Kann es sein das ich Antivir manuell umstellen muss?
Und wenn ja wie mache ich das dann?