Verbindungsaufbau zu unused-space.coop.net

BlackHatKiller · 08.12.2007, 13:10

Hallo,

seit neustem versucht svchost.exe nach dem Start des Betriebssystem auf die Adresse "unused-space.coop.net" zu zugreifen.

Ich habe jetzt auch mal im Netz recherchiert und konnte nur unklare Infos über den Verbindungsaufbau zu "unused-space.coop.net" finden.

Für mich gibt es diesbzgl. immer noch offene Fragen.

Welches Programm erlaubt sich einfach nach draußen zu dieser Adresse zu funken?
Wem gerhört die Subdomain bzw. die Domain "unused-space.coop.net"?

Bei mir auf dem Rechner darf nur Microsoft wegen den Updates einfach nach Hause telefonieren. Die IP-Adressen von Microsoft lassen sich meist nachvollziehen.

Ich habe in meiner Hosts-Datei die Adresse "unused-space.coop.net" auf 127.0.0.1 gemappt. Ohne ersichtlichen Erfolg!

Hat jmd. eine Lösung für mein Problem?
Danke und Grüße

BlackHatKiller

cosinus · 08.12.2007, 18:10

Hallo.

Poste mal zur ersten Grobanalyse des Systems ein Hijackthis-Log. Nimm mal am besten dazu diese in hjt.com umbenannte hijackthis.exe.

BlackHatKiller · 12.12.2007, 14:13

Hallo,

hier das Log! Warum sollte ich das HijackThis-Programm von dem Server laden, wegen der 2.0.2 ?
Neuerdings greift der gleiche Prozess auf eine andere Adresse zu, die ich jetzt hier nicht nennen möchte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:24, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\bcd2kcpan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sizer\sizer.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Windows Sysinternals\TcpView\Tcpview.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BCD2000] %SystemRoot%\system32\bcd2kcpan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [] C:\Programme\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/ProductMessages?module=2007&error=0&language=de&product=SymNRT&version=2008.0.1.14&build=Symantec&a=00000082.00000044.000000a0&b=00000082.00000049.000 000b9&c=00000082.00000096.000001da
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Sizer.lnk = C:\Programme\Sizer\sizer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163614636698
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186569897906
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: M-Audio Audiophile Installer (MAudioAudiophileService) - Avid Technology, Inc. - C:\Programme\M-Audio\Audiophile USB\MAUSBAPInst.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 9777 bytes

undoreal · 12.12.2007, 15:48

Halli hallo.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\M-Audio\Audiophile USB\MAUSBAPInst.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Grüße gehen an cosinus

BlackHatKiller · 12.12.2007, 16:38

ABM vergeben und mit Kollegen Bier trinken, das sind mir die liebsten!

Was ist denn Euer Ziel Eures Vorschlags?

Die Datei MAUSBAPInst.exe von M-Audio hat bestimmt keinen Trojaner oder ähnliches. Meine Viren-Scanner schreien da auch nicht auf.

Danke trotzdem
Gruß BHK

PS:
Wepsen fallen vor lauter Gier manchmal in Honigtöpfe!
Ich habe einen Extra-Rechner, wo ich Programme testen kann, die mir nicht geheuer sind.

Ich wünsche auch viel Liebe für die Blackhats.
Die Liebe siegt immer!

cosinus · 12.12.2007, 17:12

Zitat:

Zitat von BlackHatKiller

hier das Log! Warum sollte ich das HijackThis-Programm von dem Server laden, wegen der 2.0.2 ?

Ja, 1.) weil es die aktuelle Version ist, und 2.) weil diese hijackthis.exe schon gleich umbenannt wurde in ein Fantasienamen (abc123.com), damit Schädlinge nicht sofort eine laufende hijackthis.exe erkennen und versuchen diese zu beenden oder andersweitig zu beeinflussen. Du hast aber anscheinend aber eine hijackthis.exe ausgeführt

- daher wär es vllt. schonmal interessant zu wissen, ob das Logfile anders aussieht, wenn du HijackThis als abc123.com startest (oder ein anderer Fantasiedateiname).

Zitat:

ABM vergeben und mit Kollegen Bier trinken, das sind mir die liebsten!

Nun bleib mal aufm Teppich

Schließlich darf man zu meinem Ehrentage dochmal ein Bierchenschlürfen, ich geb dir auch ein virtuelles Bier aus =>

Nach dem Biergenuss

solltest du auch mal Blacklight ausführen und das Logfile posten...und wie erwähnt HijackThis als umbenannte Datei nochmal.
Ich hab auch dein tcpview im HJT-Log entdeckt. Ist da irgendwas auffälliges zu sehen?

BlackHatKiller · 13.12.2007, 10:15

Ihr werdet es nicht glauben - seit heute früh nachdem mein Anti-Virus-Programm ein Update gefahren ist, gibt es keinen Zugriff auf die oben genannte Adresse mehr.
Gut, aber auch merkwürdig!

Prost

cosinus · 14.12.2007, 17:53

Hast du mein Posting gelesen?

BlackHatKiller · 17.12.2007, 23:55

Hi,
danke, dass Du nochmal erkundigst. Nämlich Pustekuchen!
Zu Deinen Fragen: TCPView spuckt eben die im Titel genannte Adresse aus. Ab und an erscheinen noch andere Adessen, die evtl. diesen Prozessen zuzuordnen sind. Blacklight habe ich ausgeführt - ohne Negativ-Ergebnis.
Ich habe stattdessen mal auch GMER ausgeführt, was mir diese Ergebnis ausgab ...
Vielleicht kannst Du damit was anfangen.
Thnx BHK

BlackHatKiller · 17.12.2007, 23:57

---- System - GMER 1.0.13 ----

SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys ZwOpenProcess
SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys ZwOpenThread
SSDT \??\C:\Programme\BitDefender\BitDefender 2008\bdselfpr.sys ZwTerminateProcess

---- User code sections - GMER 1.0.13 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4467166F C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715F0 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 44671634 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4467157C C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715B6 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716AA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2028] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 44501676 C:\WINDOWS\system32\IEFRAME.dll

BlackHatKiller · 17.12.2007, 23:58

---- Devices - GMER 1.0.13 ----

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F76DF454] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F76D2F4C] fltMgr.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [EF8ED6A4] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE_NAMED_PIPE [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_CLOSE [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_READ [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_WRITE [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_INFORMATION [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SET_INFORMATION [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_EA [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SET_EA [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_FLUSH_BUFFERS [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_VOLUME_INFORMATION [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SET_VOLUME_INFORMATION [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_DIRECTORY_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_FILE_SYSTEM_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_DEVICE_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SHUTDOWN [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_LOCK_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_CLEANUP [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_CREATE_MAILSLOT [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_SECURITY [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SET_SECURITY [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_POWER [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SYSTEM_CONTROL [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_DEVICE_CHANGE [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_QUERY_QUOTA [F67DFA30] SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 IRP_MJ_SET_QUOTA [F67DFA30] SynTP.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [EF8ED6A4] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_READ [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_WRITE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [EF8ED6A4] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_POWER [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_READ [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [EF8ED6A4] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_POWER [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA [EF8EE988] bdftdif.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F76DF454] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F76DF1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F76D2F4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F76D2F4C] fltMgr.sys

---- EOF - GMER 1.0.13 ----

BlackHatKiller · 18.12.2007, 08:30

Wenn ich TCPView laufen lasse, dann gibt es eine Verbindung zu unused-...
Wenn ich dann diesen Prozess beende, sprich kille, dann wird der verwendete Design-Stil geändert und auf "Windows klassisch" gesetzt bzw. verhaut das Design. Also irgendwas ist mit dem Design-Stillen. Und so könnte ich mir vorstelllen, dass es etwas mit WinLogon zu tun hat.
Was meint Ihr? Schonmal was ähnliches gehört oder erlebt?
Gruß BHK

cosinus · 18.12.2007, 16:37

Hm..sehr merkwürdig, ich kann mir da noch keinen wirklichen Reim drauf machen.
Aus GMER werd ich nicht besonders schlau, aber die dortigen gelisteten Dateien sind anscheinend legitim:

fltmgr.sys Windows Prozess - Was ist das?
BDFTDIF.SYS Process from BitDefender SRL found in c:\program files\common files\bitdefender\bitdefender firewall\bdftdif.sys
SynTP.sys Windows Prozess - Was ist das?

unsused-space.coop.net scheint irgendeine Dummysite zu sein (unbenutzter Speicherplatz bei coop.net

) aber coop.net macht keinen vertrauensunwürdigen Eindruck.

Zitat:

Wenn ich TCPView laufen lasse, dann gibt es eine Verbindung zu unused-...
Wenn ich dann diesen Prozess beende, sprich kille, dann wird der verwendete Design-Stil geändert und auf "Windows klassisch" gesetzt bzw.

Welcher Prozess ist denn dafür verantwortlich? Auch svchost.exe?

Den kann man m.W. nämlich garnicht so einfach "killen"....poste doch mal das tcpview-Log.

BlackHatKiller · 19.12.2007, 14:17

So, ich habe mir das jetzt mal genauer angesehen. ProcessMonitor und Paketyzer werden jetzt vor dem online gehen gestartet damit protokoliert und analysiert wird.
Unter Betracht verschiedener Fakten habe ich jetzt vor meinen Rechner neu aufzusetzen.
- Vor einer Woche habe ich von einem Freund eine Software-CD zum testen bekommen.
- Die bisherigen Fakten die ich durch Google-Recherche entdeckt habe schliesen darauf, dass die gefundenen 2 Fälle sich im gleichen Umfeld einer möglichen Warez-Intressengruppe aufhalten.
- Beide Fälle sprechen von einem kurzen Aussetzen der Verbindung, was darauf schliesen lässt, dass die Netzwerkverbindung für eine kurze Zeit gewechselt wird. Annahme: Keylogger-Daten werden verschlüsselt auf den unbenutzten Speicher geladen.
- Die im GMER-Protokoll angebenen Einträge "KeyboardClass0" beziehen sich auf die Tastatur. ???
- Die Verbindung zu der oben genannten Adresse wird inzwischen auch von anderen Prozessen verwendet, so z.B. "vsserv.exe" von BitDefender. (Ich gehe davon aus, dass es bekannt sein müsste, wenn BitDefender zu "unused-"-Adressen Kontakt aufnimmt.)
- Die Verbindung wird ca. nur einmal pro Tag aufgenommen. Wenn sie abgebrochen wird, wird der Vorgang wiederholt.
- Das Phenomen tritt nun auch zum Wechsel zu einem anderen Betriebssystem auf. (Part1 WinXP; Part2 WinVista)
- So vermute ich, es handelt sich um etwas, was sich auch im Speicher und in der Partitionstabelle aufhält.

Ich benötige nun ein paar Infos um das neu aufsetzen sicher zu erledigen.
Wie kann ich es vermeiden, dass dieses hartnäckige Teil sich nicht im Speicher festsetzt und ich es bei der Neuinstallation nicht wieder mit draufspiele. Meine Angst ist es auch, dass sich das Ding schon auf meine anderen USB-Platten mit meinen MP3- und Privatdaten verbreitet hat. Was muss ich vor Anschluss beachten? Wie kann ich einen möglich Zugriff verweigern?
Danke und Grüße
BHK

undoreal · 19.12.2007, 16:05

Hallöle.

Diese Liste enthält eigentlich alle gängigen Dateiendungen. Die roten und gelben solltest du besser nicht sicher. Ebenso auf keinen Fall .dll Dateien sichern!
Wenn du Word Dokumente sichern möchtest dann mache das über copy and paste.

Eine Anleitung zum sicheren Neuaufsetzten findest du in meiner Signatur.

Unter Cidre's Systemsicherheit findest du viele nützliche Hinweise um dein System vor zukünfigen Infektionen zu schützen.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

08.12.2007, 18:10	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verbindungsaufbau zu unused-space.coop.net Hallo. Poste mal zur ersten Grobanalyse des Systems ein Hijackthis-Log. Nimm mal am besten dazu diese in hjt.com umbenannte hijackthis.exe. __________________ __________________

14.12.2007, 17:53	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verbindungsaufbau zu unused-space.coop.net Hast du mein Posting gelesen? __________________ Logfiles bitte immer in CODE-Tags posten

Verbindungsaufbau zu unused-space.coop.net

Überwachung, Datenschutz und Spam: Verbindungsaufbau zu unused-space.coop.net