Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner W32/Kates.G

Trojaner W32/Kates.G


Plagegeister aller Art und deren Bekämpfung: Trojaner W32/Kates.G

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.12.2009, 09:40   #1
Chris4You
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hi,

ist das ein geschäftlich genutzter Rechner?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.12.2009, 09:50   #2
ThxGodIsFri
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Zitat:
Zitat von Chris4You Beitrag anzeigen
ist das ein geschäftlich genutzter Rechner?
Jein. Bin selbständig und somit mein eigener Admin

schönen Gruß
ThxGodIsFriday
__________________
Alt 07.12.2009, 09:57   #3
Chris4You
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hi,

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
__________________
__________________
Alt 07.12.2009, 14:02   #4
ThxGodIsFri
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hi Chris,

folgendes hat er beim Start gemeldet:

Code:
ATTFilter
GMER 1.0.15.15252 - http://www.gmer.net
Rootkit quick scan 2009-12-07 14:01:45
Windows 5.1.2600 Service Pack 3
Running: v15ve247.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugliypob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                 TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Tcpip \Device\Tcp                TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Tcpip \Device\Udp                TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Tcpip \Device\RawIp              TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----
Schönen Gruß
ThxGodIsFriday

Alt 07.12.2009, 14:10   #5
Chris4You
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hi,

bitte einen kompletten Scan mit GMER gemäß Anleitung machen...
(Der Scan beim Start untersucht nicht alles...)

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.12.2009, 09:59   #6
ThxGodIsFri
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hi Chris,

beim kompletten Scan innerhalb des File-Scans trat im Programm-Ordner ein Blue-Screen mit dem Hinweis "PFN_LIST_CORRUPT" auf. Habe nun einen Scan ohne Files durchgeführt:

Code:
ATTFilter
GMER 1.0.15.15252 - h**p://www.gmer.net
Rootkit scan 2009-12-08 09:51:19
Windows 5.1.2600 Service Pack 3
Running: v15ve247.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\ugliypob.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA)               ZwCreateProcess [0xBA9BC0D4]
SSDT            \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA)               ZwCreateProcessEx [0xBA9BC104]
SSDT            \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA)               ZwCreateThread [0xBA9BB6FC]
SSDT            \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA)               ZwTerminateProcess [0xBA9BC488]
SSDT            \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Norman Process Security Driver/Norman ASA)               ZwWriteVirtualMemory [0xBA9BC134]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                              section is writeable [0xB95E9380, 0x2F1D77, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\nvsvc32.exe[172] ntdll.dll!NtOpenKey                                              7C91D5CE 5 Bytes  JMP 100A3DEC 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] kernel32.dll!CreateProcessW                                      7C802336 5 Bytes  JMP 100A3C34 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] kernel32.dll!ExitProcess                                         7C81CB12 5 Bytes  JMP 100A3E70 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!connect                                               71A14A07 5 Bytes  JMP 100A3AE8 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!send                                                  71A14C27 5 Bytes  JMP 100A325C 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!WSARecv                                               71A14CB5 5 Bytes  JMP 100A27F0 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!recv                                                  71A1676F 5 Bytes  JMP 100A2784 
.text           C:\WINDOWS\system32\nvsvc32.exe[172] ws2_32.dll!WSASend                                               71A168FA 5 Bytes  JMP 100A3A94 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ntdll.dll!NtOpenKey                            7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] kernel32.dll!CreateProcessW                    7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] kernel32.dll!ExitProcess                       7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!connect                             71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!send                                71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!WSARecv                             71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!recv                                71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\CyberLink\Shared Files\RichVideo.exe[240] ws2_32.dll!WSASend                             71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\svchost.exe[464] ntdll.dll!NtOpenKey                                              7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\svchost.exe[464] kernel32.dll!CreateProcessW                                      7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\svchost.exe[464] kernel32.dll!ExitProcess                                         7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!connect                                               71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!send                                                  71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!WSARecv                                               71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!recv                                                  71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\svchost.exe[464] ws2_32.dll!WSASend                                               71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ntdll.dll!NtOpenKey             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] KERNEL32.dll!CreateProcessW     7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] KERNEL32.dll!ExitProcess        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!connect              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!send                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!WSARecv              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!recv                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe[620] ws2_32.dll!WSASend              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\winlogon.exe[752] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\winlogon.exe[752] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\winlogon.exe[752] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\winlogon.exe[752] WS2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\services.exe[804] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\services.exe[804] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\services.exe[804] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\services.exe[804] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\services.exe[804] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\services.exe[804] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\services.exe[804] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\services.exe[804] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\savedump.exe[840] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\savedump.exe[840] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\savedump.exe[840] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\savedump.exe[840] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\lsass.exe[848] ntdll.dll!NtOpenKey                                                7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\lsass.exe[848] kernel32.dll!CreateProcessW                                        7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\lsass.exe[848] kernel32.dll!ExitProcess                                           7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!connect                                                 71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!send                                                    71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!WSARecv                                                 71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!recv                                                    71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\lsass.exe[848] WS2_32.dll!WSASend                                                 71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ntdll.dll!NtOpenKey                                     7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!send                                         71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!recv                                         71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Npm\Bin\Elogsvc.exe[1004] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ntdll.dll!NtOpenKey                                     7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!send                                         71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!recv                                         71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Ngs\Bin\Nprosec.exe[1020] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\ctfmon.exe[1044] kernel32.dll!LoadLibraryExW                                      7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\svchost.exe[1064] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\wuauclt.exe[1172] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\System32\svchost.exe[1220] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\System32\svchost.exe[1220] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\System32\svchost.exe[1220] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\System32\svchost.exe[1220] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\wscntfy.exe[1228] kernel32.dll!LoadLibraryExW                                     7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\wscntfy.exe[1228] kernel32.dll!FreeLibrary + 15                                   7C80AC93 4 Bytes  CALL 7170003D 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] ntdll.dll!NtOpenKey                                       7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] kernel32.dll!CreateProcessW                               7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!send                                           71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!recv                                           71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Npm\Bin\Zanda.exe[1296] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] ntdll.dll!NtOpenKey                                        7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] kernel32.dll!ExitProcess                                   7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!connect                                         71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!send                                            71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!WSARecv                                         71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!recv                                            71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\npm\bin\nvoy.exe[1328] WS2_32.dll!WSASend                                         71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] ntdll.dll!NtOpenKey                                        7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] kernel32.dll!ExitProcess                                   7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!connect                                         71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!send                                            71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!WSARecv                                         71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!recv                                            71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\npc\bin\nuaa.exe[1416] WS2_32.dll!WSASend                                         71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] ntdll.dll!NtOpenKey                                    7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] kernel32.dll!ExitProcess                               7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!connect                                     71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!send                                        71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!WSARecv                                     71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!recv                                        71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\npf\bin\npfsvc32.exe[1568] WS2_32.dll!WSASend                                     71A168FA 5 Bytes  JMP 10003A94 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ntdll.dll!NtOpenKey                                             7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] kernel32.dll!CreateProcessW                                     7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] kernel32.dll!ExitProcess                                        7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!connect                                              71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!send                                                 71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!WSARecv                                              71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!recv                                                 71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\spoolsv.exe[1692] ws2_32.dll!WSASend                                              71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] kernel32.dll!ExitProcess                                 7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!connect                                       71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!WSARecv                                       71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Bonjour\mDNSResponder.exe[1832] WS2_32.dll!WSASend                                       71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ntdll.dll!NtOpenKey                                       7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] kernel32.dll!CreateProcessW                               7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!send                                           71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!recv                                           71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Canon\IJPLM\IJPLMSVC.EXE[1900] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] ntdll.dll!NtOpenKey                                          7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] kernel32.dll!ExitProcess                                     7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!connect                                           71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!send                                              71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!WSARecv                                           71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!recv                                              71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Java\jre6\bin\jqs.exe[1968] WS2_32.dll!WSASend                                           71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ntdll.dll!NtOpenKey          7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] kernel32.dll!CreateProcessW  7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] kernel32.dll!ExitProcess     7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!connect           71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!send              71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!WSARecv           71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!recv              71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe[2000] ws2_32.dll!WSASend           71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] kernel32.dll!LoadLibraryExW                             7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] kernel32.dll!FreeLibrary + 15                           7C80AC93 4 Bytes  CALL 7170003D 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!htons                                        71A12E53 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAGetLastError + 2                          71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!closesocket                                  71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!connect                                      71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAEventSelect                               71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAAsyncSelect                               71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAConnect                                   71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!WSAAccept                                    71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\Norman\npf\bin\npfuser.exe[2132] WS2_32.dll!accept                                       71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\rundll32.exe[2184] kernel32.dll!LoadLibraryExW                                    7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] ntdll.dll!NtOpenKey                                      7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] kernel32.dll!CreateProcessW                              7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] kernel32.dll!ExitProcess                                 7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!connect                                       71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!send                                          71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!WSARecv                                       71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!recv                                          71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Nvc\Bin\nvcoas.exe[2296] WS2_32.dll!WSASend                                       71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe[2340] kernel32.dll!LoadLibraryExW                         7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ntdll.dll!NtOpenKey                                       7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] kernel32.dll!CreateProcessW                               7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!send                                           71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!recv                                           71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\wbem\wmiapsrv.exe[2396] ws2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Dokumente und Einstellungen\****\Desktop\v15ve247.exe[2400] kernel32.dll!LoadLibraryExW          7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Dokumente und Einstellungen\****\Desktop\v15ve247.exe[2400] kernel32.dll!FreeLibrary + 15        7C80AC93 4 Bytes  CALL 7170003D 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] ntdll.dll!NtOpenKey                                       7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] kernel32.dll!CreateProcessW                               7C802336 5 Bytes  JMP 10003C34 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] kernel32.dll!ExitProcess                                  7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!connect                                        71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!send                                           71A14C27 5 Bytes  JMP 1000325C 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!WSARecv                                        71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!recv                                           71A1676F 5 Bytes  JMP 10002784 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2676] WS2_32.dll!WSASend                                        71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] kernel32.dll!LoadLibraryExW                          7C801AF5 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!htons                                     71A12E53 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAGetLastError + 2                       71A13CD0 4 Bytes  [1E, 00, 0B, 5F] {PUSH DS; ADD [EBX], CL; POP EDI}
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!closesocket                               71A13E2B 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!connect                                   71A14A07 6 Bytes  JMP 5F130F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAEventSelect                            71A164D9 6 Bytes  JMP 5F1F0F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAAsyncSelect                            71A20991 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAConnect                                71A20C81 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!WSAAccept                                 71A20DC1 6 Bytes  JMP 5F160F5A 
.text           C:\Programme\TortoiseSVN\bin\TSVNCache.exe[2700] WS2_32.dll!accept                                    71A21040 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe[2960] kernel32.dll!LoadLibraryExW   7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Synaptics\SynTP\SynTPEnh.exe[2992] kernel32.dll!LoadLibraryExW                           7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\Java\jre6\bin\jusched.exe[3116] kernel32.dll!LoadLibraryExW                              7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\Programme\FreePDF_XP\fpassist.exe[3348] kernel32.dll!LoadLibraryExW                                7C801AF5 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\RTHDCPL.EXE[3492] kernel32.dll!LoadLibraryExW                                              7C801AF5 6 Bytes  JMP 5F040F5A 
.text           ...                                                                                                   
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ntdll.dll!NtOpenKey                                   7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] kernel32.dll!CreateProcessW                           7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] kernel32.dll!ExitProcess                              7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!connect                                    71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!send                                       71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!WSARecv                                    71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!recv                                       71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Npm\Bin\scheduler.exe[3980] ws2_32.dll!WSASend                                    71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] ntdll.dll!NtOpenKey                                    7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] kernel32.dll!CreateProcessW                            7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] kernel32.dll!ExitProcess                               7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!connect                                     71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!send                                        71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!WSARecv                                     71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!recv                                        71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\npc\bin\npcsvc32.exe[3996] WS2_32.dll!WSASend                                     71A168FA 5 Bytes  JMP 10003A94 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ntdll.dll!NtOpenKey                                     7C91D5CE 5 Bytes  JMP 10003DEC 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] kernel32.dll!CreateProcessW                             7C802336 5 Bytes  JMP 10003C34 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] kernel32.dll!ExitProcess                                7C81CB12 5 Bytes  JMP 10003E70 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!connect                                      71A14A07 5 Bytes  JMP 10003AE8 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!send                                         71A14C27 5 Bytes  JMP 1000325C 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!WSARecv                                      71A14CB5 5 Bytes  JMP 100027F0 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!recv                                         71A1676F 5 Bytes  JMP 10002784 
.text           C:\Programme\Norman\Npm\Bin\Njeeves.exe[4032] ws2_32.dll!WSASend                                      71A168FA 5 Bytes  JMP 10003A94 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                   [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                    [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                             [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                               [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                              [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                   [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                  [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                            [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                              [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                     [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                    [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                               [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                             [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                   [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                    [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                     [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                      [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                 [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                              [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                     [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                    [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                   [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                    [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                             [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                               [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                               [BA5FA81C] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                             [BA5FA84A] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                   [BA5FA594] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                    [BA5FA5F0] NDIS_RD.sys (Norman NDIS Firewall Driver/Norman ASA)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                              TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                             TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                             TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                           TDI_RD.SYS (Norman TDI Firewall Driver/Norman ASA)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df049cf64                           
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df049cf64 (not active ControlSet)       

---- EOF - GMER 1.0.15 ----
Vielleicht kann man dies schon auswerten?!

Schönen Gruß
ThxGodIsFriday

Alt 08.12.2009, 11:54   #7
ThxGodIsFri
 
Trojaner W32/Kates.G - Standard

Trojaner W32/Kates.G


Hallo zusammen,

habe per Knoppix Live CD die Datei mji.old erfolgreich löschen können. Jetzt kommen die Trojaner-Hinweise der Norman Sec. Suite auch nicht mehr. Sollte ich zur Sicherheit noch etwas beachten?

Schönen Gruß
ThxGodIsFri

Antwort

Themen zu Trojaner W32/Kates.G
anti-malware, center, code, echtzeit-scanner, einstellungen, erkannt, falsch, file, firefox, frage, gen, google, infected, installations cd, malwarebytes, malwarebytes' anti-malware, neu, nicht mehr, norman, problem, security, software, suchergebnisse, system, temp, trojaner, weitergeleitet, windows


« kein login nach dropper.gen mehr möglich, hat er mein Passwort geändert? | Kaspersky Antivirus funktioniert icht mehr »


Ähnliche Themen: Trojaner W32/Kates.G


  1. Virus Win 32: Kates-CX stellt sich nach Beseitigung sofort wieder her!
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (23)
  2. Wie entferne ich TR/PSW.Kates.CA.7 Trojaner ?
    Log-Analyse und Auswertung - 22.04.2010 (1)
  3. TR/PSW.Kates.CA.7 - C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\...
    Log-Analyse und Auswertung - 16.04.2010 (18)
  4. PSW.Win32.Kates / w32.Daonol entfernen
    Anleitungen, FAQs & Links - 09.02.2010 (2)
  5. Trojaner W32/Kates.G
    Log-Analyse und Auswertung - 07.12.2009 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner W32/Kates.G - Hi, ist das ein geschäftlich genutzter Rechner? chris - Trojaner W32/Kates.G...
Archiv
Du betrachtest: Trojaner W32/Kates.G auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55