Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Log-Analyse und Auswertung: Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.01.2010, 20:27   #1
Chris4You
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Hi,

hihi, da gibt es einen kleinen Trick für GMER (http://www.trojaner-board.de/74908-a...t-scanner.html <- schau mal hier):

* Wichtig: Bitte alle offenen programme schließen!
* 1. Starte den Scan mit "Scan".
* 2. Wenn der Scan beendet wurde, klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "OK" wird GMER beendet.
* Füge (STRG+V) das Log aus der Zwischenablage in Deine Antwort hier in Deinem Thema ein.
* Nach dem Scan: Antiviren-Programm und sonstige Scanner wieder einschalten!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.01.2010, 13:37   #2
RMZ
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

hihi, da gibt es einen kleinen Trick für GMER (http://www.trojaner-board.de/74908-a...t-scanner.html <- schau mal hier):

* Wichtig: Bitte alle offenen programme schließen!
* 1. Starte den Scan mit "Scan".
* 2. Wenn der Scan beendet wurde, klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "OK" wird GMER beendet.
* Füge (STRG+V) das Log aus der Zwischenablage in Deine Antwort hier in Deinem Thema ein.
* Nach dem Scan: Antiviren-Programm und sonstige Scanner wieder einschalten!

chris
Hi,

die Auflösung im abgesicherten Modus verkleinert das GMER Fenster so stark, daß der Copy Button nicht sichtbar ist. Die Anzeigeeinstellungen lassen sich nicht verändern. Das GMER Fenster auch nicht verkleinern, es bleibt so wie es ist. In der Anleitung, die ich von dir erhalten habe hat hierfür keinen Tipp.

Was kann ich hier machen?

VG
RMZ
__________________
Alt 26.01.2010, 14:01   #3
Chris4You
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Hi,

normalerweise kannst Du das Fenster soweit aus dem linken Fensterrand rausschieben, das die
rechte Buttonleiste sichtbar wird...
Dann solltest Du an "Save" etc. kommen...

chris
__________________
__________________
Alt 26.01.2010, 15:11   #4
RMZ
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Zitat:
Zitat von RMZ Beitrag anzeigen
Hi,

die Auflösung im abgesicherten Modus verkleinert das GMER Fenster so stark, daß der Copy Button nicht sichtbar ist. Die Anzeigeeinstellungen lassen sich nicht verändern. Das GMER Fenster auch nicht verkleinern, es bleibt so wie es ist. In der Anleitung, die ich von dir erhalten habe hat hierfür keinen Tipp.

Was kann ich hier machen?

VG
RMZ
Hi Chris,

das Problem liegt nicht in der Horizontalen, sondern in der Vertikalen (siehe Screenshot). Im abgesicherten Modus beträgt die Auflösung 640x400, diese kann nicht verändert werden. Das Fenster läßt sich nur ganz am Anfang (blaue Leiste) greifen und hoch schieben. Habe jetzt schon alles mögliche probiert das Fenster weiter nach oben zu verschieben, leider ohne Erfolg. Wie du siehst ist lediglich der Scan Button sichtbar. Gibt es hier einen Trick, einen Shortcut z. B.? Habe auch hier im Forum geschaut und gegoogelt, aber keine Lösung gefunden.

Im normalen Modus (höhere Auflösung) ist der Scan Button natürlich sichtbar. Kann ich den Scan nicht im normalen Modus durchführen?

VG
RMZ
Miniaturansicht angehängter Grafiken
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware &amp; Rsit-gmer.jpg  

Alt 26.01.2010, 16:33   #5
Chris4You
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Hi,

das Problem hatte ich noch nicht, und so einfach wird das wohl nicht, da die TAB-Sequenz nicht ganz richtig ist...
Du kommst an den Scan-Button, lasse Ihn scannen und mache dann einen Screenshot...
Alternativ probiere ihn im normalen Modus laufen zu lassen, führt ev. zu "Bluescreen"...

Wenn GMER nicht geht, dann CF...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )
Geändert von Chris4You (26.01.2010 um 16:41 Uhr)

Alt 28.01.2010, 20:36   #6
RMZ
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

das Problem hatte ich noch nicht, und so einfach wird das wohl nicht, da die TAB-Sequenz nicht ganz richtig ist...
Du kommst an den Scan-Button, lasse Ihn scannen und mache dann einen Screenshot...
Alternativ probiere ihn im normalen Modus laufen zu lassen, führt ev. zu "Bluescreen"...

Wenn GMER nicht geht, dann CF...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris
Hallo Chris,

das Fenster läßt sich leider nicht vergrößern. Ich habe jetzt im normalen Modus mit GMER gescannt. Ich habe antiviren und spyware deaktiviert (Symbole waren allerdings immer noch in der Taskleiste, aber mit einem roten X versehen). Habe versucht diese über STRG+Alt+ENTF über Prozesse zu schließen, das Schließen hierüber wurde aber verweigert. Ich hoffe das geht so trotzdem in Ordnung.
Hier nun das Ergebnis (vielen Dank vorab für Dein Feeback!):

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-28 19:54:38
Windows 5.1.2600 Service Pack 3
Running: q03ry5gl.exe; Driver: C:\DOKUME~1\ZIMMER~1\LOKALE~1\Temp\kwlyiuow.sys


---- System - GMER 1.0.15 ----

SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF747EE52]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF745FCDE]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF745FED0]
SSDT B9AC5CDC ZwCreateThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xF747F640]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xF747F8F4]
SSDT B9AC5CFA ZwLoadKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF747DB44]
SSDT B9AC5CC8 ZwOpenProcess
SSDT B9AC5CCD ZwOpenThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF747FD60]
SSDT B9AC5D04 ZwReplaceKey
SSDT B9AC5CFF ZwRestoreKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xF747F112]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwTerminateProcess [0xF745F984]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xB1799796]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xB17997D6]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xB17997AA]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0xB1799782]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0xB179976E]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xB17997EC]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xB17997C0]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution 804F0EA6 7 Bytes JMP B17997C4 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!NtCreateFile 8056F600 5 Bytes JMP B179979A \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!NtSetInformationProcess 80570441 5 Bytes JMP B1799772 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!ZwProtectVirtualMemory 8057457F 7 Bytes JMP B17997AE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!ZwUnmapViewOfSection 80578606 5 Bytes JMP B17997F0 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!NtMapViewOfSection 80578A81 7 Bytes JMP B17997DA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntoskrnl.exe!ZwSetContextThread 8062DD47 5 Bytes JMP B1799786 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xB9B7FF80]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00070FEF
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00070084
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00070F8F
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00070069
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00070058
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00070036
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 000700A6
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00070F6A
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00070F3C
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00070F4D
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00070F2B
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00070047
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00070FDE
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00070095
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 0007001B
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0007000A
.text C:\WINDOWS\system32\services.exe[696] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 000700CB
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00060FA5
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00060F79
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00060000
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00060FD4
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0006002C
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00060FEF
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0006001B
.text C:\WINDOWS\system32\services.exe[696] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00060F94
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00050FA1
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0005002C
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00050FCD
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00050000
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00050FBC
.text C:\WINDOWS\system32\services.exe[696] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00050011
.text C:\WINDOWS\system32\services.exe[696] WS2_32.dll!socket 71A14211 5 Bytes JMP 00040FEF
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00EC0000
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00EC0095
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00EC0FAA
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00EC0084
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00EC0FD1
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00EC0058
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00EC0F59
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00EC0F6A
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00EC00C6
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00EC0F2D
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00EC00E1
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00EC0069
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00EC0011
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00EC0F7B
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00EC0047
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00EC002C
.text C:\WINDOWS\system32\lsass.exe[708] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00EC0F48
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00EB0040
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00EB0FCA
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00EB0025
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00EB0FEF
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00EB0087
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00EB0000
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00EB0076
.text C:\WINDOWS\system32\lsass.exe[708] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00EB005B
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00EA0044
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00EA0033
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00EA0011
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00EA0000
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00EA0022
.text C:\WINDOWS\system32\lsass.exe[708] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00EA0FD7
.text C:\WINDOWS\system32\lsass.exe[708] WS2_32.dll!socket 71A14211 5 Bytes JMP 00BE0FE5
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00FA0000
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00FA0F52
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00FA0F6D
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00FA0047
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00FA0F8A
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00FA001B
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00FA0089
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00FA0078
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00FA0F1C
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00FA00B5
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00FA00D0
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00FA002C
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00FA0FE5
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00FA0F41
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00FA0FAF
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00FA0FCA
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00FA00A4
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00F90FC3
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00F90F7C
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00F90FD4
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00F90FE5
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00F90F8D
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00F90000
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00F90FA8
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [1C, 89] {SBB AL, 0x89}
.text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00F9002F
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00F80064
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00F80049
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00F8002E
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00F8000C
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00F80FD9
.text C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00F8001D
.text C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!socket 71A14211 5 Bytes JMP 00F70000
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D00000
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D0006C
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D00F81
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D0005B
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D00F9E
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D00FB9
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D00F4B
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D00087
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D00F15
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D000AE
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00D00F04
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00D0004A
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00D00011
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00D00F5C
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00D00FD4
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00D00FE5
.text C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00D00F30
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00CF0FC0
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00CF0F91
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00CF0011
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00CF0FE5
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00CF004E
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00CF0000
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00CF003D
.text C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00CF002C
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CE0F81
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CE0F9C
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CE0FB7
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CE0FEF
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CE000C
.text C:\WINDOWS\system32\svchost.exe[952] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CE0FDE
.text C:\WINDOWS\system32\svchost.exe[952] WS2_32.dll!socket 71A14211 5 Bytes JMP 00CD0FE5
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02CB0FE5
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 02CB0FAD
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 02CB00A2
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02CB0087
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 02CB006C
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02CB0040
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 02CB0F88
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02CB00D0
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 02CB0F5C
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02CB00F5
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 02CB0F4B
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 02CB005B
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02CB000A
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 02CB00B3
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 02CB0FD4
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 02CB0025
.text C:\WINDOWS\System32\svchost.exe[992] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 02CB0F6D
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 02CA0FB9
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02CA0F7C
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02CA0FCA
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02CA000A
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 02CA0039
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 02CA0FEF
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 02CA0F8D
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [ED, 8A]
.text C:\WINDOWS\System32\svchost.exe[992] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 02CA0FA8
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 02C90FC1
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!system 77BF93C7 5 Bytes JMP 02C90FD2
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 02C90FE3
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_open 77BFF566 5 Bytes JMP 02C90000
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 02C90038
.text C:\WINDOWS\System32\svchost.exe[992] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 02C9001D
.text C:\WINDOWS\System32\svchost.exe[992] WS2_32.dll!socket 71A14211 5 Bytes JMP 02C80000
.text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 029D0000
.text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 029D001B
.text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 029D0FE5
.text C:\WINDOWS\System32\svchost.exe[992] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 029D0FD4
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00770FEF
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 007700A2
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00770FAD
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00770087
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00770076
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0077004A
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 007700CE
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 007700BD
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00770F50
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 007700F3
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 0077010E
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00770065
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00770FD4
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00770F92
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00770025
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 0077000A
.text C:\WINDOWS\system32\svchost.exe[1048] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00770F75
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00760FBC
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00760F6B
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00760FCD
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00760FDE
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00760F90
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00760FEF
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00760032
.text C:\WINDOWS\system32\svchost.exe[1048] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00760FAB
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 0075007A
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!system 77BF93C7 5 Bytes JMP 0075005F
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00750044
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_open 77BFF566 5 Bytes JMP 0075000C
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00750FEF
.text C:\WINDOWS\system32\svchost.exe[1048] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 0075001D
.text C:\WINDOWS\system32\svchost.exe[1048] WS2_32.dll!socket 71A14211 5 Bytes JMP 00740000
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 009D0FE5
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 009D0F3A
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 009D0039
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 009D0F61
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 009D0F7C
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 009D0F9E
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 009D0EFD
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 009D0F0E
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 009D0096
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 009D007B
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 009D0EEC
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 009D0F8D
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 009D000A
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 009D0F1F
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 009D0FB9
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 009D0FCA
.text C:\WINDOWS\system32\svchost.exe[1128] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 009D0060
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 009C0FDB
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 009C0F8A
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 009C0036
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 009C001B
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 009C0FA5
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 009C0000
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 009C0047
.text C:\WINDOWS\system32\svchost.exe[1128] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 009C0FCA
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 009B0066
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!system 77BF93C7 5 Bytes JMP 009B0055
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 009B0033
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_open 77BFF566 5 Bytes JMP 009B000C
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 009B0044
.text C:\WINDOWS\system32\svchost.exe[1128] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 009B0FEF
.text C:\WINDOWS\system32\svchost.exe[1128] WS2_32.dll!socket 71A14211 5 Bytes JMP 009A000A
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 024A0FEF
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 024A0F66
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 024A005B
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 024A0040
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 024A002F
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 024A0F9E
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 024A0F24
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 024A0F4B
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 024A00AC
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 024A0091
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 024A00BD
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 024A0F8D
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 024A0FD4
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 024A0076
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 024A0FAF
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 024A0000
.text C:\WINDOWS\Explorer.EXE[1364] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 024A0F13
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 0238001E
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 02380FA8
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 02380FCD
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 02380FDE
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0238005B
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 02380FEF
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 0238004A
.text C:\WINDOWS\Explorer.EXE[1364] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 02380039
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 01920F97
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!system 77BF93C7 5 Bytes JMP 01920FA8
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 01920FC3
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_open 77BFF566 5 Bytes JMP 01920FEF
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 01920018
.text C:\WINDOWS\Explorer.EXE[1364] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 01920FDE
.text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 0183000A
.text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 0183001B
.text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 0183002C
.text C:\WINDOWS\Explorer.EXE[1364] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 01830047
.text C:\WINDOWS\Explorer.EXE[1364] WS2_32.dll!socket 71A14211 5 Bytes JMP 01860000
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BB0000
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BB0087
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BB0076
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BB005B
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BB0FA8
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BB0040
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BB0F3F
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BB0F5C
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BB0EF8
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BB0F13
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BB00AC
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BB0FB9
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BB0FEF
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BB0F77
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BB002F
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BB0FDE
.text C:\WINDOWS\system32\svchost.exe[1588] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BB0F24
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00940FA8
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00940040
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00940FC3
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00940FD4
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 0094002F
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00940FE5
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyW 77DCBA55 2 Bytes JMP 00940F8D
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA58 2 Bytes [B7, 88] {MOV BH, 0x88}
.text C:\WINDOWS\system32\svchost.exe[1588] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00940014
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00930FAD
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00930FBE
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0093001D
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00930FEF
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 0093002E
.text C:\WINDOWS\system32\svchost.exe[1588] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00930000
.text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenA 408D3081 5 Bytes JMP 00910FE5
.text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenW 408D36B1 5 Bytes JMP 00910000
.text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenUrlA 408D6F5A 5 Bytes JMP 00910FCA
.text C:\WINDOWS\system32\svchost.exe[1588] WININET.dll!InternetOpenUrlW 40918439 5 Bytes JMP 00910FAF
.text C:\WINDOWS\system32\svchost.exe[1588] WS2_32.dll!socket 71A14211 5 Bytes JMP 00920FEF
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BD0FE5
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BD0F83
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BD006E
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BD0051
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BD0036
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BD0F94
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BD0F52
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BD00A4
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BD00DA
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BD00BF
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!GetProcAddress 7C80AE40 5 Bytes JMP 00BD0F26
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 00BD001B
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BD0FD4
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreatePipe 7C81D83F 5 Bytes JMP 00BD0093
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateNamedPipeW 7C82F0DD 5 Bytes JMP 00BD0FAF
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!CreateNamedPipeA 7C860CDC 5 Bytes JMP 00BD0000
.text C:\WINDOWS\system32\svchost.exe[2244] kernel32.dll!WinExec 7C86250D 5 Bytes JMP 00BD0F41
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyExW 77DA6AAF 5 Bytes JMP 00BC0011
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyExW 77DA776C 5 Bytes JMP 00BC0F94
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 00BC0FCA
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyW 77DA7946 5 Bytes JMP 00BC0FDB
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyExA 77DAE9F4 5 Bytes JMP 00BC0FA5
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegOpenKeyA 77DAEFC8 5 Bytes JMP 00BC0000
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyW 77DCBA55 5 Bytes JMP 00BC0047
.text C:\WINDOWS\system32\svchost.exe[2244] ADVAPI32.dll!RegCreateKeyA 77DCBCF3 5 Bytes JMP 00BC002C
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00BB0044
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00BB0FB9
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00BB0FD4
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00BB0FEF
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00BB0029
.text C:\WINDOWS\system32\svchost.exe[2244] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00BB000C
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[3212] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041C130 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[3212] kernel32.dll!LoadLibraryW 7C80AEEB 5 Bytes JMP 0041C1B0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

Device \FileSystem\Fastfat \Fat B0106D20
Device \FileSystem\Fastfat \Fat B00FF60A

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- EOF - GMER 1.0.15 ----

Alt 29.01.2010, 07:43   #7
Chris4You
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Hi,

C:\WINDOWS\system32\services.exe und C:\WINDOWS\system32\lsass.exe
verknüpfen zwar zu einigen anderen Dlls (was ungewöhnlich ist, beide mal bei virustotal.com prüfen lassen!), aber ansonsten sieht das Okay aus...

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.02.2010, 15:01   #8
RMZ
 
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Standard

Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


Hallo Chris,
vielen dank für deine Hilfe.

Ich habe jetzt die Datei C:\WINDOWS\system32\services.exe gescannt, leider mit 2 Funden:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.07 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.07 -
BitDefender 7.2 2010.02.07 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3851 2010.02.07 -
DrWeb 5.0.1.12222 2010.02.07 -
eSafe 7.0.17.0 2010.02.04 Win32.TrojanHorse
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 -
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 -
Ikarus T3.1.1.80.0 2010.02.07 -
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 -
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.07 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5406 2010.02.07 -
NOD32 4843 2010.02.07 -
Norman 6.04.03 2010.02.07 -
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.06 -
PCTools 7.0.3.5 2010.02.07 -
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 -
Sophos 4.50.0 2010.02.07 -
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 111104 bytes
MD5...: a3edbe9053889fb24ab22492472b39dc
SHA1..: 7153d4d113c47379fb57aad4918a2f2a64f0c9ee
SHA256: 6f2ed6e04bde2fca2a8bf9bd2d1d6923de6eaecb46f582b6c0bd1cf364d65c9e
ssdeep: 1536:HAj12id0hKy+k1DQ+7Gpj3r4M7TGfwG1K9IJvydlnk4pCxvmA:HAG1DQgGp
j3Cf1K9IBydlk+cvmA
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xbf63
timedatestamp.....: 0x498c1ac8 (Fri Feb 06 11:11:04 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x196a5 0x19800 6.23 bf32e1a6f4363e9fffea31d970bdebf2
.data 0x1b000 0xa38 0xc00 1.78 817a9a6979796d656eb64e994df5db0a
.rsrc 0x1c000 0x850 0xa00 3.86 5ecabec1284399883afe76f8a296e48c

( 10 imports )
> ADVAPI32.dll: AllocateLocallyUniqueId, RegOpenKeyW, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, LogonUserExW, LsaStorePrivateData, LsaLookupNames, AddAccessAllowedAce, SetTokenInformation, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser
> KERNEL32.dll: GetCurrentThread, CreateMutexW, ReleaseMutex, ExitThread, FormatMessageW, lstrcmpiW, SetProcessShutdownParameters, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetConsoleCtrlHandler, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, OpenEventW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, TerminateProcess, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW
> msvcrt.dll: _itow, wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, wcsncmp, _XcptFilter, _cexit, exit, _wcsnicmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _wtol, wcscpy, wcscat, wcsncpy, _wcsicmp, __initenv, wcslen, wcscspn, _ultow
> NCObjAPI.DLL: WmiCreateObjectWithFormat, WmiEventSourceConnect, WmiSetAndCommitObject
> ntdll.dll: RtlCreateSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlQuerySecurityObject, RtlSetSecurityObject, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, NtQueryInformationToken, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject
> RPCRT4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, RpcServerListen, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, RpcServerUnregisterIf, NdrAsyncClientCall, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf
> SCESRV.dll: ScesrvInitializeServer, ScesrvTerminateServer
> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys
> USER32.dll: LoadStringW, wsprintfW, BroadcastSystemMessageW, MessageBoxW, RegisterServicesProcess
> USERENV.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Anwendung f_r Dienste und Controller
original name: services.exe
internal name: services.exe
file version.: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

Bei der Datei lsass.exe gab es keinen Fund.

Prevx war jedoch fündig (siehe Anahang)

VG
RMZ
Miniaturansicht angehängter Grafiken
Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware &amp; Rsit-prevx3.0.jpg  

Antwort

Themen zu Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit
antivir, antivir guard, avgntflt.sys, bho, bitte um hilfe, browser guard, cc cleaner, desktop, druck, excel, fehler, firefox, flash player, fontcache, hkus\s-1-5-18, home, hotfix.exe, iminstaller, install.exe, installation, logfile, msiexec.exe, phishing, plug-in, pop-up, pop-up fenster, registrierungsschlüssel, registry, security update, server, siteadvisor, software, spyware, starten, stick, studio, system, trojaner, trojaner eingefangen, updates, usb, windows internet, windows internet explorer, windows xp, windows-firewall, windows-sicherheitscenterdienst


« Google leitet falsch weiter...Bin ratlos! | Virenproblem? »


Ähnliche Themen: Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit


  1. BrowseSmart eingefangen, Anti Malware hat über 1000 Infizierungen gefunden
    Log-Analyse und Auswertung - 07.09.2014 (3)
  2. Trojaner und Malware auf meinem Laptop! Malwarebytes Anti-Malware hat 733 aufgespuert
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (19)
  3. Malwarebytes Anti-Malware findet 9 infizierte Dateien!Bitte um Hilfe
    Log-Analyse und Auswertung - 04.12.2013 (7)
  4. BKA Trojaner mit Anti-Malware entfernt und OTL logs brauche ein script bitte
    Log-Analyse und Auswertung - 09.09.2012 (10)
  5. Verschlüsselungstrojaner eingefangen, auch nach Malwarebytes Anti-Malware keine Besserung
    Log-Analyse und Auswertung - 27.07.2012 (1)
  6. BKA Trojaner eingefangen - bitte um Hilfe
    Log-Analyse und Auswertung - 19.06.2012 (1)
  7. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  8. Anti Malware Doctor & Win32.Backdoor.Papras/A eingefangen / Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (16)
  9. laut IngDiba mit URL Zone befallen - Malware Log + RSIT
    Plagegeister aller Art und deren Bekämpfung - 04.11.2009 (2)
  10. Malwarebytes-Anti-Malware hat was gefunden bitte um Hilfe
    Log-Analyse und Auswertung - 02.11.2009 (84)
  11. Dringende Hilfe benötigt !!! (Mit Reports)
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (1)
  12. Trojaner eingefangen, Bitte um Hilfe!!!
    Log-Analyse und Auswertung - 02.07.2008 (7)
  13. Bitte um Hilfe bei Anti-Malware Report
    Plagegeister aller Art und deren Bekämpfung - 07.06.2008 (1)
  14. Trojaner eingefangen.Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 13.02.2008 (0)
  15. Trojaner eingefangen bitte um hilfe!
    Log-Analyse und Auswertung - 29.07.2007 (4)
  16. Trojaner eingefangen, bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 09.03.2006 (1)
  17. Trojaner eingefangen. Bitte um Hilfe
    Log-Analyse und Auswertung - 09.05.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit - Hi, hihi, da gibt es einen kleinen Trick für GMER ( http://www.trojaner-board.de/74908-a...t-scanner.html <- schau mal hier): * Wichtig: Bitte alle offenen programme schließen! * 1. Starte den Scan mit "Scan". - Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit...
Archiv
Du betrachtest: Bitte um Hilfe, Trojaner eingefangen: Reports von Anti-Malware & Rsit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19