Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ok, der teatimer könnte Malwarebytes scan verfälscht haben, bitte deinstaliere spybot und starte den pc neu, dann nach update den Malwarebytes scan wie auf seite 1 beschrieben erneut ausführen, log posten

Hallo markusg,

Spybot habe ich deinstalliert und Malwarebytes' Anti-Malware einen Komplettscan durchführen lassen.

Während des Scans erschien ein Fenster mit der Meldung:
"Generic Host Process for Win32Service hat ein Problem festgestellt und muss beendet werden". Ich habe nur mit Ok bestätigt und keine Sendung veranlasst.

Hier das Ergebnis von Malwarebytes' Anti-Malware:
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4390

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 21:57:15
mbam-log-2010-08-04 (21-57-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 407815
Laufzeit: 1 Stunde(n), 28 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sorry, vergaß mitzuteilen, dass ich STOPzilla auch deaktiviert habe, weil dieser Dateien von der Combofix-Installation löschen wollte.

poste einen GMER report
http://www.trojaner-board.de/74908-a...t-scanner.html

Melde mich kurz mal von meinem Netbook: GMER läuft auf dem betroffenen Desktop-PC-System seit heute Mittag/Nachmittag.

Nach Combofix ist das Einfrieren nach dem Start des Desktop offensichtlich verschwunden. Für diese Hilfe schon mal herzlichen Dank!

Was geblieben ist, ist das selbständige Öffnen von Fenstern in Firefox mit dubiosem Inhalt (manchmal ist das Fenster auch einfach leer und die angewählte URL ist "burkinafas*** irgendwas" oder Werbeinhalt.

Wie gesagt, der GMER-Scan (bisher nur auf C) läuft noch.
Ich poste den GMER-Scan sowie er fertig ist.

Vielen Dank für die Hilfe bis hierher.

Herzliche Grüße,
Gerhard "SchmerlenOtto"

c: reicht auch, die andern laufwerke brauchst net

Moin aus Südskandinavien,

"brauchst net" klingt net(t) nach Süddeutschland...
... wie gesagt in Norddeutschland dauert's alles "a bißl" länger, offensichtlich auch der GMER-Scan (der ist jetzt irgendwo in der Registry, soweit ich die Meldungen als Laie interpretieren kann).

Auf jeden Fall finde ich deine Hilfe auf diesem Board schon mal super! Dazu kommt später bestimmt noch was von mir.

Würde mich freuen, wenn der "Rest" auch noch zu "reparieren" wäre.

GMERScanEndeabwartende Grüße,
Gerhard "SchmerlenOtto"

ist die internet verbindung an diesem pc getrennt und alle laufenden programme abgeschalten.
ne um genau zu sein bin ich n "ossi" :-)

Nett, irgendwie bin ich dann auch 'n "Ossi" (meine Eltern stammen aus dem Sudentenland, die über Augs- und Duisburg "'rübergemacht" haben ...
... nun gut, das ist hier nicht das Thema *auch wenn|s die Computerwelt ein bisschen menschlicher macht.

Also> der kranke PC ist definitiv offline, weil ich das CATKabel abgetrennt habe.

Nu`'
seh ich gerade im Augenwinkel, dass GMER einen schwarzen Bildschild liefert und der PC abgestürzt ist. Neustart klappte und ich starte einen neuen GMER Scan. Der hat hat dann Zeit bis morgen früh.
...
Denkste, nun sagt: u47786.exe (der Random Name von GMER) hat ein Problem und muss beendet werden (bla bla Meldung an MS natürlich: nein)

Versuche neuen Download.
Beste Grüße,
Gerhard

So, nun scannte er wieder und hängte sich dann bei "\bxipptp" auf.
Maus stoppt, WIn stopp!
SHIFT-ALT-ENTF geht nicht
Mache: ON-Schalter bis AUS...

Ich bin jetzt mal kurz angebunden, aber bitte nicht unhöflich verstehen:
Neustart und nach besten Wissen alle Programme beendet (auch über SHIFT-ALT-ENTF)
GMER 1.0.15.15281 scannt.
Ich muss jetzt erstmal was essen, bei dem ganzen Stress.
Bis dann!
Gerhard "Schmerlenotto"

So, nun hat GMER über Nacht den Scan durchgeführt. Wegen der Länge kommt das Log in drei Teilen (auch als drei .txt-files hochgeladen):

GMER Teil 1:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-06 06:19:44
Windows 5.1.2600 Service Pack 3
Running: u4jf7786.exe; Driver: C:\DOKUME~1\GERHAR~1\LOKALE~1\Temp\pxlyypow.sys


---- System - GMER 1.0.15 ----

SSDT spjb.sys ZwCreateKey [0xB9EA80E0]
SSDT spjb.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spjb.sys ZwEnumerateValueKey [0xB9EC7030]
SSDT spjb.sys ZwOpenKey [0xB9EA80C0]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xA3426C90]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xA3426D7E]
SSDT spjb.sys ZwQueryKey [0xB9EC7108]
SSDT spjb.sys ZwQueryValueKey [0xB9EC6F88]
SSDT spjb.sys ZwSetValueKey [0xB9EC719A]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xA3426BF4]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateThread [0xA3426EC4]

INT 0x74 ? 8A8F0BF8
INT 0x83 ? 8A8F0BF8
INT 0x94 ? 8A8FEBF8
INT 0x94 ? 8A8FEBF8
INT 0x94 ? 8A8FEBF8
INT 0x94 ? 8A8FEBF8
INT 0x94 ? 8A8F0BF8
INT 0x94 ? 8A8FEBF8
INT 0xB4 ? 8A8FEBF8
INT 0xB4 ? 8A8FEBF8
INT 0xB4 ? 8A8F0BF8
INT 0xB4 ? 8A8F0BF8
INT 0xB4 ? 8A8FEBF8

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!NtSetInformationThread + 138 805CC200 23 Bytes [EC, 8B, 00, 8B, 00, 89, 45, ...]
PAGE ntkrnlpa.exe!NtSetInformationThread + 150 805CC218 2 Bytes [85, 9D]
PAGE ntkrnlpa.exe!NtSetInformationThread + 155 805CC21D 5 Bytes [C7, 45, FC, 03, 00]
PAGE ntkrnlpa.exe!NtSetInformationThread + 15B 805CC223 42 Bytes [00, 8A, 06, 88, 45, A0, 89, ...]
PAGE ntkrnlpa.exe!NtSetInformationThread + 186 805CC24E 22 Bytes [75, A0, FF, 75, CC, E8, 8C, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsEstablishWin32Callouts + 1 805CC94F 96 Bytes [FF, 55, 8B, EC, 8B, 45, 08, ...]
PAGE ntkrnlpa.exe!PsEstablishWin32Callouts + 62 805CC9B0 8 Bytes [48, 28, 89, 0D, 04, 4C, 56, ...]
PAGE ntkrnlpa.exe!PsEstablishWin32Callouts + 6B 805CC9B9 8 Bytes [48, 2C, 89, 0D, 08, 4C, 56, ...] {DEC EAX; SUB AL, 0x89; OR EAX, 0x80564c08}
PAGE ntkrnlpa.exe!PsEstablishWin32Callouts + 74 805CC9C2 33 Bytes [48, 30, 89, 0D, 14, 4C, 56, ...]
PAGE ntkrnlpa.exe!PsEstablishWin32Callouts + 96 805CC9E4 77 Bytes [5D, C2, 04, 00, CC, CC, CC, ...]
PAGE ntkrnlpa.exe!PsSetProcessPriorityByClass + 44 805CCA32 45 Bytes [00, 74, 11, 8B, 80, D0, 00, ...]
PAGE ntkrnlpa.exe!PsSetProcessPriorityByClass + 72 805CCA60 64 Bytes CALL 805AFF63 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetProcessPriorityByClass + B3 805CCAA1 33 Bytes [0A, B8, 22, 00, 00, C0, E9, ...]
PAGE ntkrnlpa.exe!PsSetProcessPriorityByClass + D5 805CCAC3 20 Bytes [46, 44, 89, 45, E0, 38, 9E, ...]
PAGE ntkrnlpa.exe!PsSetProcessPriorityByClass + EA 805CCAD8 45 Bytes CALL 80510C49 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!NtQueryInformationProcess + 6B 805CCFB9 178 Bytes [FC, FF, 8B, 85, 28, FF, FF, ...]
PAGE ntkrnlpa.exe!NtQueryInformationProcess + 11E 805CD06C 33 Bytes [00, 8B, 45, E0, 89, 06, E9, ...]
PAGE ntkrnlpa.exe!NtQueryInformationProcess + 140 805CD08E 32 Bytes JMP 805CD46C \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!NtQueryInformationProcess + 162 805CD0B0 10 Bytes CALL 805BB47F \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!NtQueryInformationProcess + 16D 805CD0BB 10 Bytes [8C, 3A, 0D, 00, 00, 8B, 3D, ...]
PAGE ...
PAGE ntkrnlpa.exe!NtSetInformationProcess + 57 805CDE9B 3 Bytes CALL 80614099 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!NtSetInformationProcess + 5B 805CDE9F 4 Bytes [8D, 04, 1F, 3B]
PAGE ntkrnlpa.exe!NtSetInformationProcess + 60 805CDEA4 13 Bytes [72, 08, 3B, 05, 34, 21, 56, ...]
PAGE ntkrnlpa.exe!NtSetInformationProcess + 6E 805CDEB2 30 Bytes [00, 83, 4D, FC, FF, 8B, 45, ...]
PAGE ntkrnlpa.exe!NtSetInformationProcess + 8D 805CDED1 91 Bytes CALL 80592C59 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!PsDereferenceImpersonationToken + 71 805CED39 59 Bytes [75, 0C, 33, C0, 38, 46, 24, ...]
PAGE ntkrnlpa.exe!PsReferencePrimaryToken + D 805CED75 26 Bytes [00, 00, 00, 8B, CB, E8, 9F, ...]
PAGE ntkrnlpa.exe!PsReferencePrimaryToken + 28 805CED90 44 Bytes [8F, D4, 00, 00, 00, 83, C6, ...]
PAGE ntkrnlpa.exe!PsReferencePrimaryToken + 55 805CEDBD 226 Bytes [89, 45, 08, 8D, 51, FC, 8B, ...]
PAGE ntkrnlpa.exe!PsReferenceImpersonationToken + A2 805CEEA0 28 Bytes [13, 8D, 47, 34, 39, 00, 74, ...]
PAGE ntkrnlpa.exe!PsReferenceImpersonationToken + BF 805CEEBD 20 Bytes [CC, CC, CC, CC, CC, 8B, FF, ...]
PAGE ntkrnlpa.exe!PsReferenceImpersonationToken + D4 805CEED2 28 Bytes [00, 08, 8B, 87, 20, 02, 00, ...]
PAGE ntkrnlpa.exe!PsReferenceImpersonationToken + F3 805CEEF1 105 Bytes [8D, B7, 38, 02, 00, 00, 8B, ...]
PAGE ntkrnlpa.exe!PsReferenceImpersonationToken + 15D 805CEF5B 71 Bytes [FF, 83, D4, 00, 00, 00, 0F, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsImpersonateClient + 2B 805CF0D5 16 Bytes [8D, B3, 48, 02, 00, 00, F6, ...]
PAGE ntkrnlpa.exe!PsImpersonateClient + 3C 805CF0E6 5 Bytes [00, 64, A1, 24, 01]
PAGE ntkrnlpa.exe!PsImpersonateClient + 42 805CF0EC 71 Bytes [00, 8B, F8, FF, 8F, D4, 00, ...]
PAGE ntkrnlpa.exe!PsImpersonateClient + 8A 805CF134 30 Bytes CALL 8060C54F \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsImpersonateClient + A9 805CF153 22 Bytes JMP 805CF345 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!PsDisableImpersonation + 68 805CF3D4 25 Bytes [8B, 43, 08, 89, 47, 08, 8A, ...]
PAGE ntkrnlpa.exe!PsDisableImpersonation + 82 805CF3EE 22 Bytes [FC, 8B, 4D, 0C, 6A, 02, 33, ...]
PAGE ntkrnlpa.exe!PsDisableImpersonation + 99 805CF405 145 Bytes [FF, 86, D4, 00, 00, 00, 75, ...]
PAGE ntkrnlpa.exe!PsRevertToSelf + 1F 805CF497 56 Bytes [0F, B1, 0F, 85, C0, 74, 07, ...]
PAGE ntkrnlpa.exe!PsRevertToSelf + 58 805CF4D0 19 Bytes CALL 8060C550 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsRevertToSelf + 6C 805CF4E4 7 Bytes [74, 0C, B1, 01, C6, 46, 49]
PAGE ntkrnlpa.exe!PsRevertToSelf + 74 805CF4EC 53 Bytes [FF, 15, 0C, 81, 4D, 80, 85, ...]
PAGE ntkrnlpa.exe!PsRevertThreadToSelf + 1A 805CF522 82 Bytes [00, 00, 8B, F8, FF, 8F, D4, ...]
PAGE ntkrnlpa.exe!PsRevertThreadToSelf + 6D 805CF575 2 Bytes [87, D4] {XCHG ESP, EDX}
PAGE ntkrnlpa.exe!PsRevertThreadToSelf + 71 805CF579 53 Bytes [00, 75, 13, 8D, 47, 34, 39, ...]
PAGE ntkrnlpa.exe!PsRevertThreadToSelf + A7 805CF5AF 73 Bytes [08, 85, F6, 74, 3C, 57, 56, ...]
PAGE ntkrnlpa.exe!PsRevertThreadToSelf + F1 805CF5F9 12 Bytes CALL 805C5DF4 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!PsAssignImpersonationToken + 4A 805CF75A 3 Bytes CALL 805BB483 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsAssignImpersonationToken + 4E 805CF75E 35 Bytes [3B, C3, 0F, 8C, D0, 00, 00, ...]
PAGE ntkrnlpa.exe!PsAssignImpersonationToken + 72 805CF782 1 Byte [00]
PAGE ntkrnlpa.exe!PsAssignImpersonationToken + 72 805CF782 8 Bytes [00, 00, 00, 56, E8, A3, 8A, ...]
PAGE ntkrnlpa.exe!PsAssignImpersonationToken + 7B 805CF78B 22 Bytes [50, 53, 53, 56, 8B, 7D, 08, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsSetCreateProcessNotifyRoutine + 1A 805CFC34 74 Bytes [8B, F0, 85, F6, 74, 1F, 56, ...]
PAGE ntkrnlpa.exe!PsSetCreateProcessNotifyRoutine + 65 805CFC7F 49 Bytes [49, D0, 03, 00, 56, E8, 2B, ...]
PAGE ntkrnlpa.exe!PsSetCreateProcessNotifyRoutine + 97 805CFCB1 14 Bytes [84, C0, 75, 1F, 83, C3, 04, ...]
PAGE ntkrnlpa.exe!PsSetCreateProcessNotifyRoutine + A6 805CFCC0 9 Bytes [BF, 0D, 00, 00, C0, 56, E8, ...]
PAGE ntkrnlpa.exe!PsSetCreateProcessNotifyRoutine + B0 805CFCCA 16 Bytes [00, 8B, C7, 5F, 5E, 5B, 5D, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsSetCreateThreadNotifyRoutine + 12 805CFCFC 20 Bytes [8B, D8, 3B, DF, 75, 07, B8, ...]
PAGE ntkrnlpa.exe!PsSetCreateThreadNotifyRoutine + 27 805CFD11 23 Bytes CALL 8060CAFC \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetCreateThreadNotifyRoutine + 3F 805CFD29 38 Bytes [CB, 02, 02, 00, B8, 9A, 00, ...]
PAGE ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine + 2 805CFD50 34 Bytes [55, 8B, EC, 53, 56, 57, 33, ...]
PAGE ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine + 25 805CFD73 9 Bytes [0D, 56, 6A, 00, 57, E8, 81, ...]
PAGE ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine + 2F 805CFD7D 116 Bytes [84, C0, 75, 1C, 56, 57, E8, ...]
PAGE ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine + A4 805CFDF2 18 Bytes [F6, 86, 48, 02, 00, 00, 03, ...]
PAGE ntkrnlpa.exe!PsRemoveCreateThreadNotifyRoutine + B7 805CFE05 92 Bytes [08, 74, 04, C6, 45, E7, 01, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsSetLoadImageNotifyRoutine + 4 805CFF92 34 Bytes [EC, 53, 57, 33, FF, 57, FF, ...]
PAGE ntkrnlpa.exe!PsSetLoadImageNotifyRoutine + 27 805CFFB5 6 Bytes [53, 56, E8, 42, CB, 03]
PAGE ntkrnlpa.exe!PsSetLoadImageNotifyRoutine + 2E 805CFFBC 1 Byte [84]
PAGE ntkrnlpa.exe!PsSetLoadImageNotifyRoutine + 2E 805CFFBC 32 Bytes [84, C0, 75, 1D, 83, C7, 04, ...]
PAGE ntkrnlpa.exe!PsSetLoadImageNotifyRoutine + 4F 805CFFDD 49 Bytes [33, C9, B8, C8, 39, 56, 80, ...]
PAGE ntkrnlpa.exe!PsRemoveLoadImageNotifyRoutine + 15 805D000F 43 Bytes [8B, F0, 85, F6, 74, 1F, 56, ...]
PAGE ntkrnlpa.exe!PsRemoveLoadImageNotifyRoutine + 41 805D003B 18 Bytes [72, CC, B8, 7A, 00, 00, C0, ...]
PAGE ntkrnlpa.exe!PsRemoveLoadImageNotifyRoutine + 54 805D004E 53 Bytes [83, C9, FF, F0, 0F, C1, 08, ...]
PAGE ntkrnlpa.exe!PsRemoveLoadImageNotifyRoutine + 8A 805D0084 28 Bytes [74, 38, 53, 56, 57, 6A, 08, ...]
PAGE ntkrnlpa.exe!PsRemoveLoadImageNotifyRoutine + A7 805D00A1 38 Bytes [03, 00, FF, 75, 10, FF, 75, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwCreateThread + C 805D0FDE 25 Bytes [83, 65, FC, 00, 64, A1, 24, ...]
PAGE ntkrnlpa.exe!ZwCreateThread + 26 805D0FF8 16 Bytes [A1, 34, 21, 56, 80, 8B, 4D, ...]
PAGE ntkrnlpa.exe!ZwCreateThread + 38 805D100A 24 Bytes [8B, 01, 89, 01, 8B, 5D, 18, ...]
PAGE ntkrnlpa.exe!ZwCreateThread + 51 805D1023 96 Bytes [00, F6, C3, 03, 74, 05, E8, ...]
PAGE ntkrnlpa.exe!ZwCreateThread + B2 805D1084 52 Bytes [C0, EB, 63, 8B, 5D, 20, 8B, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsCreateSystemThread + 37 805D112F 11 Bytes [CC, CC, CC, CC, CC, 6A, 0C, ...]
PAGE ntkrnlpa.exe!ZwCreateProcessEx + 7 805D113B 88 Bytes CALL 8053BBA0 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwCreateProcessEx + 60 805D1194 21 Bytes [75, 20, FF, 75, 1C, FF, 75, ...]
PAGE ntkrnlpa.exe!ZwCreateProcessEx + 76 805D11AA 5 Bytes [FF, EB, 05, B8, 0D]
PAGE ntkrnlpa.exe!ZwCreateProcessEx + 7D 805D11B1 182 Bytes CALL 8053BBDA \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwQueueApcThread + 38 805D1268 2 Bytes [45, 08]
PAGE ntkrnlpa.exe!ZwQueueApcThread + 3B 805D126B 95 Bytes [DB, F6, 80, 48, 02, 00, 00, ...]
PAGE ntkrnlpa.exe!ZwQueueApcThread + 9C 805D12CC 11 Bytes [C0, 5F, 8B, 4D, 08, E8, C4, ...]
PAGE ntkrnlpa.exe!ZwQueueApcThread + A8 805D12D8 104 Bytes [C3, 5B, C9, C2, 14, 00, CC, ...]
PAGE ntkrnlpa.exe!PsGetContextThread + 5D 805D1341 16 Bytes [8B, 95, C8, FC, FF, FF, A1, ...]
PAGE ntkrnlpa.exe!PsGetContextThread + 6E 805D1352 36 Bytes [8B, 0A, 89, 8D, B0, FC, FF, ...]
PAGE ntkrnlpa.exe!PsGetContextThread + 93 805D1377 116 Bytes [CC, 00, 00, 00, 83, 4D, FC, ...]
PAGE ntkrnlpa.exe!PsGetContextThread + 108 805D13EC 33 Bytes [00, 8A, 8D, CF, FC, FF, FF, ...]
PAGE ntkrnlpa.exe!PsGetContextThread + 12A 805D140E 56 Bytes [FF, 33, C0, 40, C3, 8B, 85, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwGetContextThread + A 805D14EE 27 Bytes [01, 00, 00, 8A, 80, 40, 01, ...]
PAGE ntkrnlpa.exe!ZwGetContextThread + 26 805D150A 173 Bytes CALL 805BB47E \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetContextThread + 68 805D15B8 26 Bytes [CA, B8, 20, 00, 01, 00, 23, ...]
PAGE ntkrnlpa.exe!PsSetContextThread + 83 805D15D3 16 Bytes [FF, 8B, F3, 8D, BD, 14, FD, ...]
PAGE ntkrnlpa.exe!PsSetContextThread + 94 805D15E4 43 Bytes [C8, 83, E1, 03, F3, A4, 83, ...]
PAGE ntkrnlpa.exe!PsSetContextThread + C0 805D1610 10 Bytes [89, 85, 0C, FD, FF, FF, 89, ...]
PAGE ntkrnlpa.exe!PsSetContextThread + CB 805D161B 21 Bytes [FF, 8A, 45, 10, 88, 85, 00, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwSetContextThread + 2F 805D1723 24 Bytes [8B, F0, 85, F6, 7C, 2A, 57, ...]
PAGE ntkrnlpa.exe!ZwSetContextThread + 48 805D173C 76 Bytes CALL 805D154F \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsGetProcessExitProcessCalled + D 805D1789 59 Bytes CALL DD5E3B90
PAGE ntkrnlpa.exe!PsSetJobUIRestrictionsClass + 11 805D17C5 3 Bytes [5D, C2, 08]
PAGE ntkrnlpa.exe!PsSetJobUIRestrictionsClass + 15 805D17C9 5 Bytes [CC, CC, CC, CC, CC] {INT 3 ; INT 3 ; INT 3 ; INT 3 ; INT 3 }
PAGE ntkrnlpa.exe!PsSetProcessPriorityClass + 1 805D17CF 2 Bytes [FF, 55]
PAGE ntkrnlpa.exe!PsSetProcessPriorityClass + 4 805D17D2 49 Bytes [EC, 8A, 45, 0C, 8B, 4D, 08, ...]
PAGE ntkrnlpa.exe!PsSetThreadWin32Thread + 2 805D1804 82 Bytes [55, 8B, EC, 8B, 45, 0C, 85, ...]
PAGE ntkrnlpa.exe!PsSetProcessSecurityPort + 9 805D1857 140 Bytes [4D, 08, 89, 81, 98, 01, 00, ...]
PAGE ntkrnlpa.exe!PsSetProcessWin32Process + 2 805D18E4 16 Bytes [55, 8B, EC, 51, 83, 65, FC, ...]
PAGE ntkrnlpa.exe!PsSetProcessWin32Process + 13 805D18F5 70 Bytes [8B, 7D, 08, 8B, F0, FF, 8E, ...]
PAGE ntkrnlpa.exe!PsSetProcessWin32Process + 5A 805D193C 12 Bytes [C0, EB, 19, 81, C7, 30, 01, ...]
PAGE ntkrnlpa.exe!PsSetProcessWin32Process + 67 805D1949 62 Bytes [10, 75, 05, 83, 27, 00, EB, ...]
PAGE ntkrnlpa.exe!PsSetProcessWin32Process + A6 805D1988 9 Bytes [8B, 45, FC, 5F, 5E, 5B, C9, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsSetLegoNotifyRoutine + D 805D19A5 47 Bytes [B8, D0, 00, 00, 00, 5D, C2, ...]
PAGE ntkrnlpa.exe!PsSetLegoNotifyRoutine + 3D 805D19D5 23 Bytes CALL 805D7ABA \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetLegoNotifyRoutine + 55 805D19ED 3 Bytes CALL 805264CB \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetLegoNotifyRoutine + 59 805D19F1 238 Bytes CALL 805D78CB \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsSetLegoNotifyRoutine + 148 805D1AE0 34 Bytes [08, 00, 00, 00, 56, E8, E0, ...]
PAGE ...
PAGE ntkrnlpa.exe!PsGetProcessExitTime + 66 805D1F80 6 Bytes [EC, 83, EC, 0C, 83, 4D]
PAGE ntkrnlpa.exe!PsGetProcessExitTime + 6D 805D1F87 31 Bytes [FF, 53, 56, 57, 33, FF, C7, ...]
PAGE ntkrnlpa.exe!PsGetProcessExitTime + 8E 805D1FA8 49 Bytes [74, 11, F6, 86, 48, 02, 00, ...]
PAGE ntkrnlpa.exe!PsGetProcessExitTime + C1 805D1FDB 1 Byte [8D]
PAGE ntkrnlpa.exe!PsGetProcessExitTime + C1 805D1FDB 164 Bytes [8D, 45, F4, 50, 57, 57, 57, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwRegisterThreadTerminatePort + 2 805D273A 142 Bytes [55, 8B, EC, 51, 56, 64, A1, ...]
PAGE ntkrnlpa.exe!ZwRegisterThreadTerminatePort + 91 805D27C9 3 Bytes CALL 805D206B \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwRegisterThreadTerminatePort + 95 805D27CD 21 Bytes [5D, C2, 14, 00, CC, CC, CC, ...]
PAGE ntkrnlpa.exe!ZwRegisterThreadTerminatePort + AB 805D27E3 12 Bytes [FF, 75, 08, 8B, 7D, 0C, 6A, ...]
PAGE ntkrnlpa.exe!ZwRegisterThreadTerminatePort + B8 805D27F0 4 Bytes [68, F8, FF, 5E]
PAGE ...
PAGE ntkrnlpa.exe!ZwTerminateProcess + 2 805D2984 5 Bytes [55, 8B, EC, 83, EC]
PAGE ntkrnlpa.exe!ZwTerminateProcess + 8 805D298A 31 Bytes [53, 56, 57, 64, A1, 24, 01, ...]
PAGE ntkrnlpa.exe!ZwTerminateProcess + 28 805D29AA 30 Bytes [FF, C6, 45, FF, 00, 8A, 87, ...]
PAGE ntkrnlpa.exe!ZwTerminateProcess + 47 805D29C9 20 Bytes CALL 805BB47F \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwTerminateProcess + 5C 805D29DE 4 Bytes [8D, 86, 48, 02]
PAGE ...
PAGE ntkrnlpa.exe!ZwTerminateThread + 21 805D2B9D 6 Bytes [01, 75, 43, B8, DB, 00]
PAGE ntkrnlpa.exe!ZwTerminateThread + 28 805D2BA4 62 Bytes [C0, EB, 5B, 83, 7D, 08, FE, ...]
PAGE ntkrnlpa.exe!ZwTerminateThread + 67 805D2BE3 18 Bytes CALL 805D2856 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwTerminateThread + 7A 805D2BF6 1 Byte [FF]
PAGE ntkrnlpa.exe!ZwTerminateThread + 7A 805D2BF6 51 Bytes [FF, 8B, CB, 8B, F8, E8, 9A, ...]
PAGE ntkrnlpa.exe!PsTerminateSystemThread + 1C 805D2C2A 7 Bytes [75, 08, 50, E8, 28, FC, FF]
PAGE ntkrnlpa.exe!PsTerminateSystemThread + 24 805D2C32 20 Bytes [5D, C2, 04, 00, CC, CC, CC, ...]
PAGE ntkrnlpa.exe!PsTerminateSystemThread + 39 805D2C47 96 Bytes [CC, CC, CC, CC, CC, 8B, FF, ...]
PAGE ntkrnlpa.exe!PsTerminateSystemThread + 9A 805D2CA8 60 Bytes [00, 3B, 35, B4, 39, 56, 80, ...]
PAGE ntkrnlpa.exe!PsTerminateSystemThread + D7 805D2CE5 6 Bytes CALL 805264C9 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!PsLookupProcessThreadByCid + 4B 805D3051 13 Bytes [86, D4, 00, 00, 00, 75, 13, ...]
PAGE ntkrnlpa.exe!PsLookupProcessThreadByCid + 59 805D305F 16 Bytes [B1, 01, C6, 46, 49, 01, FF, ...]
PAGE ntkrnlpa.exe!PsLookupProcessThreadByCid + 6A 805D3070 36 Bytes [00, C0, 74, 3F, 80, 3F, 06, ...]
PAGE ntkrnlpa.exe!PsLookupProcessThreadByCid + 8F 805D3095 11 Bytes [45, 0C, 85, C0, 74, 0D, 8B, ...]
PAGE ntkrnlpa.exe!PsLookupProcessThreadByCid + 9B 805D30A1 57 Bytes CALL 805264C8 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsLookupProcessByProcessId + 19 805D30DB 61 Bytes [35, C0, 39, 56, 80, E8, A7, ...]
PAGE ntkrnlpa.exe!PsLookupProcessByProcessId + 57 805D3119 4 Bytes [35, C0, 39, 56]
PAGE ntkrnlpa.exe!PsLookupProcessByProcessId + 5C 805D311E 62 Bytes CALL 8060D8A4 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!PsLookupThreadByThreadId + F 805D315D 1 Byte [08]
PAGE ntkrnlpa.exe!PsLookupThreadByThreadId + F 805D315D 9 Bytes [08, 8B, F0, FF, 8E, D4, 00, ...]
PAGE ntkrnlpa.exe!PsLookupThreadByThreadId + 19 805D3167 71 Bytes [35, C0, 39, 56, 80, E8, 1B, ...]
PAGE ntkrnlpa.exe!PsLookupThreadByThreadId + 61 805D31AF 5 Bytes [5F, FF, 86, D4, 00]
PAGE ntkrnlpa.exe!PsLookupThreadByThreadId + 68 805D31B6 6 Bytes [75, 13, 8D, 46, 34, 39]
PAGE ...
PAGE ntkrnlpa.exe!ZwSetLdtEntries + B 805D38AF 33 Bytes [CC, CC, CC, CC, CC, 6A, 34, ...]
PAGE ntkrnlpa.exe!ZwSetLdtEntries + 2D 805D38D1 30 Bytes [7D, 0C, 10, 73, 0A, B8, 04, ...]
PAGE ntkrnlpa.exe!ZwSetLdtEntries + 4C 805D38F0 11 Bytes [D8, 89, 5D, D8, 85, DB, 75, ...]
PAGE ntkrnlpa.exe!ZwSetLdtEntries + 58 805D38FC 28 Bytes JMP 805D3B84 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwSetLdtEntries + 75 805D3919 16 Bytes [E1, 03, F3, A4, 83, 4D, FC, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwSuspendThread + 7 805D489B 1 Byte [E8]
PAGE ntkrnlpa.exe!ZwSuspendThread + 7 805D489B 43 Bytes CALL 8053BBA0 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwSuspendThread + 33 805D48C7 147 Bytes [3B, F0, 72, 02, 89, 18, 8B, ...]
PAGE ntkrnlpa.exe!ZwResumeThread + 1 805D495B 5 Bytes [20, 68, 18, AA, 4D] {AND [EAX+0x18], CH; STOSB ; DEC EBP}
PAGE ntkrnlpa.exe!ZwResumeThread + 7 805D4961 249 Bytes CALL 8053BBA0 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwSuspendProcess + 3A 805D4A5C 21 Bytes CALL 805D4841 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwSuspendProcess + 50 805D4A72 7 Bytes [00, CC, CC, CC, CC, CC, 8B]
PAGE ntkrnlpa.exe!ZwResumeProcess + 2 805D4A7A 54 Bytes [55, 8B, EC, 51, 56, 64, A1, ...]
PAGE ntkrnlpa.exe!ZwResumeProcess + 3A 805D4AB2 28 Bytes CALL 805D46F3 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAlertThread + 1 805D4ACF 9 Bytes [FF, 55, 8B, EC, 51, 64, A1, ...]
PAGE ntkrnlpa.exe!ZwAlertThread + B 805D4AD9 29 Bytes [00, 8A, 80, 40, 01, 00, 00, ...]
PAGE ntkrnlpa.exe!ZwAlertThread + 29 805D4AF7 28 Bytes CALL 805BB482 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAlertThread + 47 805D4B15 59 Bytes [C9, C2, 04, 00, CC, CC, CC, ...]
PAGE ntkrnlpa.exe!ZwAlertResumeThread + 33 805D4B51 31 Bytes [3B, F0, 72, 02, 89, 18, 8B, ...]
PAGE ntkrnlpa.exe!ZwAlertResumeThread + 53 805D4B71 29 Bytes CALL 805BB481 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAlertResumeThread + 71 805D4B8F 35 Bytes [FC, 01, 00, 00, 00, 3B, F3, ...]
PAGE ntkrnlpa.exe!ZwAlertResumeThread + 95 805D4BB3 4 Bytes CALL 8059993B \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAlertResumeThread + 9A 805D4BB8 132 Bytes [45, DC, EB, 18, 8B, 45, EC, ...]
PAGE ntkrnlpa.exe!ZwTestAlert + 5B 805D4C3D 18 Bytes [00, 00, 10, 53, 74, 60, 64, ...]
PAGE ntkrnlpa.exe!ZwTestAlert + 6F 805D4C51 54 Bytes [6A, 02, 8D, 4E, 6C, 5A, 33, ...]
PAGE ntkrnlpa.exe!ZwTestAlert + A6 805D4C88 26 Bytes [FF, 83, D4, 00, 00, 00, 75, ...]
PAGE ntkrnlpa.exe!ZwTestAlert + C1 805D4CA3 40 Bytes [F6, 87, 98, 00, 00, 00, 01, ...]
PAGE ntkrnlpa.exe!ZwTestAlert + EB 805D4CCD 93 Bytes [00, 01, 74, 0E, 8B, 87, 38, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwIsProcessInJob + 11 805D51B3 51 Bytes [00, 6A, 00, 88, 45, FC, 8D, ...]
PAGE ntkrnlpa.exe!ZwIsProcessInJob + 46 805D51E8 49 Bytes [8B, 87, 34, 01, 00, 00, 85, ...]
PAGE ntkrnlpa.exe!ZwIsProcessInJob + 78 805D521A 17 Bytes [6A, 00, 8D, 45, FC, 50, FF, ...] {PUSH 0x0; LEA EAX, [EBP-0x4]; PUSH EAX; PUSH DWORD [EBP-0x4]; PUSH DWORD [0x80563940]; PUSH 0x4}
PAGE ntkrnlpa.exe!ZwIsProcessInJob + 8A 805D522C 34 Bytes CALL 805BB480 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwIsProcessInJob + AD 805D524F 40 Bytes [75, 13, 8B, 75, 08, 8B, CE, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwCreateJobSet + 5A 805D5338 6 Bytes [00, 8A, 80, 40, 01, 00] {ADD [EDX+0x14080], CL}
PAGE ntkrnlpa.exe!ZwCreateJobSet + 61 805D533F 48 Bytes [88, 45, D8, 89, 5D, FC, 3C, ...]
PAGE ntkrnlpa.exe!ZwCreateJobSet + 92 805D5370 64 Bytes [CE, 8B, 75, 0C, 8B, C1, C1, ...]
PAGE ntkrnlpa.exe!ZwCreateJobSet + D3 805D53B1 114 Bytes [35, 40, 39, 56, 80, 6A, 04, ...]
PAGE ntkrnlpa.exe!ZwCreateJobSet + 148 805D5426 109 Bytes [75, 40, 3B, DE, 74, 21, 3B, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwCreateJobObject + 11 805D55B7 38 Bytes [00, 89, 45, D8, 8A, 80, 40, ...]
PAGE ntkrnlpa.exe!ZwCreateJobObject + 38 805D55DE 32 Bytes [01, 89, 19, 83, 4D, FC, FF, ...]
PAGE ntkrnlpa.exe!ZwCreateJobObject + 59 805D55FF 86 Bytes CALL 805C135F \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwCreateJobObject + B0 805D5656 55 Bytes [01, 00, 00, 01, C6, 86, 5A, ...]
PAGE ntkrnlpa.exe!ZwCreateJobObject + E8 805D568E 23 Bytes CALL 80535705 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!ZwOpenJobObject + 3A 805D5766 108 Bytes [EB, 16, 8B, 45, EC, 8B, 00, ...]
PAGE ntkrnlpa.exe!ZwOpenJobObject + A7 805D57D3 22 Bytes [FF, 55, 8B, EC, 83, EC, 20, ...]
PAGE ntkrnlpa.exe!ZwOpenJobObject + BE 805D57EA 54 Bytes [8B, D8, FF, 8B, D4, 00, 00, ...]
PAGE ntkrnlpa.exe!ZwOpenJobObject + F6 805D5822 4 Bytes [F6, 86, 98, 00]
PAGE ntkrnlpa.exe!ZwOpenJobObject + FC 805D5828 38 Bytes [08, 8B, 86, 80, 00, 00, 00, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwQueryInformationJobObject + 4 805D5C02 30 Bytes [00, 68, 98, AA, 4D, 80, E8, ...]
PAGE ntkrnlpa.exe!ZwQueryInformationJobObject + 23 805D5C21 13 Bytes [4D, 0C, 83, F9, 0B, 0F, 8D, ...] {DEC EBP; OR AL, 0x83; STC ; OR ECX, [EDI]; LEA EAX, [EBP+0x3b000008]; RETF }
PAGE ntkrnlpa.exe!ZwQueryInformationJobObject + 31 805D5C2F 64 Bytes [8E, 7D, 08, 00, 00, 8B, 04, ...]
PAGE ntkrnlpa.exe!ZwQueryInformationJobObject + 72 805D5C70 12 Bytes [88, 85, 20, FF, FF, FF, 84, ...]
PAGE ntkrnlpa.exe!ZwQueryInformationJobObject + 7F 805D5C7D 27 Bytes [52, 57, 8B, 7D, 10, 57, E8, ...]
PAGE ...
PAGE ntkrnlpa.exe!ZwAssignProcessToJobObject + 66 805D6648 48 Bytes [00, 0D, 01, 01, 00, 00, 50, ...]
PAGE ntkrnlpa.exe!ZwAssignProcessToJobObject + 97 805D6679 25 Bytes [8D, 87, CC, 00, 00, 00, 53, ...]
PAGE ntkrnlpa.exe!ZwAssignProcessToJobObject + B3 805D6695 28 Bytes CALL 805CED64 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAssignProcessToJobObject + D0 805D66B2 122 Bytes CALL 805C5EA9 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwAssignProcessToJobObject + 14B 805D672D 46 Bytes CALL 80526697 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!ZwSetInformationJobObject + 3D 805D6949 46 Bytes [8D, BD, 7C, FF, FF, FF, AB, ...]
PAGE ntkrnlpa.exe!ZwSetInformationJobObject + 6D 805D6979 16 Bytes [8B, 04, 9D, C0, F0, 67, 80, ...]
PAGE ntkrnlpa.exe!ZwSetInformationJobObject + 7E 805D698A 44 Bytes [64, A1, 24, 01, 00, 00, 8B, ...]
PAGE ntkrnlpa.exe!ZwSetInformationJobObject + AB 805D69B7 36 Bytes [8B, 45, 14, 03, C6, 3B, C6, ...]
PAGE ntkrnlpa.exe!ZwSetInformationJobObject + D1 805D69DD 4 Bytes JMP 805D7491 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!ZwTerminateJobObject + 17 805D74B7 58 Bytes [88, 45, FC, 8D, 45, 08, 50, ...]
PAGE ntkrnlpa.exe!ZwTerminateJobObject + 52 805D74F2 197 Bytes CALL 805D656A \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!ZwTerminateJobObject + 118 805D75B8 28 Bytes [8D, 9F, 44, 02, 00, 00, 8B, ...]
PAGE ntkrnlpa.exe!ZwTerminateJobObject + 136 805D75D6 33 Bytes [00, 02, 74, 6A, 3B, 96, 8C, ...]
PAGE ntkrnlpa.exe!ZwTerminateJobObject + 158 805D75F8 14 Bytes CALL 805D2AFA \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ...
PAGE ntkrnlpa.exe!ZwImpersonateThread + 43 805D77E5 55 Bytes [00, A1, 34, 21, 56, 80, 3B, ...]
PAGE ntkrnlpa.exe!ZwImpersonateThread + 7B 805D781D 40 Bytes [85, C0, 0F, 8C, 91, 00, 00, ...]
PAGE ntkrnlpa.exe!ZwImpersonateThread + A4 805D7846 35 Bytes [F0, EB, 47, 8D, 45, A8, 50, ...]
PAGE ntkrnlpa.exe!ZwImpersonateThread + C8 805D786A 114 Bytes [F2, 01, 00, 8B, F0, FF, 75, ...]
PAGE ntkrnlpa.exe!IoDeleteController + 11 805D78DD 44 Bytes [CC, CC, CC, CC, CC, 8B, FF, ...]
PAGE ntkrnlpa.exe!IoDeleteController + 3F 805D790B 55 Bytes CALL 8052665B \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!IoDeleteController + 77 805D7943 47 Bytes [65, FC, 00, 53, 56, 57, 64, ...]
PAGE ntkrnlpa.exe!IoDeleteController + A7 805D7973 31 Bytes CALL 8052665B \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!IoDeleteController + C7 805D7993 47 Bytes [B1, 01, C6, 46, 49, 01, FF, ...]
PAGE ...
PAGE ntkrnlpa.exe!LdrEnumResources + A 805D8B4E 52 Bytes [33, FF, 39, 7D, 18, 89, 7D, ...]
PAGE ntkrnlpa.exe!LdrEnumResources + 40 805D8B84 44 Bytes JMP 805D8D7B \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!LdrEnumResources + 6D 805D8BB1 12 Bytes [00, 83, 7D, 10, 00, 76, 14, ...] {ADD [EBX+0x7600107d], AL; ADC AL, 0x8b; INC EBP; OR AL, 0x53; PUSH ESI}
PAGE ntkrnlpa.exe!LdrEnumResources + 7A 805D8BBE 47 Bytes CALL 805D87B3 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!LdrEnumResources + AA 805D8BEE 46 Bytes [FF, FF, 7F, 23, CB, 03, CE, ...]
PAGE ...
PAGE ntkrnlpa.exe!LdrFindResource_U + 14 805D8DB2 3 Bytes CALL 805D8825 \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
PAGE ntkrnlpa.exe!LdrFindResource_U + 18 805D8DB6 2 Bytes [5D, C2]
PAGE ntkrnlpa.exe!LdrFindResource_U + 1B 805D8DB9 7 Bytes [00, CC, CC, CC, CC, CC, CC] {ADD AH, CL; INT 3 ; INT 3 ; INT 3 ; INT 3 ; INT 3 }
PAGE ntkrnlpa.exe!LdrFindResourceDirectory_U + 1 805D8DC1 21 Bytes [FF, 55, 8B, EC, FF, 75, 14, ...]
PAGE ntkrnlpa.exe!LdrFindResourceDirectory_U + 17 805D8DD7 4 Bytes [FF, 5D, C2, 10]
PAGE ntkrnlpa.exe!LdrFindResourceDirectory_U + 1C 805D8DDC 24 Bytes [CC, CC, CC, CC, CC, CC, 8B, ...]
PAGE ntkrnlpa.exe!RtlMultiByteToUnicodeN + 13 805D8DF5 5 Bytes [00, 0F, 85, D2, 01]
PAGE ntkrnlpa.exe!RtlMultiByteToUnicodeN + 1B 805D8DFD 210 Bytes [5D, 18, 3B, FB, 73, 02, 8B, ...]
PAGE ntkrnlpa.exe!RtlMultiByteToUnicodeN + EE 805D8ED0 203 Bytes [34, 71, 66, 89, 70, 26, 0F, ...]
PAGE ntkrnlpa.exe!RtlMultiByteToUnicodeN + 1BA 805D8F9C 126 Bytes [34, 71, 66, 89, 70, 04, 0F, ...]
PAGE ntkrnlpa.exe!RtlMultiByteToUnicodeN + 239 805D901B 59 Bytes [35, 04, C5, 67, 80, 66, 8B, ...]
PAGE ...
PAGE ntkrnlpa.exe!RtlOemToUnicodeN + 69 805D9139 7 Bytes [59, 1A, 0F, B6, 58, 0C, 66] {POP ECX; SBB CL, [EDI]; MOV DH, 0x58; OR AL, 0x66}
PAGE ntkrnlpa.exe!RtlOemToUnicodeN + 71 805D9141 95 Bytes [1C, 5A, 66, 89, 59, 18, 0F, ...]
PAGE ntkrnlpa.exe!RtlOemToUnicodeN + D1 805D91A1 15 Bytes [1C, 5A, 66, 89, 59, 08, 0F, ...]
PAGE ntkrnlpa.exe!RtlOemToUnicodeN + E1 805D91B1 183 Bytes [59, 06, 0F, B6, 58, 02, 66, ...]
PAGE ntkrnlpa.exe!RtlOemToUnicodeN + 199 805D9269 282 Bytes [18, 5F, 1B, C0, 5E, 25, 05, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToMultiByteN + 22 805D9384 1 Byte [D6]
PAGE ntkrnlpa.exe!RtlUnicodeToMultiByteN + 22 805D9384 222 Bytes [D6, 8B, 45, 10, 85, C0, 74, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToMultiByteN + 101 805D9463 78 Bytes [FF, FF, EB, 4E, 85, F6, 8B, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToMultiByteN + 150 805D94B2 11 Bytes [08, 89, 01, 5F, 5E, 33, C0, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToMultiByteN + 15C 805D94BE 19 Bytes [5A, 94, 5D, 80, 50, 94, 5D, ...] {POP EDX; XCHG ESP, EAX; POP EBP; ADC BYTE [EAX-0x6c], 0x5d; ADD BYTE [ESI-0x6c], 0x5d; CMP BYTE [ESP+EDX*4], 0x5d; XOR BYTE [EDX], 0x94; POP EBP}
PAGE ...
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToMultiByteN + 29 805D952D 48 Bytes [45, 10, 85, C0, 89, 4D, 0C, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToMultiByteN + 5A 805D955E 217 Bytes [01, 8B, 15, 04, C5, 67, 80, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToMultiByteN + 134 805D9638 69 Bytes [B7, 4F, E4, 0F, B6, 0C, 01, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToMultiByteN + 17A 805D967E 45 Bytes [83, E3, 0F, 03, F3, 0F, B7, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToMultiByteN + 1A8 805D96AC 33 Bytes [C5, 67, 80, 0F, B7, 0C, 4A, ...]
PAGE ...
PAGE ntkrnlpa.exe!RtlUnicodeToOemN + 11 805D9D61 19 Bytes [56, 57, 89, 55, 18, 0F, 85, ...] {PUSH ESI; PUSH EDI; MOV [EBP+0x18], EDX; JNZ 0xf7; CMP EDX, [EBP+0xc]; JB 0x13; MOV EDX, [EBP+0xc]}
PAGE ntkrnlpa.exe!RtlUnicodeToOemN + 25 805D9D75 38 Bytes [45, 10, 85, C0, 74, 02, 89, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToOemN + 4C 805D9D9C 18 Bytes [0F, 77, 07, FF, 24, BD, BD, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToOemN + 5F 805D9DAF 65 Bytes [20, 83, C1, 10, 88, 59, FF, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToOemN + A1 805D9DF1 79 Bytes [B7, 58, 0C, 8A, 1C, 33, 88, ...]
PAGE ...
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToOemN + 29 805D9F2B 9 Bytes [45, 10, 85, C0, 89, 4D, FC, ...] {INC EBP; ADC [EBP-0x3b27640], AL; JZ 0xb}
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToOemN + 33 805D9F35 32 Bytes [08, 8B, 55, 14, A1, 20, C7, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToOemN + 54 805D9F56 67 Bytes [0F, B7, 0F, 0F, B6, 0C, 01, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToOemN + 98 805D9F9A 161 Bytes [B7, D6, 8B, FA, C1, EF, 08, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToOemN + 13A 805DA03C 17 Bytes [01, 8B, 15, 1C, C7, 67, 80, ...]
PAGE ...
PAGE ntkrnlpa.exe!RtlCustomCPToUnicodeN + 4 805DA840 88 Bytes [EC, 53, 8B, 5D, 08, 56, 57, ...]
PAGE ntkrnlpa.exe!RtlCustomCPToUnicodeN + 5D 805DA899 45 Bytes [0F, B6, 58, 0D, 66, 8B, 1C, ...]
PAGE ntkrnlpa.exe!RtlCustomCPToUnicodeN + 8B 805DA8C7 83 Bytes [59, 14, 0F, B6, 58, 09, 66, ...]
PAGE ntkrnlpa.exe!RtlCustomCPToUnicodeN + DF 805DA91B 7 Bytes [59, 06, 0F, B6, 58, 02, 66]
PAGE ntkrnlpa.exe!RtlCustomCPToUnicodeN + E7 805DA923 187 Bytes [1C, 5A, 66, 89, 59, 04, 0F, ...]
PAGE ...
PAGE ntkrnlpa.exe!RtlUnicodeToCustomCPN + 49 805DAA69 26 Bytes [FF, 0F, 77, 07, FF, 24, BD, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToCustomCPN + 64 805DAA84 54 Bytes [0F, B7, 18, 8A, 1C, 33, 88, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToCustomCPN + 9B 805DAABB 53 Bytes [88, 59, 05, 0F, B7, 58, 0C, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToCustomCPN + D1 805DAAF1 63 Bytes [B7, 58, 16, 8A, 1C, 33, 88, ...]
PAGE ntkrnlpa.exe!RtlUnicodeToCustomCPN + 111 805DAB31 8 Bytes [74, 38, 83, 7D, 10, 00, 74, ...] {JZ 0x3a; CMP DWORD [EBP+0x10], 0x0; JZ 0x3a}
PAGE ...
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToCustomCPN + 2 805DABD2 40 Bytes [55, 8B, EC, 83, EC, 0C, 8B, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToCustomCPN + 2C 805DABFC 54 Bytes [14, 85, C0, 89, 55, 08, 74, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToCustomCPN + 63 805DAC33 45 Bytes [45, 0C, 10, 83, C1, 20, 66, ...]
PAGE ntkrnlpa.exe!RtlUpcaseUnicodeToCustomCPN + 91