Fetty hat Probleme mit seiner Blechkiste
 

Hallo liebes Forum,
Ich habe Probleme.Ich bitte hiermit um Hilfe bei euch, mein Computer ist scheinbar total verseucht.Hier das FRST:

[CODE] Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 22-06-2014
Ran by Andreas (administrator) on ANDREAS-PC on 25-06-2014 13:28:32
Running from C:\Users\Andreas\Downloads
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(AMD) C:\Windows\System32\atiesrxx.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\ISWSVC.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(ArcSoft, Inc.) C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
() C:\Program Files (x86)\Gigabyte\EasySaver\essvr.exe
(Hewlett-Packard Company) C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
() C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avwebgrd.exe
(AMD) C:\Windows\System32\atieclxx.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Check Point Software Technologies) C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(ArcSoft Inc.) C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe
(CyberLink) C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
(CyberLink Corp.) C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe
(cyberlink) C:\Program Files (x86)\CyberLink\Shared files\brs.exe
(Check Point Software Technologies LTD) C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11101800 2010-07-28] (Realtek Semiconductor)
HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\System32\LogiLDA.dll [1580368 2010-11-03] (Logitech, Inc.)
HKLM\...\Run: [ISW] => C:\Program Files\CheckPoint\ZAForceField\ForceField.exe [1125504 2011-11-03] (Check Point Software Technologies)
HKLM-x32\...\Run: [UpdateLBPShortCut] => C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.)
HKLM-x32\...\Run: [MDS_Menu] => C:\Program Files (x86)\CyberLink\MediaShow4\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.)
HKLM-x32\...\Run: [CLMLServer] => C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-12-15] (CyberLink)
HKLM-x32\...\Run: [UpdateP2GoShortCut] => C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.)
HKLM-x32\...\Run: [RemoteControl9] => C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe [87336 2009-07-06] (CyberLink Corp.)
HKLM-x32\...\Run: [BDRegion] => C:\Program Files (x86)\Cyberlink\Shared files\brs.exe [75048 2010-05-14] (cyberlink)
HKLM-x32\...\Run: [UpdatePPShortCut] => C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM-x32\...\Run: [UCam_Menu] => C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [218408 2009-02-17] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdatePSTShortCut] => C:\Program Files (x86)\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe [222504 2010-06-02] (CyberLink Corp.)
HKLM-x32\...\Run: [ZoneAlarm] => C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe [73360 2011-11-09] (Check Point Software Technologies LTD)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [737872 2014-06-24] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1380574359-2315062586-461180227-1000\...\Run: [Steam] => C:\Program Files (x86)\Steam\Steam.exe [1825984 2014-04-24] (Valve Corporation)
HKU\S-1-5-21-1380574359-2315062586-461180227-1000\...\MountPoints2: {3f956e18-9094-11e0-ad04-806e6f6e6963} - E:\wubi.exe
HKU\S-1-5-21-1380574359-2315062586-461180227-1000\...\MountPoints2: {54e24818-9091-11e0-89ea-806e6f6e6963} - E:\Run.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TotalMedia Server.lnk
ShortcutTarget: TotalMedia Server.lnk -> C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe (ArcSoft Inc.)
ShellIconOverlayIdentifiers: DropboxExt1 -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: DropboxExt2 -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: DropboxExt3 -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: DropboxExt4 -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: DropboxExt1 -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: DropboxExt2 -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: DropboxExt3 -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqD&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x224FBE099B43CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqD&q={searchTerms}
URLSearchHook: HKLM-x32 - (No Name) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - No File
URLSearchHook: HKLM-x32 - (No Name) - {04a8dd1a-4754-48fe-a703-99846646ef04} - No File
SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqE&q={searchTerms}
SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqE&q={searchTerms}
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqD&q={searchTerms}
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPHRo0PyGG1_Kxr4dEqi2tMc9XvzeUiwAdwAQWGgALDuCGviMidcPwr_eD47aHZ5ZXtahvKI_pvUrnLe2GNYMo7EUzHJt-fpo7cXrau6BwHY0SgwJhpmVaKDj0Iyze3PLUhNEQZ2Fu73eHHg97nxaXpYdmydD6PNjMDgLqD&q={searchTerms}
BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: No Name - {04a8dd1a-4754-48fe-a703-99846646ef04} - No File
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
BHO-x32: No Name - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - No File
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File
Toolbar: HKLM-x32 - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File
Toolbar: HKCU - No Name - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No File
Toolbar: HKCU - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\7olcn1oe.default-1395251451120
FF Homepage: https://www.google.de/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_13_0_0_214.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_13_0_0_214.dll ()
FF Plugin-x32: @checkpoint.com/FFApi - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF Plugin-x32: @nvidia.com/3DVision - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: Adblock Plus - C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\7olcn1oe.default-1395251451120\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2014-04-09]
FF HKLM\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF Extension: No Name - C:\Program Files\CheckPoint\ZAForceField\TrustChecker [2011-12-20]
FF HKLM\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF Extension: ZoneAlarm Security Engine - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2011-12-20]
FF HKLM-x32\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox

==================== Services (Whitelisted) =================

R2 ADExchange; C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe [43624 2012-08-14] (ArcSoft, Inc.)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [430160 2014-06-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [430160 2014-06-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [1039440 2014-06-24] (Avira Operations GmbH & Co. KG)
S3 AppleChargerSrv; C:\Windows\System32\AppleChargerSrv.exe [31272 2010-04-06] ()
S2 CLKMSVC10_9EC60124; C:\Program Files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe [246256 2010-05-14] (CyberLink)
R2 ES lite Service; C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE [68136 2009-08-24] ()
R2 IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [827520 2011-11-03] (Check Point Software Technologies)
R2 LightScribeService; C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe [73728 2010-04-22] (Hewlett-Packard Company) [File not signed]
R2 RichVideo; C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe [244904 2009-07-02] () [File not signed]
R2 vsmon; C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe [2420616 2011-11-09] (Check Point Software Technologies LTD)

==================== Drivers (Whitelisted) ====================

R1 AppleCharger; C:\Windows\System32\DRIVERS\AppleCharger.sys [21544 2010-04-27] ()
R1 ArcSec; C:\Windows\System32\drivers\ArcSec.sys [311872 2011-11-10] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [112080 2014-06-24] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [130584 2014-06-24] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-25] (Avira Operations GmbH & Co. KG)
R2 ISWKL; C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [33672 2011-11-03] (Check Point Software Technologies)
R1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [454232 2011-05-07] (Check Point Software Technologies LTD)
S1 archlp; system32\drivers\archlp.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-06-25 13:28 - 2014-06-25 13:28 - 00014806 _____ () C:\Users\Andreas\Downloads\FRST.txt
2014-06-25 13:28 - 2014-06-25 13:28 - 00000000 ____D () C:\FRST
2014-06-25 13:27 - 2014-06-25 13:27 - 02082816 _____ (Farbar) C:\Users\Andreas\Downloads\FRST64.exe
2014-06-24 08:13 - 2014-06-24 08:13 - 01058200 _____ (Adobe) C:\Users\Andreas\Downloads\install_flashplayer14x32au_mssa_aaa_aih.exe
2014-06-24 03:28 - 2014-06-24 03:28 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2014-06-24 01:18 - 2014-05-30 12:21 - 23414784 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-06-24 01:18 - 2014-05-30 12:02 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-06-24 01:18 - 2014-05-30 12:02 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-06-24 01:18 - 2014-05-30 11:45 - 02768384 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-06-24 01:18 - 2014-05-30 11:39 - 00548352 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-06-24 01:18 - 2014-05-30 11:39 - 00066048 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-06-24 01:18 - 2014-05-30 11:38 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-06-24 01:18 - 2014-05-30 11:28 - 00051200 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-06-24 01:18 - 2014-05-30 11:27 - 00033792 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-06-24 01:18 - 2014-05-30 11:24 - 00574976 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-06-24 01:18 - 2014-05-30 11:21 - 00139264 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-06-24 01:18 - 2014-05-30 11:21 - 00111616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-06-24 01:18 - 2014-05-30 11:20 - 00752640 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-06-24 01:18 - 2014-05-30 11:18 - 17271296 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-06-24 01:18 - 2014-05-30 11:11 - 00940032 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-06-24 01:18 - 2014-05-30 11:08 - 05782528 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-06-24 01:18 - 2014-05-30 11:06 - 00452096 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-06-24 01:18 - 2014-05-30 11:02 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-06-24 01:18 - 2014-05-30 10:55 - 00038400 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-06-24 01:18 - 2014-05-30 10:49 - 00195584 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-06-24 01:18 - 2014-05-30 10:46 - 00085504 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-06-24 01:18 - 2014-05-30 10:44 - 00455168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-06-24 01:18 - 2014-05-30 10:44 - 00295424 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-06-24 01:18 - 2014-05-30 10:43 - 00061952 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-06-24 01:18 - 2014-05-30 10:42 - 00051200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-06-24 01:18 - 2014-05-30 10:38 - 02179072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-06-24 01:18 - 2014-05-30 10:35 - 00608768 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-06-24 01:18 - 2014-05-30 10:34 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-06-24 01:18 - 2014-05-30 10:33 - 00032768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-06-24 01:18 - 2014-05-30 10:30 - 00440832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-06-24 01:18 - 2014-05-30 10:29 - 00631808 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-06-24 01:18 - 2014-05-30 10:28 - 00112128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-06-24 01:18 - 2014-05-30 10:27 - 00592896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-06-24 01:18 - 2014-05-30 10:24 - 01249280 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-06-24 01:18 - 2014-05-30 10:23 - 02040832 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-06-24 01:18 - 2014-05-30 10:16 - 00368128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-06-24 01:18 - 2014-05-30 10:10 - 00032256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-06-24 01:18 - 2014-05-30 10:06 - 00164864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-06-24 01:18 - 2014-05-30 10:04 - 00069632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-06-24 01:18 - 2014-05-30 10:02 - 00242688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-06-24 01:18 - 2014-05-30 09:56 - 04244992 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-06-24 01:18 - 2014-05-30 09:56 - 02266112 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-06-24 01:18 - 2014-05-30 09:54 - 00526336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-06-24 01:18 - 2014-05-30 09:50 - 01068032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-06-24 01:18 - 2014-05-30 09:49 - 01964544 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-06-24 01:18 - 2014-05-30 09:43 - 13522944 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-06-24 01:18 - 2014-05-30 09:40 - 11725312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-06-24 01:18 - 2014-05-30 09:30 - 01398272 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-06-24 01:18 - 2014-05-30 09:21 - 01790976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-06-24 01:18 - 2014-05-30 09:15 - 01143296 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-06-24 01:18 - 2014-05-30 09:13 - 00846336 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-06-24 01:18 - 2014-05-30 09:13 - 00704512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2014-06-24 01:18 - 2014-04-25 04:34 - 00801280 _____ (Microsoft Corporation) C:\Windows\system32\usp10.dll
2014-06-24 01:18 - 2014-04-25 04:06 - 00626688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\usp10.dll
2014-06-24 01:18 - 2014-04-05 04:47 - 01903552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2014-06-24 01:18 - 2014-04-05 04:47 - 00288192 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\FWPKCLNT.SYS
2014-06-24 01:18 - 2014-03-26 16:44 - 02002432 _____ (Microsoft Corporation) C:\Windows\system32\msxml6.dll
2014-06-24 01:18 - 2014-03-26 16:44 - 01882112 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll
2014-06-24 01:18 - 2014-03-26 16:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml6r.dll
2014-06-24 01:18 - 2014-03-26 16:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml3r.dll
2014-06-24 01:18 - 2014-03-26 16:27 - 01389056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml6.dll
2014-06-24 01:18 - 2014-03-26 16:27 - 01237504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3.dll
2014-06-24 01:18 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml6r.dll
2014-06-24 01:18 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3r.dll
2014-06-24 01:17 - 2014-06-08 11:13 - 00506368 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-06-24 01:17 - 2014-06-08 11:08 - 00424448 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll

==================== One Month Modified Files and Folders =======

2014-06-25 13:28 - 2014-06-25 13:28 - 00014806 _____ () C:\Users\Andreas\Downloads\FRST.txt
2014-06-25 13:28 - 2014-06-25 13:28 - 00000000 ____D () C:\FRST
2014-06-25 13:27 - 2014-06-25 13:27 - 02082816 _____ (Farbar) C:\Users\Andreas\Downloads\FRST64.exe
2014-06-25 13:26 - 2011-06-07 01:39 - 00069112 _____ () C:\Users\Andreas\AppData\Local\GDIPFONTCACHEV1.DAT
2014-06-25 13:15 - 2014-04-17 14:30 - 00000000 ____D () C:\Users\Andreas\Documents\rechnungen
2014-06-25 13:02 - 2012-05-02 18:38 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-06-25 02:45 - 2011-06-07 01:20 - 00000199 _____ () C:\service.log
2014-06-25 01:10 - 2011-06-07 01:07 - 01931938 _____ () C:\Windows\WindowsUpdate.log
2014-06-24 22:20 - 2012-12-22 14:11 - 00000000 ____D () C:\Program Files (x86)\Steam
2014-06-24 20:57 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\rescache
2014-06-24 20:25 - 2009-07-14 19:58 - 00728180 _____ () C:\Windows\system32\perfh007.dat
2014-06-24 20:25 - 2009-07-14 19:58 - 00158272 _____ () C:\Windows\system32\perfc007.dat
2014-06-24 20:25 - 2009-07-14 07:13 - 01675428 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-06-24 20:25 - 2009-07-14 06:45 - 00014816 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-06-24 20:25 - 2009-07-14 06:45 - 00014816 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-06-24 20:20 - 2011-06-07 01:25 - 00025640 _____ (Windows (R) Server 2003 DDK provider) C:\Windows\gdrv.sys
2014-06-24 20:20 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-06-24 20:19 - 2011-06-19 00:30 - 00000000 ____D () C:\ProgramData\NVIDIA
2014-06-24 20:19 - 2009-07-14 06:51 - 00051889 _____ () C:\Windows\setupact.log
2014-06-24 20:03 - 2013-08-08 20:00 - 00000000 ____D () C:\Windows\system32\MRT
2014-06-24 20:02 - 2011-06-07 03:37 - 95414520 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-06-24 20:00 - 2014-05-06 17:13 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-06-24 08:13 - 2014-06-24 08:13 - 01058200 _____ (Adobe) C:\Users\Andreas\Downloads\install_flashplayer14x32au_mssa_aaa_aih.exe
2014-06-24 07:54 - 2012-05-02 21:22 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2014-06-24 07:51 - 2013-08-03 12:15 - 00130584 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2014-06-24 07:51 - 2013-08-03 12:15 - 00112080 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2014-06-24 03:28 - 2014-06-24 03:28 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2014-06-08 11:13 - 2014-06-24 01:17 - 00506368 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-06-08 11:08 - 2014-06-24 01:17 - 00424448 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-05-30 12:21 - 2014-06-24 01:18 - 23414784 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-05-30 12:02 - 2014-06-24 01:18 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-05-30 12:02 - 2014-06-24 01:18 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-05-30 11:45 - 2014-06-24 01:18 - 02768384 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-05-30 11:39 - 2014-06-24 01:18 - 00548352 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-05-30 11:39 - 2014-06-24 01:18 - 00066048 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-05-30 11:38 - 2014-06-24 01:18 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-05-30 11:28 - 2014-06-24 01:18 - 00051200 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-05-30 11:27 - 2014-06-24 01:18 - 00033792 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-05-30 11:24 - 2014-06-24 01:18 - 00574976 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-05-30 11:21 - 2014-06-24 01:18 - 00139264 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-05-30 11:21 - 2014-06-24 01:18 - 00111616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-05-30 11:20 - 2014-06-24 01:18 - 00752640 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-05-30 11:18 - 2014-06-24 01:18 - 17271296 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-05-30 11:11 - 2014-06-24 01:18 - 00940032 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-05-30 11:08 - 2014-06-24 01:18 - 05782528 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-05-30 11:06 - 2014-06-24 01:18 - 00452096 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-05-30 11:02 - 2014-06-24 01:18 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-05-30 10:55 - 2014-06-24 01:18 - 00038400 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-05-30 10:49 - 2014-06-24 01:18 - 00195584 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-05-30 10:46 - 2014-06-24 01:18 - 00085504 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-05-30 10:44 - 2014-06-24 01:18 - 00455168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-05-30 10:44 - 2014-06-24 01:18 - 00295424 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-05-30 10:43 - 2014-06-24 01:18 - 00061952 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-05-30 10:42 - 2014-06-24 01:18 - 00051200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-05-30 10:38 - 2014-06-24 01:18 - 02179072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-05-30 10:35 - 2014-06-24 01:18 - 00608768 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-05-30 10:34 - 2014-06-24 01:18 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-05-30 10:33 - 2014-06-24 01:18 - 00032768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-05-30 10:30 - 2014-06-24 01:18 - 00440832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-05-30 10:29 - 2014-06-24 01:18 - 00631808 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-05-30 10:28 - 2014-06-24 01:18 - 00112128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-05-30 10:27 - 2014-06-24 01:18 - 00592896 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-05-30 10:24 - 2014-06-24 01:18 - 01249280 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-05-30 10:23 - 2014-06-24 01:18 - 02040832 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-05-30 10:16 - 2014-06-24 01:18 - 00368128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-05-30 10:10 - 2014-06-24 01:18 - 00032256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-05-30 10:06 - 2014-06-24 01:18 - 00164864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-05-30 10:04 - 2014-06-24 01:18 - 00069632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-05-30 10:02 - 2014-06-24 01:18 - 00242688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-05-30 09:56 - 2014-06-24 01:18 - 04244992 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-05-30 09:56 - 2014-06-24 01:18 - 02266112 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-05-30 09:54 - 2014-06-24 01:18 - 00526336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-05-30 09:50 - 2014-06-24 01:18 - 01068032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-05-30 09:49 - 2014-06-24 01:18 - 01964544 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-05-30 09:43 - 2014-06-24 01:18 - 13522944 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-05-30 09:40 - 2014-06-24 01:18 - 11725312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-05-30 09:30 - 2014-06-24 01:18 - 01398272 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-05-30 09:21 - 2014-06-24 01:18 - 01790976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-05-30 09:15 - 2014-06-24 01:18 - 01143296 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-05-30 09:13 - 2014-06-24 01:18 - 00846336 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-05-30 09:13 - 2014-06-24 01:18 - 00704512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll

Some content of TEMP:
====================
C:\Users\Andreas\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2014-06-24 08:32

==================== End Of Log ===============[CODE]

[CODE]GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-06-25 14:06:50
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000005c ST325031 rev.CC38 232,89GB
Running: Gmer-19357.exe; Driver: C:\Users\Andreas\AppData\Local\Temp\uwtiqfob.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff800033bd000 45 bytes [00, 00, 15, 02, 46, 69, 6C, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575 fffff800033bd02f 16 bytes [00, 00, 00, 00, 00, 00, 00, ...]

---- User code sections - GMER 2.1 ----

.text C:\Windows\system32\wininit.exe[496] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\wininit.exe[496] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\wininit.exe[496] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\wininit.exe[496] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\wininit.exe[496] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\wininit.exe[496] C:\Windows\system32\USER32.dll!FindWindowW 0000000077a3d264 5 bytes JMP 00000001222ff174
.text C:\Windows\system32\wininit.exe[496] C:\Windows\system32\USER32.dll!FindWindowA 0000000077a58270 5 bytes JMP 00000001222ff1c4
.text C:\Windows\system32\services.exe[560] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\services.exe[560] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\services.exe[560] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\services.exe[560] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\services.exe[560] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\services.exe[560] C:\Windows\system32\USER32.dll!FindWindowW 0000000077a3d264 5 bytes JMP 00000001222ff174
.text C:\Windows\system32\services.exe[560] C:\Windows\system32\USER32.dll!FindWindowA 0000000077a58270 5 bytes JMP 00000001222ff1c4
.text C:\Windows\system32\lsass.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\lsass.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\lsass.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\lsass.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\lsass.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\lsass.exe[620] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Windows\system32\lsm.exe[632] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\lsm.exe[632] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\lsm.exe[632] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\lsm.exe[632] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\lsm.exe[632] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[732] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[732] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[732] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[732] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[732] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\nvvsvc.exe[800] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\nvvsvc.exe[800] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\nvvsvc.exe[800] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\nvvsvc.exe[800] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\nvvsvc.exe[800] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[824] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Windows\system32\svchost.exe[868] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[868] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[868] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[868] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[868] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[868] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Windows\system32\atiesrxx.exe[932] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\atiesrxx.exe[932] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\atiesrxx.exe[932] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\atiesrxx.exe[932] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\atiesrxx.exe[932] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\svchost.exe[1000] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\System32\svchost.exe[1000] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\System32\svchost.exe[1000] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\System32\svchost.exe[1000] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\System32\svchost.exe[1000] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\svchost.exe[316] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\System32\svchost.exe[316] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\System32\svchost.exe[316] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\System32\svchost.exe[316] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\System32\svchost.exe[316] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\svchost.exe[316] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Windows\system32\svchost.exe[340] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[340] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[340] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[340] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[340] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[520] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[520] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[520] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[520] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[520] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[520] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Windows\system32\svchost.exe[1260] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[1260] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[1260] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[1260] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[1260] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\spoolsv.exe[1636] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\System32\spoolsv.exe[1636] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\System32\spoolsv.exe[1636] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\System32\spoolsv.exe[1636] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\System32\spoolsv.exe[1636] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[1696] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000771e1465 2 bytes [1E, 77]
.text C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe[1816] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000771e14bb 2 bytes [1E, 77]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000771e1465 2 bytes [1E, 77]
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000771e14bb 2 bytes [1E, 77]
.text ... * 2
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1868] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE[1948] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000771e1465 2 bytes [1E, 77]
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000771e14bb 2 bytes [1E, 77]
.text ... * 2
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe[1036] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Windows\system32\svchost.exe[2692] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[2692] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[2692] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[2692] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[2692] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[2780] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[2780] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[2780] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[2780] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Program Files\Windows Media Player\wmpnetwk.exe[2780] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\SearchIndexer.exe[332] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\SearchIndexer.exe[332] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\SearchIndexer.exe[332] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\SearchIndexer.exe[332] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\SearchIndexer.exe[332] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\system32\svchost.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\svchost.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\svchost.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\svchost.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\svchost.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[2472] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[2472] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[2472] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[2472] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[2472] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe[3172] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3364] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe[3384] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Program Files (x86)\CyberLink\Shared files\brs.exe[3392] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d
.text C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe[3432] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3556] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3556] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3556] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3556] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3556] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\svchost.exe[608] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\System32\svchost.exe[608] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\System32\svchost.exe[608] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\System32\svchost.exe[608] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\System32\svchost.exe[608] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Windows\System32\svchost.exe[608] C:\Windows\system32\ADVAPI32.dll!ImpersonateNamedPipeClient + 1 000007fefe41b521 3 bytes [5D, 4B, D2]
.text C:\Windows\system32\taskhost.exe[4520] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess 0000000077ca1470 5 bytes JMP 00000001222ffe7c
.text C:\Windows\system32\taskhost.exe[4520] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort 0000000077ca14a0 1 byte JMP 0000000122300530
.text C:\Windows\system32\taskhost.exe[4520] C:\Windows\SYSTEM32\ntdll.dll!NtImpersonateClientOfPort + 2 0000000077ca14a2 3 bytes {JMP 0xffffffffaa65f090}
.text C:\Windows\system32\taskhost.exe[4520] C:\Windows\SYSTEM32\ntdll.dll!NtAccessCheckByType 0000000077ca1900 5 bytes JMP 00000001222ffab8
.text C:\Windows\system32\taskhost.exe[4520] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077ca1aa0 5 bytes JMP 00000001223005e8
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess 0000000077e4fb28 5 bytes JMP 0000000120cb89ab
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\SysWOW64\ntdll.dll!NtImpersonateClientOfPort 0000000077e4fb70 5 bytes JMP 0000000120cb8d58
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\SysWOW64\ntdll.dll!NtAccessCheckByType 0000000077e50240 5 bytes JMP 0000000120cb8791
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\SysWOW64\ntdll.dll!NtAlpcImpersonateClientOfPort 0000000077e504c0 5 bytes JMP 0000000120cb8dd9
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\syswow64\kernel32.dll!OpenProcess 00000000766f1952 5 bytes JMP 0000000120cb846c
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\syswow64\USER32.dll!FindWindowW 00000000775798fd 5 bytes JMP 0000000120cb825a
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\syswow64\USER32.dll!FindWindowA 000000007757ffe6 5 bytes JMP 0000000120cb828f
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\syswow64\ADVAPI32.dll!SetThreadToken 0000000076bdc76e 5 bytes JMP 0000000120cb9036
.text C:\Users\Andreas\Downloads\Gmer-19357.exe[1108] C:\Windows\syswow64\ADVAPI32.dll!ImpersonateNamedPipeClient 0000000076c13475 5 bytes JMP 0000000120cb8e5d

---- EOF - GMER 2.1 ----

Hier noch mal was Avira gelogt hat, war zu lang für den ersten Beitrag.

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

http://filepony.de/icon/malwarebytes_anti_malware.png Malwarebytes Antimalware

• Download-Link
• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Klicke im Anschluss auf "Suchlauf", wähle den Bedrohungssuchlauf aus, aktualisiere die Datenbanken und klicke auf "Suchlauf jetzt starten".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. (geht so...)
• Poste mir den Inhalt der Logdatei (geht so...). Klicke dazu auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Klicke auf "In Zwischenablage kopieren" poste mir den Inhalt in Code-Tags als Antwort in den Thread.

Schritt 3
Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro - 32 Bit
HitmanPro - 64 Bit

• Starte die HitmanPro.exe
• Klicke auf Weiter und akzeptiere die Lizenzbedingungen. Klicke auf Weiter.
• Wähle "Nein, ich möchte nur einen Einmalscan zur Überprüfung dieses Computers ausführen" aus und klicke auf Weiter.
• Wenn der Scan beendet wurde, nichts löschen etc. sondern wähle unten links auf der Button-Leiste Logdatei speichern und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

Hallo Jürgen, Danke schön das Du mir hilfst.
Hier die Adwarecleaner Log datei.

Hier die Malwarebytes log Datei
und zu guter letzt hitman pro Log
Vielen Dank, ich hoffe ich habe alles richtig gemacht.
Lieben Gruß
fetty4711

Hi,
hast alles richtig gemacht! :daumenhoc

Wie kommst Du denn darauf?

Hinweis: Der ESET-Scan dauert u.U. mehrere Stunden!
Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 2

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Scan.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Hallo Jürgen, hier jetzt die Logs die du gefordert hast.
der ESET Log
so dann die FRST Log

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


und nun die Addition
So Jürgen, ich hoffe Du kannst damit arbeiten, :party: daruf ein prosit.
wenn ich frei bin von dem Scheiß, spende ich gerne etwas dem Forum.Schonmal hier möchte ich mich bedanken für Deine schnelle Hilfe.Ich hoffe Du kannst mir Tipps geben wie ich ein 2. Besuch in Zukunft hier vermeiden kann.:crazy:
Lieben Gruß
fetti4711:party:

Hi,
nochmals die Frage wie Du darauf kommst, dass Dein PC total verseucht ist?

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Flash-Link mit IE11 und Firefox aufrufen. Flash aktualisieren. Optionale Angebote ablehnen.

http://s14.directupload.net/images/140701/fogq5h2s.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

http://deeprybka.trojaner-board.de/b...n/defogger.png


Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b...s/combofix.png Combofix-Deinstallation.

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Ja! Dann lade Dir bitte http://filepony.de/icon/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.





http://www.trojaner-board.de/extra/lesestoff.pngWie kann ich mich in Zukunft besser schützen?

Tipps, Dos & Don'ts

http://deeprybka.trojaner-board.de/b...ast/schild.pngUpdates & Software

• Beim Betriebsystem http://deeprybka.trojaner-board.de/b...an/windows.pngWindows die http://deeprybka.trojaner-board.de/b...an/updates.PNGautomatischen Updates aktivieren.
  
  Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
• Browser http://deeprybka.trojaner-board.de/b...n/browsers.png
• Java http://deeprybka.trojaner-board.de/b...clean/java.png
• Flash-Player http://filepony.de/icon/flashplayer_firefox.png & PDF-Reader http://filepony.de/icon/adobe_reader.png

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.



http://deeprybka.trojaner-board.de/b...ast/schild.pngFirewall, Antivirus & Co.

• Aktiviere eine http://deeprybka.trojaner-board.de/b...n/firewall.PNGFirewall. Die in Windows integrierte genügt im Normalfall völlig.
  
• Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. (Updatefunktion aktivieren!)
  Meine Empfehlungen:
  Kaspersky Antivirus
  Emsisoft Anti-Malware
  avast Free Antivirus
• Zusätzlich kannst Du Deinen PC regelmäßig mit http://filepony.de/icon/malwarebytes_anti_malware.pngMalwarebytes Anti-Malware und http://filepony.de/icon/eset_online_scanner.pngESET scannen.
  
  Optional:
• http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
  
  

http://s1.directupload.net/images/140701/eivrliwa.pngCracks, Downloads & Co.


Neben unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.
Der Besuch dubioser Websites kann bereits Risiken bergen. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher und beliebter Weg um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kann man nie sicher sein, ob auch wirklich drin ist, was drauf steht. (Trojanisches Pferd^^)

• Auch http://deeprybka.trojaner-board.de/b...virustotal.png virustotal.com ist Dein Freund! Lade dubiose oder unbekannte Dateien hoch, bevor Du diese startest oder installierst.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden zu verleiten, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

• Surfe daher mit Vorsicht und klicke mit Verstand.
• Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von Dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo Deine Daten eingeben.
• Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst Du von einem Deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und Du solltest nicht denselben Fehler machen.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

• Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
• Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließdende Resteentfernung mit Adwarecleaner .
  

Abschließend noch ein paar grundsätzliche Bemerkungen:

• Erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.