Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Diverse Probleme mit Rechner und seit neustem: WShelper.exe (https://www.trojaner-board.de/162579-diverse-probleme-rechner-seit-neustem-wshelper-exe.html)

Wilfried49 08.01.2015 17:42
Diverse Probleme mit Rechner und seit neustem: WShelper.exe
 
Einen schönen guten Tag!


Ich suche hier nach Hilfe, um einen alten PC wieder flüssig zum Laufen zu bekommen. Mein Rechner ging vor einigen Tagen kaputt und so habe ich mir den alten PC meines Sohnes bei mir im Büro aufgebaut. Mein Sohn ist vor ein paar Jahren ausgezogen und so dachte ich, kann ich mir das Kaufen eines neuen PCs sparen.
Jetzt ist die Sache die, dass ich Probleme feststellen musste. Zuerst stellte ich fest, dass der PC extrem lange benötigt, um hochzufahren. Da mein Sohn gerne Spiele am PC gespielt hat, sollte der Computer aber eigentlich ganz gut sein und nicht länger benötigen beim Start als mein alter - oder sehe ich das falsch? Dazu kommt, dass er manchmal aus geht, wenn er in den Ruhemodus versetzt wird. Das tritt aber nicht regelmäßig auf, sondern "immer mal wieder". Zudem erscheinen immer wieder seltsame Fehlermeldungen - zum Beispiel beim Starten verschiedener Programme ("Zugriff verweigert) oder beim Starten des PCs wird gemeldet, die Antivirensoftware "Commodo" konnte nicht gestartet werden (Da ich von diesem Programm bisher noch nichts gehört habe: Ist das überhaupt eine empfehlenswerte Antiviren-Software?). Nunja, jedenfalls stoße ich während des Arbeitens am PC ständig auf derartige Probleme und dachte mir jüngst, ich könne es ja einfach mal hier versuchen.
Ich habe nun also alle Log-Datein zusammengesucht - entschuldigt bitte, falls mir dabei Fehler unterlaufen sein sollten!

Jedenfalls, so hoffe ich nun, könnt ihr hier nun das eine oder andere Problem erkennen und im besten Fall sogar lösen.


Weiteres: Während des Verfassens dieses Beitrags musste ich feststellen, dass ich keinen Datentransfer mehr ins Internet habe. Ich kann normal surfen, aber sobald ich versuche, einen Forenbeitrag zu verfassen, eine E-Mail (per Thunderbird) zu versenden oder eine Datei in meine Dropbox hochlade, funktioniert das nicht. Ich habe vorhin "Wondershare TunesGo" installiert, um mit dem PC Musik auf mein Handy übertragen zu können. Dabei erhielt ich Meldungen über eine "WShelper.exe". Ich habe in Folge dessen dann die Software wieder Deinstalliert. Während der Deinstallation dann versuchte die Datei "_iu14D2N.tmp" viele Veränderungen vor zu nehmen. Ich werde jetzt nocheinmal Logfiles erstellen und euch diese dann hochladen.


So, da ich mit den Logfiles die Zeichengrzenze für einen Beitrag um mehr als das 10-fache sprenge, lade ich diese nun hier im Anhang hoch. Ich hoffe, das ist so in Ordnung! Die GMER musste ich sogar als .zip packen, da sie andernfalls 1,17mb groß war.

Bei GMER gab es im Übrigen außerdem eine Rootkit-Activity-Meldung.


Vielen Dank für eure Unterstützung und beste Grüße,

Wilfried

schrauber 08.01.2015 17:57
Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

Wilfried49 08.01.2015 18:00
FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-01-2015
Ran by Tobias (administrator) on TOBIAS-PC on 08-01-2015 16:38:21
Running from C:\Users\Tobias\Desktop
Loaded Profiles: Tobias &  (Available profiles: Tobias)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: Chrome)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(Logitech Inc.) C:\Program Files\Logitech Gaming Software\LCore.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\HelperService.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\ConversionService.exe
(Razer, Inc.) C:\Program Files (x86)\Razer\Core\64bit\RzOvlMon.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(Dropbox, Inc.) C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Razer Inc.) C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
() C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(Wondershare) C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\APSDaemon.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Disc Soft Ltd) C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cis.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
() C:\Users\Tobias\Desktop\Defogger.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdupd.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [Launch LCore] => C:\Program Files\Logitech Gaming Software\LCore.exe [6868280 2012-05-21] (Logitech Inc.)
HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297112 2014-12-09] (COMODO)
HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2279712 2013-12-10] (NVIDIA Corporation)
HKLM\...\Run: [ShadowPlay] => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2000-01-01] (Realtek Semiconductor)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2014-10-11] (Apple Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Razer Synapse] => C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe [444760 2014-03-07] (Razer Inc.)
HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe [43608 2000-01-01] ()
HKLM-x32\...\Run: [DivXUpdate] => C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1861968 2013-11-15] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [157480 2014-10-15] (Apple Inc.)
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2015-01-08] (Wondershare)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [Google Update] => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-08-21] (Google Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [MobileDocuments] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [DAEMON Tools Ultra Agent] => C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe [3192056 2013-11-14] (Disc Soft Ltd)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545e5-c72a-11e3-b9a2-001d7da6420f} - H:\virtuallyjenna-en.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545ea-c72a-11e3-b9a2-001d7da6420f} - K:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545f5-c72a-11e3-b9a2-001d7da6420f} - J:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f54604-c72a-11e3-b9a2-001d7da6420f} - L:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {09d7c289-0c19-11e4-8f46-001d7da6420f} - H:\LaunchU3.exe -a
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {1be2274b-c054-11e2-9cb2-806e6f6e6963} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {803984f0-0cc1-11e4-832f-001d7da6420f} - H:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {986a4d14-7c97-11e3-9eb2-001d7da6420f} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {fa311c55-52d6-11e3-957c-001d7da6420f} - H:\Startme.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Run: [Google Update] => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-08-21] (Google Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Run: [Facebook Update] => "C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Run: [MobileDocuments] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-11-20] (Apple Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com?fr=fp-comodo
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKU\S-1-5-21-2764848105-337601815-2700051401-1003\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
URLSearchHook: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll (SimilarGroup)
URLSearchHook: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
URLSearchHook: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll (SimilarGroup)
SearchScopes: HKLM -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Evernote extension -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll (SimilarGroup)
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default
FF Homepage: google.de
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_235.dll ()
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @divx.com/DivX Web Player Plug-In,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX Web Player\npdivx32.dll (DivX, LLC)
FF Plugin-x32: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.0.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @acestream.net/acestreamplugin,version=3.0.4 -> C:\Users\Tobias\AppData\Roaming\ACEStream\player\npace_plugin.dll (Innovative Digital Technologies)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/GoogleTalkPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/O1DPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npo1d.dll (Google)
FF SearchPlugin: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\searchplugins\pornmd.xml
FF Extension: ProxTube - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\ich@maltegoetz.de.xpi [2014-10-11]
FF Extension: PornMD - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\PornMD@PornMD.xpi [2015-01-08]
FF Extension: Adblock Edge - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2014-07-15]
FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt [2013-04-04]

Chrome:
=======
CHR HomePage: Default ->
CHR Plugin: (Shockwave Flash) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Talk Plugin) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
CHR Plugin: (Google Talk Plugin Video Accelerator) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll No File
CHR Plugin: (Google Talk Plugin Video Renderer) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
CHR Plugin: (DivX VOD Helper Plug-in) - C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
CHR Plugin: (DivX Plus Web Player) - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U13) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (iTunes Application Detector) - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR Plugin: (Google Update) - C:\Users\Tobias\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Java Deployment Toolkit 7.0.130.20) - C:\Windows\SysWOW64\npDeployJava1.dll No File
CHR Profile: C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Voice Search Hotword (Beta)) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-04]
CHR Extension: (Copernic Desktop Search Connector) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnnbdaahphjgdgfhliignpepgnbnfomp [2013-12-16]
CHR Extension: (IRC QuakeNet webchat) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhaphniflbbhhfailihfckiifpbgeokd [2014-03-18]
CHR Extension: (AdBlock) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-02-03]
CHR Extension: (ProxMate - Proxy on steroids!) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgjpnmnpjmabddgmjdiaggacbololbjm [2013-04-13]
CHR Extension: (Stealthy) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieaebnkibonmpbhdaanjkmedikadnoje [2014-05-15]
CHR Extension: (Google Wallet) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-26]
CHR HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx [2013-10-22]

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 BstHdAndroidSvc; C:\Program Files (x86)\BlueStacks\HD-Service.exe [409304 2014-10-08] (BlueStack Systems, Inc.)
R2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [388824 2014-10-08] (BlueStack Systems, Inc.)
R2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [782040 2014-10-08] (BlueStack Systems, Inc.)
R2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [7618952 2014-12-09] (COMODO)
S3 cmdvirth; C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe [2265304 2014-12-09] (COMODO)
R3 Disc Soft Bus Service; C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe [723192 2013-11-14] (Disc Soft Ltd)
S2 MAGIX StartUp Analyze Service; C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe [186368 2010-11-04] (MAGIX AG) [File not signed]
R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1494304 2013-12-10] (NVIDIA Corporation)
R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [15129376 2013-12-10] (NVIDIA Corporation)
S3 OverwolfUpdater; C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe [998640 2014-12-29] (Overwolf LTD)
R2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1324104 2013-01-09] (pdfforge GbR)
R2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [795208 2013-01-09] (pdfforge GbR)
R2 RzOvlMon; C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe [32960 2014-04-18] (Razer, Inc.)
S3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [762320 2014-11-04] (Tunngle.net GmbH)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 BstHdDrv; C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [122072 2014-10-08] (BlueStack Systems)
R1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO)
R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO)
R1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO)
R3 dtscsibus; C:\Windows\System32\DRIVERS\dtscsibus.sys [29696 2014-04-18] (Disc Soft Ltd)
R1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [129752 2015-01-08] (Malwarebytes Corporation)
R3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad64v.sys [39200 2013-12-05] (NVIDIA Corporation)
S3 RTL8023x64; C:\Windows\System32\DRIVERS\Rtnic64.sys [51712 2009-06-10] (Realtek Semiconductor Corporation                          )
R3 RzDxgk; C:\Windows\system32\drivers\RzDxgk.sys [129472 2014-04-10] (Razer, Inc.)
R1 RzFilter; C:\Windows\system32\drivers\RzFilter.sys [74432 2014-04-10] (Razer, Inc.)
S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2014-01-13] ()
R3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-08 15:13 - 2015-01-08 15:13 - 00000000 ____D () C:\ProgramData\Wondershare
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\HMYGSetting
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00002041 _____ () C:\Users\Public\Desktop\Wondershare TunesGo.lnk
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Users\Tobias\.android
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Program Files (x86)\Wondershare
2015-01-08 14:42 - 2015-01-08 14:42 - 01233827 _____ () C:\Users\Tobias\Desktop\GMER.log
2015-01-08 14:13 - 2015-01-08 14:13 - 00290808 _____ () C:\Windows\Minidump\010815-23400-01.dmp
2015-01-08 00:39 - 2015-01-08 00:39 - 00019039 _____ () C:\Users\Tobias\Downloads\Versuch-21.odt
2015-01-07 18:38 - 2015-01-07 18:39 - 00046379 _____ () C:\Users\Tobias\Desktop\Addition.txt
2015-01-07 18:37 - 2015-01-07 18:37 - 00380416 _____ () C:\Users\Tobias\Desktop\o5lw8g6g.exe
2015-01-07 18:36 - 2015-01-08 16:38 - 00022563 _____ () C:\Users\Tobias\Desktop\FRST.txt
2015-01-07 18:36 - 2015-01-08 16:38 - 00000000 ____D () C:\FRST
2015-01-07 18:35 - 2015-01-07 18:35 - 02124288 _____ (Farbar) C:\Users\Tobias\Desktop\FRST64.exe
2015-01-07 18:34 - 2015-01-08 16:36 - 00000474 _____ () C:\Users\Tobias\Desktop\defogger_disable.log
2015-01-07 18:34 - 2015-01-07 18:34 - 00000000 _____ () C:\Users\Tobias\defogger_reenable
2015-01-07 18:16 - 2015-01-07 18:16 - 00050477 _____ () C:\Users\Tobias\Desktop\Defogger.exe
2015-01-07 17:57 - 2015-01-07 17:57 - 00001102 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-01-07 17:31 - 2015-01-07 17:32 - 39544000 _____ (Wondershare ) C:\Users\Tobias\Downloads\TunesGoforAndroid.exe
2015-01-07 17:15 - 2015-01-07 17:15 - 00000000 ____D () C:\ProgramData\Samsung
2015-01-07 17:10 - 2015-01-07 17:15 - 00000000 ____D () C:\Users\Tobias\Documents\samsung
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\Documents\SelfMV
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Public\Documents\NativeFus_Log
2015-01-07 17:09 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Samsung
2015-01-07 17:09 - 2015-01-07 17:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung
2015-01-07 17:09 - 2015-01-07 17:09 - 00000000 ____D () C:\Program Files (x86)\Samsung
2015-01-07 17:09 - 2014-05-07 17:42 - 00144664 _____ (MAPILab Ltd. & Add-in Express Ltd.) C:\Windows\SysWOW64\secman.dll
2015-01-07 16:59 - 2015-01-07 16:59 - 42424368 _____ (Samsung Electronics Co., Ltd.) C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe
2015-01-04 10:55 - 2015-01-04 10:55 - 01052536 _____ () C:\Windows\Minidump\010415-30217-01.dmp
2015-01-04 10:54 - 2015-01-08 14:12 - 506874316 _____ () C:\Windows\MEMORY.DMP
2014-12-22 23:33 - 2014-12-26 23:30 - 00000000 ____D () C:\ProgramData\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\Users\Public\Documents\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle
2014-12-22 23:31 - 2014-12-22 23:31 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe
2014-12-22 23:30 - 2014-12-22 23:30 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe
2014-12-22 21:07 - 2014-12-22 23:34 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-12-21 09:48 - 2014-12-21 09:48 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-12-21 09:48 - 2014-12-21 09:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-12-21 00:56 - 2014-12-21 00:56 - 00000000 ____D () C:\Windows\system32\appraiser
2014-12-20 11:13 - 2014-12-20 11:13 - 00297226 _____ () C:\Windows\msxml4-KB954430-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00297222 _____ () C:\Windows\msxml4-KB973688-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00000000 ____D () C:\Program Files (x86)\MSXML 4.0
2014-12-20 11:11 - 2014-10-18 03:05 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2014-12-20 11:11 - 2014-10-18 02:33 - 03209728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 03:06 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 03:02 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2014-12-20 11:11 - 2014-07-07 02:40 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2014-12-20 11:11 - 2014-07-07 02:39 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 02:39 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 02:37 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2014-12-19 14:58 - 2014-12-19 15:02 - 00000000 ____D () C:\Users\Tobias\Downloads\D&D 5e books
2014-12-19 14:56 - 2014-12-19 14:56 - 00015892 _____ () C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent
2014-12-19 02:50 - 2014-12-26 18:38 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\NCH Software
2014-12-19 02:50 - 2014-12-26 18:17 - 00000000 ____D () C:\Windows\System32\Tasks\NCH Software
2014-12-19 02:50 - 2014-12-19 02:50 - 00001236 _____ () C:\Users\Public\Desktop\NCH Suite.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001122 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001110 _____ () C:\Users\Public\Desktop\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\ProgramData\NCH Software
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\Program Files (x86)\NCH Software
2014-12-16 21:53 - 2014-12-17 10:53 - 00001197 _____ () C:\Users\Tobias\Desktop\rap.txt
2014-12-15 01:33 - 2014-12-15 01:33 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\MAGIX
2014-12-15 01:14 - 2015-01-08 15:42 - 00000440 _____ () C:\Windows\Tasks\PCCT - MAGIX AG.job
2014-12-15 01:14 - 2014-12-15 01:14 - 00002828 _____ () C:\Windows\System32\Tasks\PCCT - MAGIX AG
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\OnDemandDump
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\MAGIX_MxTray
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\CrashLog
2014-12-15 01:13 - 2014-12-15 01:33 - 00000000 ____D () C:\ProgramData\MAGIX
2014-12-15 01:13 - 2014-12-15 01:13 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAGIX
2014-12-15 01:13 - 2014-12-15 01:13 - 00000000 ____D () C:\Program Files (x86)\MAGIX
2014-12-15 01:09 - 2014-12-15 01:09 - 41085024 _____ (MAGIX AG) C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe
2014-12-14 23:12 - 2014-12-14 23:15 - 00023362 _____ () C:\Users\Tobias\Desktop\SB2 AUFGABE3.odt
2014-12-11 02:36 - 2014-12-04 03:50 - 00830976 _____ (Microsoft Corporation) C:\Windows\system32\appraiser.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00741376 _____ (Microsoft Corporation) C:\Windows\system32\invagent.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00413184 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00396800 _____ (Microsoft Corporation) C:\Windows\system32\devinv.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00227328 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00192000 _____ (Microsoft Corporation) C:\Windows\system32\aepic.dll
2014-12-11 02:36 - 2014-12-04 03:44 - 01083392 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-12-11 02:36 - 2014-12-02 00:28 - 01232040 _____ (Microsoft Corporation) C:\Windows\system32\aitstatic.exe
2014-12-11 02:35 - 2014-11-27 02:43 - 00389296 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2014-12-11 02:35 - 2014-11-27 02:10 - 00342200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2014-12-11 02:35 - 2014-11-22 04:13 - 25059840 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-12-11 02:35 - 2014-11-22 04:06 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 04:06 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00580096 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 02885120 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:48 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:41 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 03:40 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-12-11 02:35 - 2014-11-22 03:37 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-12-11 02:35 - 2014-11-22 03:35 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-12-11 02:35 - 2014-11-22 03:34 - 06039552 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-12-11 02:35 - 2014-11-22 03:34 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 03:26 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-12-11 02:35 - 2014-11-22 03:22 - 19749376 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-12-11 02:35 - 2014-11-22 03:22 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 03:20 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 03:14 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 03:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-12-11 02:35 - 2014-11-22 03:08 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00501248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:06 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:01 - 02277888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-12-11 02:35 - 2014-11-22 02:59 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 02:58 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-12-11 02:35 - 2014-11-22 02:56 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-12-11 02:35 - 2014-11-22 02:54 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00718848 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-12-11 02:35 - 2014-11-22 02:47 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:46 - 02125312 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:45 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 02:43 - 14412800 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:40 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 02:36 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-12-11 02:35 - 2014-11-22 02:35 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 02:33 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 02:29 - 04299264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-12-11 02:35 - 2014-11-22 02:28 - 02358272 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-12-11 02:35 - 2014-11-22 02:23 - 00688640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:22 - 02052096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:21 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:15 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-12-11 02:35 - 2014-11-22 02:13 - 12836864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:03 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-12-11 02:35 - 2014-11-22 02:00 - 01888256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-12-11 02:35 - 2014-11-22 01:56 - 01307136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-12-11 02:35 - 2014-11-22 01:54 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2014-12-11 02:35 - 2014-11-11 04:09 - 01424384 _____ (Microsoft Corporation) C:\Windows\system32\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 03:44 - 01230336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 02:46 - 00119296 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdx.sys
2014-12-11 02:34 - 2014-11-08 04:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2014-12-11 02:34 - 2014-11-08 03:45 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2014-12-11 02:34 - 2014-10-30 03:03 - 00165888 _____ (Microsoft Corporation) C:\Windows\system32\charmap.exe
2014-12-11 02:34 - 2014-10-30 02:45 - 00155136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\charmap.exe
2014-12-11 02:34 - 2014-10-03 03:12 - 02020352 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00346624 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00181248 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 03:11 - 00266240 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2014-12-11 02:34 - 2014-10-03 02:45 - 01177088 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00248832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 02:44 - 00198656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2014-12-11 00:56 - 2014-12-11 00:57 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2014-12-09 22:27 - 2014-12-09 22:27 - 03981488 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-08 16:37 - 2012-08-21 02:32 - 01474832 _____ () C:\Windows\system32\Drivers\sfi.dat
2015-01-08 16:35 - 2012-08-21 00:32 - 00001124 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-08 16:27 - 2013-11-12 15:45 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-08 16:07 - 2012-08-21 03:02 - 00000932 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-08 15:54 - 2014-07-14 01:19 - 00129752 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-08 15:50 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-08 15:50 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-08 15:46 - 2012-08-20 23:57 - 01413989 _____ () C:\Windows\WindowsUpdate.log
2015-01-08 15:44 - 2014-04-27 14:00 - 00038426 _____ () C:\Windows\setupact.log
2015-01-08 15:42 - 2012-11-07 19:17 - 00000000 ___RD () C:\Users\Tobias\Dropbox
2015-01-08 15:39 - 2012-11-07 19:14 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Dropbox
2015-01-08 15:38 - 2012-08-21 00:39 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-08 15:38 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-08 15:10 - 2014-10-20 19:21 - 00000000 ____D () C:\Program Files (x86)\iTunes
2015-01-08 15:09 - 2012-08-21 00:22 - 00000000 ____D () C:\Users\Tobias
2015-01-08 14:13 - 2014-06-13 19:33 - 00000000 ____D () C:\Windows\Minidump
2015-01-08 14:02 - 2014-07-30 20:05 - 00592370 _____ () C:\Windows\system32\Drivers\fvstore.dat
2015-01-08 14:02 - 2012-08-21 03:51 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Skype
2015-01-08 13:17 - 2012-08-21 03:02 - 00000910 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-07 23:52 - 2012-08-21 19:59 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\TS3Client
2015-01-07 22:35 - 2012-08-21 00:32 - 00001072 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-07 22:29 - 2014-11-02 13:37 - 00020491 _____ () C:\Users\Tobias\Downloads\Bartholomäus.ods
2015-01-07 17:57 - 2014-07-14 01:19 - 00093400 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes Anti-Malware
2015-01-07 17:09 - 2012-08-24 18:39 - 00000000 ___HD () C:\Program Files (x86)\InstallShield Installation Information
2015-01-06 21:21 - 2014-02-23 11:45 - 00000000 ____D () C:\Program Files (x86)\Overwolf
2015-01-04 10:55 - 2009-07-14 05:45 - 00309736 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-01-04 10:54 - 2012-10-12 13:12 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-01 23:53 - 2014-04-08 12:53 - 00000000 ____D () C:\The KMPlayer
2014-12-26 22:22 - 2014-04-07 18:25 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Paint.NET
2014-12-26 18:34 - 2012-08-21 00:32 - 00067200 _____ () C:\Users\Tobias\AppData\Local\GDIPFONTCACHEV1.DAT
2014-12-26 11:27 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\rescache
2014-12-24 15:13 - 2012-08-21 03:52 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Thunderbird
2014-12-23 00:00 - 2012-09-26 22:32 - 00219136 ___SH () C:\Users\Tobias\Thumbs.db
2014-12-22 23:33 - 2014-03-26 23:04 - 00000000 ____D () C:\Program Files (x86)\Tunngle
2014-12-22 23:33 - 2014-03-25 17:45 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Tunngle
2014-12-22 23:20 - 2012-08-22 19:18 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\vlc
2014-12-21 01:26 - 2012-08-23 00:00 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Adobe
2014-12-21 01:17 - 2013-11-12 15:45 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-12-21 01:17 - 2013-02-09 22:21 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-12-21 01:17 - 2013-02-09 22:21 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-12-21 00:56 - 2014-06-14 07:38 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\PolicyDefinitions
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\AppCompat
2014-12-20 11:20 - 2013-08-15 00:57 - 00000000 ____D () C:\Windows\system32\MRT
2014-12-20 11:13 - 2012-08-21 15:18 - 112710672 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-12-19 20:35 - 2014-04-18 20:00 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\uTorrent
2014-12-19 14:56 - 2014-11-29 20:04 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\.ACEStream
2014-12-16 22:02 - 2014-11-29 20:06 - 00000000 ___HD () C:\_acestream_cache_
2014-12-15 08:56 - 2012-08-21 02:04 - 00203226 _____ () C:\Windows\PFRO.log
2014-12-13 20:44 - 2012-11-07 19:17 - 00001021 _____ () C:\Users\Tobias\Desktop\Dropbox.lnk
2014-12-13 20:44 - 2012-11-07 19:15 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
2014-12-12 11:12 - 2014-05-15 12:25 - 00000000 ____D () C:\Windows\System32\Tasks\COMODO
2014-12-12 10:42 - 2009-07-14 18:58 - 00801286 _____ () C:\Windows\system32\perfh007.dat
2014-12-12 10:42 - 2009-07-14 18:58 - 00206086 _____ () C:\Windows\system32\perfc007.dat
2014-12-11 20:14 - 2014-09-22 10:14 - 00000000 ____D () C:\Users\Tobias\.maptool
2014-12-09 01:20 - 2014-05-15 12:24 - 00354520 _____ (COMODO) C:\Windows\system32\cmdvrt64.dll
2014-12-09 01:20 - 2014-05-15 12:24 - 00286424 _____ (COMODO) C:\Windows\SysWOW64\cmdvrt32.dll
2014-12-09 01:20 - 2014-05-15 12:24 - 00045784 _____ (COMODO) C:\Windows\system32\cmdkbd64.dll
2014-12-09 01:20 - 2014-05-15 12:24 - 00040664 _____ (COMODO) C:\Windows\SysWOW64\cmdkbd32.dll
2014-12-09 01:20 - 2012-03-11 20:13 - 00792648 _____ (COMODO) C:\Windows\system32\Drivers\cmdGuard.sys
2014-12-09 01:20 - 2012-03-11 20:13 - 00437792 _____ (COMODO) C:\Windows\system32\guard64.dll
2014-12-09 01:20 - 2012-03-11 20:13 - 00352272 _____ (COMODO) C:\Windows\SysWOW64\guard32.dll
2014-12-09 01:20 - 2012-03-11 20:13 - 00045880 _____ (COMODO) C:\Windows\system32\Drivers\cmdhlp.sys
2014-12-09 01:20 - 2012-03-11 20:13 - 00040736 _____ (COMODO) C:\Windows\system32\cmdcsr.dll
2014-12-09 01:20 - 2012-03-11 20:13 - 00020184 _____ (COMODO) C:\Windows\system32\Drivers\cmderd.sys
2014-12-09 01:20 - 2012-02-03 18:27 - 00104608 _____ (COMODO) C:\Windows\system32\Drivers\inspect.sys

Some content of TEMP:
====================
C:\Users\Tobias\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpzydbqv.dll
C:\Users\Tobias\AppData\Local\Temp\_is4603.exe
C:\Users\Tobias\AppData\Local\Temp\_isC729.exe
C:\Users\Tobias\AppData\Local\Temp\_isEDD.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-04 11:50

==================== End Of Log ============================
--- --- ---

--- --- ---


Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-08 16:38:56
Running from C:\Users\Tobias\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: COMODO Antivirus (Enabled - Up to date) {F0BC89B2-8937-0933-021B-B17D981F2A71}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Comodo Defense+ (Enabled - Up to date) {4BDD6856-AF0D-06BD-38AB-8A0FE39860CC}
FW: COMODO Firewall (Disabled) {C8870897-C358-086B-2944-184866CC6D0A}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

µTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\uTorrent) (Version: 3.4.2.35702 - BitTorrent Inc.)
Ace Stream Media 3.0.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\AceStream) (Version: 3.0.4 - Ace Stream Media)
Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)
Adobe Reader X (10.1.8) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.8 - Adobe Systems Incorporated)
A-PDF INFO Changer 2.0 (HKLM-x32\...\A-PDF INFO Changer_is1) (Version:  - A-PDF.com)
Apple Application Support (HKLM-x32\...\{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}) (Version: 3.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{BDD99690-3541-4619-9D2A-3CDDB3E15F9E}) (Version: 8.0.5.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Ashampoo Photo Optimizer 5 v.5.1.1 (HKLM-x32\...\Ashampoo Photo Optimizer 5_is1) (Version: 5.1.1 - Ashampoo GmbH & Co. KG)
BASE 5.5 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BASE 5.5) (Version:  - )
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
BitTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BitTorrent) (Version: 7.9.2.32692 - BitTorrent Inc.)
BlueStacks App Player (HKLM-x32\...\BlueStacks App Player) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
BlueStacks Notification Center (HKLM-x32\...\{8DCCC556-265B-478A-8B32-C12DA988BA74}) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
Bonjour (HKLM\...\{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}) (Version: 3.0.0.10 - Apple Inc.)
Codecs for Windows 7 Pack 4.0.5 (HKLM-x32\...\Codecs for Windows 7 Pack) (Version: 4.0.5 - Codecs for Windows 7 Pack)
COMODO Internet Security (HKLM\...\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}) (Version: 5.10.31649.2253 - COMODO Security Solutions Inc.)
Copernic Desktop Search 4 (HKLM-x32\...\CopernicDesktopSearch4) (Version: 4.0.2.1085 - Copernic Inc.)
Copernic Desktop Search 4 (x32 Version: 4.0.2.1085 - Copernic Inc.) Hidden
CPUID CPU-Z 1.66.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
d20Pro (HKLM-x32\...\d20Pro) (Version:  - )
DAEMON Tools Ultra (HKLM-x32\...\DAEMON Tools Ultra) (Version: 2.1.0.0187 - Disc Soft Ltd)
DAoC Portal (HKLM-x32\...\{EC9359B3-2548-4DB1-B322-6D71A17501F9}) (Version: 2.8.2 - Dawn of Light)
DAOC-Charplan (HKLM-x32\...\DAOCCharplan) (Version:  - )
Dark Age of Camelot (HKLM-x32\...\Dark Age of Camelot) (Version:  - Electronic Arts)
Debut Video Capture Software (HKLM-x32\...\Debut) (Version: 2.05 - NCH Software)
DisplayFusion 4.1 (HKLM-x32\...\B076073A-5527-4f4f-B46B-B10692277DA2_is1) (Version: 4.1.0.0 - Binary Fortress Software)
DivX-Setup (HKLM-x32\...\DivX Setup) (Version: 2.6.1.90 - DivX, LLC)
Dropbox (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Dropbox) (Version: 3.0.3 - Dropbox, Inc.)
EroBottle 4.6  (HKLM-x32\...\EroBottle) (Version: 4.6 - Kai Ebersbach - www.erosoft.de)
EroBottle-Extensions-Editor Vers. 1.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\EroBottle-Extensions-Editor Vers. 1.4) (Version:  - )
Evernote v. 5.6.4 (HKLM-x32\...\{DFDF0BE2-2D71-11E4-9454-00163E98E7D6}) (Version: 5.6.4.4632 - Evernote Corp.)
Facebook Video Calling 1.2.0.287 (HKLM-x32\...\{B92C5909-1D37-4C51-8397-A28BB28E5DC3}) (Version: 1.2.287 - Skype Limited)
Fraps (remove only) (HKLM-x32\...\Fraps) (Version:  - )
GeForce Experience NvStream Client Components (Version: 1.6.28 - NVIDIA Corporation) Hidden
Genesis version Genesis Launcher 1.005 (HKLM-x32\...\{975e7799-c584-47f0-9c12-c1551f3e95f2}_is1) (Version: Genesis Launcher 1.005 - Pawel D. alias Laplume for Genesis.)
Google Chrome (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Google Chrome) (Version: 39.0.2171.95 - Google Inc.)
Google Chrome (HKU\S-1-5-21-2764848105-337601815-2700051401-1003\...\Google Chrome) (Version: 21.0.1180.83 - Google Inc.)
Google Talk Plugin (HKLM-x32\...\{0C5C1177-94C5-3EFB-A8BE-3F6AF1AF887F}) (Version: 5.38.6.0 - Google)
Hearthstone (HKLM-x32\...\Hearthstone) (Version:  - Blizzard Entertainment)
Hero Lab 4.1 (HKLM-x32\...\{760AA190-82DF-4A80-BE05-B9FEEC88946D}_is1) (Version: 4.1 - LWD Technology, Inc.)
iCloud (HKLM\...\{81E20D41-C277-4526-934D-F2380AF91B78}) (Version: 3.1.0.40 - Apple Inc.)
iTunes (HKLM\...\{2ABBBD91-91E5-4AD7-929A-FE15D1DC0576}) (Version: 12.0.1.26 - Apple Inc.)
Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.670 - Oracle)
JDownloader 0.9 (HKLM-x32\...\5513-1208-7298-9440) (Version: 0.9 - AppWork GmbH)
JMicron JMB36X Driver (HKLM-x32\...\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}) (Version: 1.17.65.11 - JMicron Technology Corp.)
Logitech Gaming Software 8.30 (HKLM\...\Logitech Gaming Software) (Version: 8.30.86 - Logitech Inc.)
LogMeIn Hamachi (HKLM-x32\...\LogMeIn Hamachi) (Version: 2.2.0.58 - LogMeIn, Inc.)
LogMeIn Hamachi (x32 Version: 2.2.0.58 - LogMeIn, Inc.) Hidden
MAGIX PC Check & Tuning Free 2011 (HKLM-x32\...\MAGIX_MSI_PC_Check_Tuning_Free_2011) (Version: 6.0.403.1050 - MAGIX AG)
MAGIX PC Check & Tuning Free 2011 (x32 Version: 6.0.403.1050 - MAGIX AG) Hidden
MAGIX Screenshare (HKLM-x32\...\{B63DFA23-5C10-44B4-881D-45EFBF4A4761}) (Version: 4.3.6.1987 - MAGIX AG)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
MiKTeX 2.9 (HKLM-x32\...\MiKTeX 2.9) (Version: 2.9 - MiKTeX.org)
Mora's Ausrüstungsplaner (HKLM-x32\...\{8A33CE67-80FB-4469-9ED1-E5D116391F68}_is1) (Version: 1.72 - Mora)
MorphVOX Junior (HKLM-x32\...\{E6C7380F-15DD-445E-BA02-B7A180BA0A5A}) (Version: 2.8.1 - Screaming Bee)
Mozilla Firefox 34.0.5 (x86 de) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 de)) (Version: 34.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mozilla Thunderbird 31.3.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 31.3.0 (x86 de)) (Version: 31.3.0 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
NEF Codec (HKLM-x32\...\{D6506521-0959-4FA3-875F-E2E28830B0D2}) (Version: 1.00.0000 - Nikon)
NSU (HKLM-x32\...\{323F7AD9-1F4D-49E1-973B-80E1B6F1623A}) (Version: 1.00.1000 - Medion AG)
NVIDIA 3D Vision Controller-Treiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 334.89 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 334.89 - NVIDIA Corporation)
NVIDIA GeForce Experience 1.8.1 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 1.8.1 - NVIDIA Corporation)
NVIDIA Grafiktreiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 334.89 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.30.1 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.30.1 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.13.1220 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.13.1220 - NVIDIA Corporation)
NVIDIA Virtual Audio 1.2.19 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_VirtualAudio.Driver) (Version: 1.2.19 - NVIDIA Corporation)
OpenOffice.org 3.4.1 (HKLM-x32\...\{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}) (Version: 3.41.9593 - Apache Software Foundation)
Overwolf (HKLM-x32\...\Overwolf) (Version: 0.82.103.0 - Overwolf Ltd.)
Paint.NET v3.5.11 (HKLM\...\{72EF03F5-0507-4861-9A44-D99FD4C41418}) (Version: 3.61.0 - dotPDN LLC)
Patch Origins version 1.0.11 (HKLM-x32\...\{75147b12-6219-448d-886b-0a9a02d1e648}_is1) (Version: 1.0.11 - Pawel D. alias Laplume pour Origins.)
PCGen6000 (HKLM-x32\...\PCGen6000) (Version:  - )
PDF Architect (HKLM-x32\...\{80A07844-CA64-4DE4-AB61-D37DDBE8074F}) (Version: 1.0.52.8917 - pdfforge)
PDFCreator (HKLM-x32\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 1.6.2 - pdfforge)
QuickTime (HKLM-x32\...\{7BE15435-2D3E-4B58-867F-9C75BED0208C}) (Version: 7.71.80.42 - Apple Inc.)
RarZilla Free Unrar (HKLM-x32\...\RarZilla Free Unrar) (Version: 4.80 - Philipp Winterberg)
Razer Core (HKLM-x32\...\Razer Core) (Version: 1.0.1.66 - Razer Inc)
Razer Synapse 2.0 (HKLM-x32\...\{0D78BEE2-F8FF-4498-AF1A-3FF81CED8AC6}) (Version: 1.17.22 - Razer Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7083 - Realtek Semiconductor Corp.)
Samsung Kies3 (HKLM-x32\...\InstallShield_{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.)
Samsung Kies3 (x32 Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.) Hidden
Scrabble3D (HKLM-x32\...\{E11BBF69-C686-45B3-9267-CE44603B47AE}) (Version: 3.1.0.29 - Heiko Tietze)
SHIELD Streaming (Version: 1.6.85 - NVIDIA Corporation) Hidden
Sid Meier's Civilization 4 - Beyond the Sword (HKLM-x32\...\{32E4F0D2-C135-475E-A841-1D59A0D22989}) (Version: 3.19 - Firaxis Games)
Sid Meier's Civilization 4 - Warlords (HKLM-x32\...\{3E4B349F-10B5-4586-9D99-489A90A8B228}) (Version: 2.13 - Firaxis Games)
Sid Meier's Civilization 4 (HKLM-x32\...\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}) (Version: 1.74 - Firaxis Games)
Sid Meier's Civilization 4 (x32 Version: 1.00.0000 - Firaxis Games) Hidden
SimilarWeb (HKLM-x32\...\SimilarWeb) (Version: 0.0.0.1 - SimilarWeb) <==== ATTENTION!
Skype™ 6.21 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 6.21.104 - Skype Technologies S.A.)
SlimDrivers (HKLM-x32\...\{A5457401-D56A-43F2-9524-78E54A7FC07A}) (Version: 2.2.32705 - SlimWare Utilities, Inc.)
Steam (HKLM-x32\...\Steam) (Version:  - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
TeamViewer 9 (HKLM-x32\...\TeamViewer 9) (Version: 9.0.27339 - TeamViewer)
TeXstudio 2.6.6 (HKLM-x32\...\TeXstudio_is1) (Version: 2.6.6 - Benito van der Zander)
The Elder Scrolls V: Skyrim (HKLM-x32\...\Steam App 72850) (Version:  - Bethesda Game Studios)
The KMPlayer (HKLM-x32\...\The KMPlayer) (Version: 3.8.0.122 - PandoraTV)
ThrashIRC version 2.9 (HKLM-x32\...\{D3C0BE0C-9761-4AC1-8CEF-B53796FEDE44}) (Version: 2.9.0 - Anthony Thrash Durbin)
TuneUp Utilities Language Pack (de-DE) (x32 Version: 13.0.3000.132 - TuneUp Software) Hidden
Tunngle Version Tunngle (HKLM-x32\...\Tunngle_is1) (Version: Tunngle - Tunngle.net GmbH)
VC80CRTRedist - 8.0.50727.6195 (x32 Version: 1.2.0 - DivX, Inc) Hidden
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: 5.4.7.0 - Elaborate Bytes)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Wondershare TunesGo(Version 5.0.0) (HKLM-x32\...\{ADBA24FE-D6F6-4B21-97F3-D58A327422E4}_is1) (Version: 5.0.0 - Wondershare)
x264vfw - H.264/MPEG-4 AVC codec (remove only) (HKLM-x32\...\x264vfw) (Version:  - )
Zune (HKLM\...\Zune) (Version: 04.08.2345.00 - Microsoft Corporation)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

==================== Restore Points  =========================

18-12-2014 20:10:55 Geplanter Prüfpunkt
20-12-2014 11:09:53 Windows Update
21-12-2014 01:02:22 MAGIX Treiberinstallation
Chipset Device Software for G41 Express Chipset
21-12-2014 01:05:16 MAGIX Treiberinstallation
INF Update Utility 9.2.0.1025
21-12-2014 10:47:46 Windows Update
22-12-2014 19:39:08 MAGIX Treiberinstallation
Chipset Device Software for G41 Express Chipset
22-12-2014 20:07:28 MAGIX Treiberinstallation
INF Update Utility 9.2.0.1025
22-12-2014 23:32:29 Tunngle 5.0 Setup
04-01-2015 11:59:21 Geplanter Prüfpunkt
07-01-2015 17:08:45 Installed Samsung Kies3
08-01-2015 15:17:16 Gerätetreiber-Paketinstallation: Google, Inc.

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {014230B5-5CE6-461C-AD51-89D7F403E9DC} - \Hoolapp For Android No Task File <==== ATTENTION
Task: {06869D83-2559-47D9-BB69-9127BB5F81B8} - \Hoolapp Init No Task File <==== ATTENTION
Task: {0ACE5948-49B8-4051-B091-2D7731DAB0AF} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2014-12-09] (COMODO)
Task: {1F4CE6EE-F11B-4D45-BD80-648A7AE51668} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {2149ACB9-406A-4799-B03D-E464744C55B0} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {3278CC75-2A4F-42E5-9E45-0B23993A37FC} - System32\Tasks\PCCT - MAGIX AG => C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe [2010-11-08] ()
Task: {435F4013-DAB5-42A2-8608-FE980F293497} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {4A6BB261-2823-48D6-B5FF-3605A1B5D549} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {691C49CE-11A0-45E9-9C8C-E65A79D92283} - System32\Tasks\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532} => pcalua.exe -a C:\Users\Tobias\Downloads\eb-edit-install-1.4.exe -d C:\Users\Tobias\Downloads
Task: {6B755F87-F4C7-4626-8374-BD064460E943} - \BrowserProtect No Task File <==== ATTENTION
Task: {6EC5EE04-6804-4582-9F1B-F1D9319F54BF} - System32\Tasks\{2C2811EC-68D2-4790-A416-DCB51A70191C} => pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000
Task: {70CE8F9B-36A7-4EE3-AB38-59EED8E2D903} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {7E1D9860-FBE9-4579-95BC-8DC98D2CCBB2} - \YourFile DownloaderUpdate No Task File <==== ATTENTION
Task: {C6B6DD74-7D6C-4DD0-93D8-4DBEECDA58C8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {CA52BB50-4FB5-409E-B7E4-46F3F176FCC1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {D16C173F-EEF5-4641-ACAD-F5D7A5DCAF4F} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {D1C7621B-5C1D-4484-B24A-2BBB99883037} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {FB26CFD0-7289-4703-9BBC-9DC6E4546010} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-21] (Adobe Systems Incorporated)
Task: {FE5EBA15-6BF4-4147-85F2-0417A7E0D17B} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe [2014-12-29] (Overwolf LTD)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\PCCT - MAGIX AG.job => C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe

==================== Loaded Modules (whitelisted) =============

2012-08-21 00:38 - 2014-02-08 18:42 - 00117024 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2013-11-15 01:48 - 2013-11-15 01:48 - 01861968 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
2011-12-19 17:59 - 2013-04-15 18:39 - 00073424 _____ () C:\Program Files\COMODO\COMODO Internet Security\scanners\smart.cav
2015-01-07 18:16 - 2015-01-07 18:16 - 00050477 _____ () C:\Users\Tobias\Desktop\Defogger.exe
2014-01-20 13:17 - 2014-01-20 13:17 - 00073544 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
2014-10-11 12:05 - 2014-10-11 12:05 - 01044776 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
2013-09-14 01:51 - 2013-09-14 01:51 - 00087952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\zlib1.dll
2013-09-14 01:50 - 2013-09-14 01:50 - 01242952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\libxml2.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00750080 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libGLESv2.dll
2015-01-08 15:39 - 2015-01-08 15:39 - 00043008 _____ () c:\users\tobias\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpzydbqv.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00047616 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libEGL.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00863744 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00200704 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00436576 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00318304 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll
2012-08-10 15:51 - 2012-08-10 15:51 - 00985088 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll
2013-11-15 01:49 - 2013-11-15 01:49 - 00100688 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
2015-01-08 15:10 - 2015-01-08 15:10 - 01498112 _____ () C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\DAQExp.dll
2015-01-08 15:10 - 2015-01-08 15:10 - 00137728 _____ () C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\CBSCreateVC.dll
2014-12-11 00:56 - 2014-12-11 00:57 - 03758192 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Windows\system32\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mbam.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mbamchameleon.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mwac.sys:$CmdTcID
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
AlternateDataStreams: C:\Users\Tobias\Desktop\3+-+Kognitive+Aktivierung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Alpines - Cocoon - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Amanaemonesia - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Bruises - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\FRST64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Grimes - Vanessa (Official Video) - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben 1.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben mit Lösungen.PDF:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Aufgaben_und_Loesungen_zu_Logarithmen.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DieWinterkoenigin-Spielerleitfaden_80ff (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DS-Battlefield.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Falkengrunds_letzte_Hoffnung_f2d3.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS-Blob.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS_Schlangenmensch.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GT_Klosterkarte.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Spielleiterinformationen_Finstermond_Module_als_Kampagne_00f6.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\TunesGoforAndroid.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Versuch-21.odt:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent:$CmdZnID

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"

==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\startupreg: BlueStacks Agent => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
MSCONFIG\startupreg: DAEMON Tools Ultra Agent => "C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe" -autorun
MSCONFIG\startupreg: Hoolapp Android => "C:\Users\Tobias\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized
MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent
MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
MSCONFIG\startupreg: VirtualCloneDrive => "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
MSCONFIG\startupreg: Zune Launcher => "C:\Program Files\Zune\ZuneLauncher.exe"

========================= Accounts: ==========================

Administrator (S-1-5-21-2764848105-337601815-2700051401-500 - Administrator - Disabled)
Gast (S-1-5-21-2764848105-337601815-2700051401-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2764848105-337601815-2700051401-1014 - Limited - Enabled)
Tobias (S-1-5-21-2764848105-337601815-2700051401-1000 - Administrator - Enabled) => C:\Users\Tobias

==================== Faulty Device Manager Devices =============

Name: Hamachi Network Interface
Description: Hamachi Network Interface
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: LogMeIn, Inc.
Service: hamachi
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Schwertwal
Description: SM-G800F
Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a}
Manufacturer: Samsung Electronics Co., Ltd.
Service: WUDFRd
Problem: : This device cannot start. (Code10)
Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/08/2015 03:42:10 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)

Error: (01/08/2015 03:22:15 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: TunesGo.exe, Version: 5.0.0.35, Zeitstempel: 0x5476a00f
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000
ID des fehlerhaften Prozesses: 0x1f28
Startzeit der fehlerhaften Anwendung: 0xTunesGo.exe0
Pfad der fehlerhaften Anwendung: TunesGo.exe1
Pfad des fehlerhaften Moduls: TunesGo.exe2
Berichtskennung: TunesGo.exe3

Error: (01/08/2015 02:20:09 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm o5lw8g6g.exe, Version 2.1.19357.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 494

Startzeit: 01d02b4577f3534f

Endzeit: 0

Anwendungspfad: C:\Users\Tobias\Desktop\o5lw8g6g.exe

Berichts-ID: 0cd4762e-9739-11e4-9b4a-a3f4e866ae11

Error: (01/08/2015 02:14:22 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)

Error: (01/08/2015 00:39:27 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (01/07/2015 06:40:57 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (01/07/2015 06:40:57 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (01/07/2015 06:35:25 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"1". Fehler in Manifest- oder Richtliniendatei "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"2" in Zeile  Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"3.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161".
Definition: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.

Error: (01/07/2015 06:35:25 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"1". Fehler in Manifest- oder Richtliniendatei "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"2" in Zeile  Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"3.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161".
Definition: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.

Error: (01/07/2015 06:30:31 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".


System errors:
=============
Error: (01/08/2015 03:44:36 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/08/2015 03:44:36 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/08/2015 03:44:27 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/08/2015 03:42:10 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "BlueStacks Android Service" wurde mit folgendem Fehler beendet:
%%1064

Error: (01/08/2015 03:40:15 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "BlueStacks Android Service" wurde nicht richtig gestartet.

Error: (01/08/2015 03:38:55 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "LogMeIn Hamachi Tunneling Engine" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053

Error: (01/08/2015 03:38:55 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst LogMeIn Hamachi Tunneling Engine erreicht.

Error: (01/08/2015 03:37:05 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/08/2015 02:42:43 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/08/2015 02:42:43 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058


Microsoft Office Sessions:
=========================
Error: (01/08/2015 03:42:10 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)

Error: (01/08/2015 03:22:15 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: TunesGo.exe5.0.0.355476a00funknown0.0.0.000000000c0000005000000001f2801d02b4cd170b448C:\Program Files (x86)\Wondershare\TunesGo\TunesGo.exeunknownbe4344a3-9741-11e4-9b4a-001d7da6420f

Error: (01/08/2015 02:20:09 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: o5lw8g6g.exe2.1.19357.049401d02b4577f3534f0C:\Users\Tobias\Desktop\o5lw8g6g.exe0cd4762e-9739-11e4-9b4a-a3f4e866ae11

Error: (01/08/2015 02:14:22 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)

Error: (01/08/2015 00:39:27 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Program Files (x86)\OpenOffice.org 3\program\swriter.exe

Error: (01/07/2015 06:40:57 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Program Files (x86)\OpenOffice.org 3\program\scd.dll

Error: (01/07/2015 06:40:57 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Program Files (x86)\OpenOffice.org 3\program\scd.dll

Error: (01/07/2015 06:35:25 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.1"C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt.24.dllC:\Users\Tobias\AppData\Roaming\Dropbox\bin\Microsoft.VC90.CRT\Microsoft.VC90.CRT.MANIFEST4

Error: (01/07/2015 06:35:25 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.1"C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt.24.dllC:\Users\Tobias\AppData\Roaming\Dropbox\bin\Microsoft.VC90.CRT\Microsoft.VC90.CRT.MANIFEST4

Error: (01/07/2015 06:30:31 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Program Files (x86)\OpenOffice.org 3\program\scd.dll


==================== Memory info ===========================

Processor: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Percentage of memory in use: 37%
Total physical RAM: 6142.49 MB
Available physical RAM: 3846.2 MB
Total Pagefile: 12283.16 MB
Available Pagefile: 9658.24 MB
Total Virtual: 8192 MB
Available Virtual: 8191.83 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:596.07 GB) (Free:147.86 GB) NTFS
Drive d: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive e: () (Fixed) (Total:465.75 GB) (Free:37.81 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (NAS-SERVER) (CDROM) (Total:0.24 GB) (Free:0 GB) CDFS
Drive h: (CIV4) (CDROM) (Total:3.11 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596.2 GB) (Disk ID: 7E967411)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=596.1 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 115D115D)
Partition 1: (Active) - (Size=465.8 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Wilfried49 08.01.2015 18:04
Code:
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-01-08 14:42:08
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-3 WDC_WD6401AALS-00E3A0 rev.05.01D05 596,17GB
Running: o5lw8g6g.exe; Driver: C:\Users\Tobias\AppData\Local\Temp\uwdiipod.sys


---- User code sections - GMER 2.1 ----

.text    C:\Windows\system32\csrss.exe[532] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                                                    0000000076eb1360 8 bytes JMP 000000016fff00d8
.text    C:\Windows\system32\csrss.exe[532] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                                                  0000000076eb1560 8 bytes JMP 000000016fff0110
.text    C:\Windows\system32\csrss.exe[532] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                  0000000076eb1b00 8 bytes JMP 000000016fff0148
.text    C:\Windows\system32\csrss.exe[616] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                                                    0000000076eb1360 8 bytes JMP 000000016fff00d8
.text    C:\Windows\system32\csrss.exe[616] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                                                  0000000076eb1560 8 bytes JMP 000000016fff0110
.text    C:\Windows\system32\csrss.exe[616] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                  0000000076eb1b00 8 bytes JMP 000000016fff0148
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\RPCRT4.dll!RpcServerRegisterIfEx                                                                                                                                                                  000007fefebd3e80 6 bytes {JMP QWORD [RIP+0x10c1b0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        000007fefca250a0 6 bytes {JMP QWORD [RIP+0x9af90]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!RegisterRawInputDevices                                                                                                                                                                0000000076d66ef0 6 bytes {JMP QWORD [RIP+0x9639140]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SystemParametersInfoA                                                                                                                                                                  0000000076d68184 6 bytes {JMP QWORD [RIP+0x9717eac]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetParent                                                                                                                                                                              0000000076d68530 6 bytes {JMP QWORD [RIP+0x9657b00]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetWindowLongA                                                                                                                                                                        0000000076d69bcc 6 bytes {JMP QWORD [RIP+0x93b6464]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!PostMessageA                                                                                                                                                                          0000000076d6a404 6 bytes {JMP QWORD [RIP+0x93f5c2c]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!EnableWindow                                                                                                                                                                          0000000076d6aaa0 6 bytes {JMP QWORD [RIP+0x9755590]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!MoveWindow                                                                                                                                                                            0000000076d6aad0 6 bytes {JMP QWORD [RIP+0x9675560]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!GetAsyncKeyState                                                                                                                                                                      0000000076d6c720 6 bytes {JMP QWORD [RIP+0x9613910]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!RegisterHotKey                                                                                                                                                                        0000000076d6cd50 6 bytes {JMP QWORD [RIP+0x96f32e0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!PostThreadMessageA                                                                                                                                                                    0000000076d6d2b0 6 bytes {JMP QWORD [RIP+0x9432d80]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageA                                                                                                                                                                          0000000076d6d338 6 bytes {JMP QWORD [RIP+0x9472cf8]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendNotifyMessageW                                                                                                                                                                    0000000076d6dc40 6 bytes {JMP QWORD [RIP+0x95523f0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SystemParametersInfoW                                                                                                                                                                  0000000076d6f510 6 bytes {JMP QWORD [RIP+0x9730b20]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetWindowsHookExW                                                                                                                                                                      0000000076d6f874 6 bytes {JMP QWORD [RIP+0x93707bc]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageTimeoutW                                                                                                                                                                    0000000076d6fac0 6 bytes {JMP QWORD [RIP+0x94d0570]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!PostThreadMessageW                                                                                                                                                                    0000000076d70b74 6 bytes {JMP QWORD [RIP+0x944f4bc]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetWindowLongW                                                                                                                                                                        0000000076d733b0 6 bytes {JMP QWORD [RIP+0x93ccc80]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetWinEventHook + 1                                                                                                                                                                    0000000076d74d4d 5 bytes {JMP QWORD [RIP+0x938b2e4]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!GetKeyState                                                                                                                                                                            0000000076d75010 6 bytes {JMP QWORD [RIP+0x95eb020]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageCallbackW                                                                                                                                                                  0000000076d75438 6 bytes {JMP QWORD [RIP+0x950abf8]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageW                                                                                                                                                                          0000000076d76b50 6 bytes {JMP QWORD [RIP+0x94894e0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!PostMessageW                                                                                                                                                                          0000000076d776e4 6 bytes {JMP QWORD [RIP+0x940894c]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendDlgItemMessageW                                                                                                                                                                    0000000076d7dd90 6 bytes {JMP QWORD [RIP+0x95822a0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!GetClipboardData                                                                                                                                                                      0000000076d7e874 6 bytes {JMP QWORD [RIP+0x96c17bc]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetClipboardViewer                                                                                                                                                                    0000000076d7f780 6 bytes {JMP QWORD [RIP+0x96808b0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendNotifyMessageA                                                                                                                                                                    0000000076d828e4 6 bytes {JMP QWORD [RIP+0x951d74c]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!mouse_event                                                                                                                                                                            0000000076d83894 6 bytes {JMP QWORD [RIP+0x931c79c]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!GetKeyboardState                                                                                                                                                                      0000000076d88a10 6 bytes {JMP QWORD [RIP+0x95b7620]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageTimeoutA                                                                                                                                                                    0000000076d88be0 6 bytes {JMP QWORD [RIP+0x9497450]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SetWindowsHookExA                                                                                                                                                                      0000000076d88c20 6 bytes {JMP QWORD [RIP+0x9337410]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendInput                                                                                                                                                                              0000000076d88cd0 6 bytes {JMP QWORD [RIP+0x9597360]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!BlockInput                                                                                                                                                                            0000000076d8ad60 6 bytes {JMP QWORD [RIP+0x96952d0]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!ExitWindowsEx                                                                                                                                                                          0000000076db14e0 6 bytes {JMP QWORD [RIP+0x972eb50]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!keybd_event                                                                                                                                                                            0000000076dd45a4 6 bytes {JMP QWORD [RIP+0x92aba8c]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendDlgItemMessageA                                                                                                                                                                    0000000076ddcc08 6 bytes {JMP QWORD [RIP+0x9503428]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\USER32.dll!SendMessageCallbackA                                                                                                                                                                  0000000076dddf18 6 bytes {JMP QWORD [RIP+0x9482118]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes JMP 0
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\services.exe[656] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                              0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                    0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                    0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                        0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                              0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                    0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                              0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                            0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                            0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                          0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                              0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                          0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                          0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                  0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                              0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                          0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                            0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                              0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                          0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                          0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                              0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                      0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                    0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                          0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                      0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                  0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                  000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                          000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                  000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                    000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                    000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                  000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                  000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                  000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                    000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\lsass.exe[692] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                          0000000000d350a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                                0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                      0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                      0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                          0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                  0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                                0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                      0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                                0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                              0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                              0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                            0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                                0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                            0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                            0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                    0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                                0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                            0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                              0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                                0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                            0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                  0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                            0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                                0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                        0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                      0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                            0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                        0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                    0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                    000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                            000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                    000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                      000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                      000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                    000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                    000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                    000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                  000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                      000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\lsm.exe[700] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                            0000000000fd50a0 6 bytes {JMP QWORD [RIP+0x17af90]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\RPCRT4.dll!RpcServerRegisterIfEx                                                                                                                                                                  000007fefebd3e80 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[852] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[852] c:\windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000011d50a0 6 bytes JMP 0
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                              0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                        0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                            0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                              0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                          0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                            0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                              0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                          0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                              0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                    0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                          0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                      0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                  000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                    000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                  000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                000007feff10b9f8 6 bytes JMP 2ba7
.text    C:\Windows\system32\nvvsvc.exe[912] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                    000007feff10c8e0 6 bytes JMP 406
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                              000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                          000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                              000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                          000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                  000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                              000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                          000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                      000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                        000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                    000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                              000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                          000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                        000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                    000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                      000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                  000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                      0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                  0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                    0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                        00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                    00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                    00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                    00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                            0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                        0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                        0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                    0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                    00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                      000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                  00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                        00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                    00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                    0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                          000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                      0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                    00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                        0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                    0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                            0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                              0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                          0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                    0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                            0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                        0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                            0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                        0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                    000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                            0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                    0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                            00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                              00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                            00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                          00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                              00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                            00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                            00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                              0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                      0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                  0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                              0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                        0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                    0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                      0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                  0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                        0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                        0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                          0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                      0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                        0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                          0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                      0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                        0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                  0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                      0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                        0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                              0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                  0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                  0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                  0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                  0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                              0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                    0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                    0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                          0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                      0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                    0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                      0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                        0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                        0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                  0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                          0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                      0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                            0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                        0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe[936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                          0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread

Wilfried49 08.01.2015 18:06
Code:
                                                                                                                                                                        0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes JMP 193c90
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\RPCRT4.dll!RpcServerRegisterIfEx                                                                                                                                                                  000007fefebd3e80 6 bytes {JMP QWORD [RIP+0x10c1b0]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[980] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000011550a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe[476] C:\Windows\SYSTEM32\ntdll.dll!NtAllocateVirtualMemory                                                                                                                                    0000000076eb1430 8 bytes JMP 000000016fff00d8
.text    C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe[476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                              0000000076eb1800 8 bytes JMP 000000016fff0110
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\System32\svchost.exe[1028] C:\Windows\System32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000012150a0 6 bytes {JMP QWORD [RIP+0x69af90]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes JMP 0
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes JMP 0
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\System32\svchost.exe[1060] C:\Windows\System32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000012a50a0 6 bytes {JMP QWORD [RIP+0x18af90]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes JMP 139da0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1088] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000011950a0 6 bytes {JMP QWORD [RIP+0x8af90]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\RPCRT4.dll!RpcServerRegisterIfEx                                                                                                                                                                  000007fefebd3e80 6 bytes {JMP QWORD [RIP+0x10c1b0]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1120] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000011550a0 6 bytes {JMP QWORD [RIP+0xfaf90]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes JMP 0
.text    C:\Windows\system32\AUDIODG.EXE[1180] C:\Windows\System32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes JMP 63006f
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1288] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000013850a0 6 bytes JMP 0
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                  0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                        0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                        0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                            0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                    0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                  0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                        0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                  0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                              0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                  0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                              0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                              0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                      0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                  0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                              0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                  0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                              0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                    0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                              0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                  0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                          0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                        0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                              0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                          0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                      0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                      000007fefcf69055 3 bytes CALL 9000027
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                              000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                      000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                        000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                        000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                      000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                      000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                      000007feff109344 6 bytes JMP 0
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                    000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                        000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1356] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                              0000000000fc50a0 6 bytes {JMP QWORD [RIP+0x73af90]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 0
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\nvvsvc.exe[1364] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000012a50a0 6 bytes {JMP QWORD [RIP+0xe9af90]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters

Wilfried49 08.01.2015 18:07
Code:
                                                                        000007fefcf753c0 5 bytes JMP 0
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes JMP 0
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\System32\spoolsv.exe[1428] C:\Windows\System32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000025450a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes JMP 27
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\RPCRT4.dll!RpcServerRegisterIfEx                                                                                                                                                                  000007fefebd3e80 6 bytes {JMP QWORD [RIP+0x10c1b0]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[1476] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000011f50a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                    000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                    000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                        000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                    000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                            000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                              000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                          000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                    000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                              000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                          000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                            000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                        000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                            0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                        0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                          0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                      0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                              00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                          00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                          00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                      00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                          00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                      00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                  0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                              0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                              0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                          0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                          00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                      00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                            000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                        00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                              00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                          00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                          0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                      0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                            0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                          00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                      00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                              0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                          0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                      0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                  0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                    0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                          0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                      0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                      0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                  0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                              0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                  0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                              0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                          000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                  0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                            0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                        0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                    0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                              0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                      0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                          0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                            0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                        0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                              0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                              0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                            0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                              0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                            0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                              0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                        0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                            0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                              0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                    0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                        0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                        0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                      0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                      0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                        0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                        0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                    0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                      0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                      0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                          0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                          0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                      0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                            0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                          0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                            0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                              0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                              0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                      0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                        0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                            0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                  0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                              0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                  00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                    00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                  00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                    00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                  00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                  00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                    0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                          0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                  0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                    000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                    000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                        000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                    000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                            000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                              000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                          000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                    000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                              000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                          000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                            000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                        000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                            0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                        0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                          0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                      0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                              00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                          00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                          00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                      00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                          00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                      00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                  0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                              0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                              0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                          0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                          00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                      00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                            000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                        00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                              00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                          00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                          0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                      0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                            0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                          00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                      00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                              0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                          0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                      0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                  0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                    0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                          0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                      0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                      0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                  0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                              0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                  0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                              0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                          000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                  0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                          0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                  00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                    00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                  00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                    00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                  00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                  00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                    0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                            0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                        0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                    0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                              0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                      0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                          0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                            0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                        0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                              0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                              0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                            0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                              0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                            0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                              0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                        0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                            0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                              0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                    0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                        0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                        0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                      0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                      0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                        0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                        0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                    0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                      0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                      0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                          0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                          0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                      0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                            0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                          0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                            0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                              0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                              0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                      0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                        0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                            0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                  0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                              0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                  0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe[1604] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                                0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                    0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                    0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                          0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                  0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                              0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                    0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                              0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                            0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                              0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                          0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                                0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                          0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                            0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                  0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                              0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                          0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                              0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                                0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                          0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                  0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                            0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                                0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                      0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                      0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                            0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                        0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                  0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                  000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                          000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                    000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                      000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                    000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                  000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                  000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                    000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                  000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\Dwm.exe[1752] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                      000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                                    0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                        0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                        0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                              0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                      0000000076eb15e0 6 bytes JMP 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                                  0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                        0000000076eb16c0 6 bytes JMP b672e86a
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                                  0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                                0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                                  0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                              0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                                    0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                              0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                                0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                      0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                                  0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                              0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                                  0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                                    0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                              0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                      0000000076eb1d20 6 bytes JMP 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                                0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                                    0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                          0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                          0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                                0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                            0000000076eb2aa0 6 bytes JMP 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                      0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                      000007fefcf69055 3 bytes CALL 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                              000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                        000007feff1022cc 6 bytes JMP 630069
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                          000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                        000007feff105bf0 6 bytes JMP 2d0046
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                      000007feff108398 6 bytes JMP 430046
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                      000007feff1089d8 6 bytes JMP 97610
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                        000007feff109344 6 bytes JMP 0
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                      000007feff10b9f8 6 bytes JMP 25dc
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                          000007feff10c8e0 6 bytes JMP 690044
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!RegisterRawInputDevices                                                                                                                                                                        0000000076d66ef0 6 bytes {JMP QWORD [RIP+0x9639140]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SystemParametersInfoA                                                                                                                                                                          0000000076d68184 6 bytes {JMP QWORD [RIP+0x9717eac]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetParent                                                                                                                                                                                      0000000076d68530 6 bytes {JMP QWORD [RIP+0x9657b00]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetWindowLongA                                                                                                                                                                                0000000076d69bcc 6 bytes {JMP QWORD [RIP+0x93b6464]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!PostMessageA                                                                                                                                                                                  0000000076d6a404 6 bytes {JMP QWORD [RIP+0x93f5c2c]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!EnableWindow

Wilfried49 08.01.2015 18:09
Code:
                                                                                                                                                          0000000076d6aaa0 6 bytes {JMP QWORD [RIP+0x9755590]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!MoveWindow                                                                                                                                                                                    0000000076d6aad0 6 bytes {JMP QWORD [RIP+0x9675560]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!GetAsyncKeyState                                                                                                                                                                              0000000076d6c720 6 bytes {JMP QWORD [RIP+0x9613910]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!RegisterHotKey                                                                                                                                                                                0000000076d6cd50 6 bytes {JMP QWORD [RIP+0x96f32e0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!PostThreadMessageA                                                                                                                                                                            0000000076d6d2b0 6 bytes {JMP QWORD [RIP+0x9432d80]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageA                                                                                                                                                                                  0000000076d6d338 6 bytes {JMP QWORD [RIP+0x9472cf8]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendNotifyMessageW                                                                                                                                                                            0000000076d6dc40 6 bytes {JMP QWORD [RIP+0x95523f0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SystemParametersInfoW                                                                                                                                                                          0000000076d6f510 6 bytes {JMP QWORD [RIP+0x9730b20]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetWindowsHookExW                                                                                                                                                                              0000000076d6f874 6 bytes {JMP QWORD [RIP+0x93707bc]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageTimeoutW                                                                                                                                                                            0000000076d6fac0 6 bytes {JMP QWORD [RIP+0x94d0570]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!PostThreadMessageW                                                                                                                                                                            0000000076d70b74 6 bytes {JMP QWORD [RIP+0x944f4bc]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetWindowLongW                                                                                                                                                                                0000000076d733b0 6 bytes {JMP QWORD [RIP+0x93ccc80]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetWinEventHook + 1                                                                                                                                                                            0000000076d74d4d 5 bytes {JMP QWORD [RIP+0x938b2e4]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!GetKeyState                                                                                                                                                                                    0000000076d75010 6 bytes {JMP QWORD [RIP+0x95eb020]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageCallbackW                                                                                                                                                                          0000000076d75438 6 bytes {JMP QWORD [RIP+0x950abf8]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageW                                                                                                                                                                                  0000000076d76b50 6 bytes {JMP QWORD [RIP+0x94894e0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!PostMessageW                                                                                                                                                                                  0000000076d776e4 6 bytes {JMP QWORD [RIP+0x940894c]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendDlgItemMessageW                                                                                                                                                                            0000000076d7dd90 6 bytes {JMP QWORD [RIP+0x95822a0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!GetClipboardData                                                                                                                                                                              0000000076d7e874 6 bytes {JMP QWORD [RIP+0x96c17bc]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetClipboardViewer                                                                                                                                                                            0000000076d7f780 6 bytes {JMP QWORD [RIP+0x96808b0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendNotifyMessageA                                                                                                                                                                            0000000076d828e4 6 bytes {JMP QWORD [RIP+0x951d74c]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!mouse_event                                                                                                                                                                                    0000000076d83894 6 bytes {JMP QWORD [RIP+0x931c79c]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!GetKeyboardState                                                                                                                                                                              0000000076d88a10 6 bytes {JMP QWORD [RIP+0x95b7620]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageTimeoutA                                                                                                                                                                            0000000076d88be0 6 bytes {JMP QWORD [RIP+0x9497450]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SetWindowsHookExA                                                                                                                                                                              0000000076d88c20 6 bytes {JMP QWORD [RIP+0x9337410]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendInput                                                                                                                                                                                      0000000076d88cd0 6 bytes {JMP QWORD [RIP+0x9597360]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!BlockInput                                                                                                                                                                                    0000000076d8ad60 6 bytes {JMP QWORD [RIP+0x96952d0]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!ExitWindowsEx                                                                                                                                                                                  0000000076db14e0 6 bytes {JMP QWORD [RIP+0x972eb50]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!keybd_event                                                                                                                                                                                    0000000076dd45a4 6 bytes {JMP QWORD [RIP+0x92aba8c]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendDlgItemMessageA                                                                                                                                                                            0000000076ddcc08 6 bytes {JMP QWORD [RIP+0x9503428]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\USER32.dll!SendMessageCallbackA                                                                                                                                                                          0000000076dddf18 6 bytes {JMP QWORD [RIP+0x9482118]}
.text    C:\Windows\Explorer.EXE[1768] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                                000007fefca250a0 6 bytes JMP 5c0072
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                      000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                  000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                      000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                  000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                          000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                      000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                  000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                              000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                            000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                      000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                  000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                            000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                              000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                          000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                              0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                          0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                            0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                        0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                            00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                            00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                        00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                            00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                        00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                    0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                            0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                            00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                        00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                              000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                          00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                            00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                            0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                        0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                  000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                              0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                            00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                        00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                            0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                        0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                    0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                      0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                  0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                            0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                        0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                        0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                    0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW                                                                                                                                    0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW + 4                                                                                                                                0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                            000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                    0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                              0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                          0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                      0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                        0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                            0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                              0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                          0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                  0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                              0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                  0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                              0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                          0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                              0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                      0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                          0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                          0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                        0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                        0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                          0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                          0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                      0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                        0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                        0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                            0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                            0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                        0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                  0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                              0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                            0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                              0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                        0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                          0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                  0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                              0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                    0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                    00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                      00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                    00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                  00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                      00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                    00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                    00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                      0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                            0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                    0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe[1816] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                  0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                          0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                    0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                            0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                        0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                          0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                      0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                        0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                          0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                            0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                      0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                          0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                      0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                  0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                              000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                              000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                            000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\taskhost.exe[1848] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                        000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                    000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                        000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                    000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                              000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                          000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                      000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                  000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                  000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                              000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                        000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                    000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                  000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                              000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                            000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                  0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                              0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                              0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                          0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                    00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                              00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                          00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                            00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                      0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                  0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                  0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                              0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                              00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                          00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                  000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                              00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                    00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                              0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                          0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                      000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                  0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                            00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                    0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                          0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                      0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                          0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                      0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                            0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                            0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                        0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                    0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW                                                                                                                                      0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW + 4                                                                                                                                  0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                              000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                      0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                        00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                          00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                      00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                      00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                        00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                        00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                      00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                          0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                            0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                          0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                  0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                            0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                            0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                  0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                    0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                      0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                  0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                  0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                    0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                  0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                            0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                  0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                          0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                              0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                            0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                          0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                            0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                              0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                            0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                        0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                            0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                            0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                              0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                              0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                          0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                      0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                  0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                              0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                  0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                    0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                    0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                          0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                            0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                    0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                        0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                    0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                      0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe[1936] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                      0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 480041
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\taskeng.exe[1116] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000024850a0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!StretchBlt

Wilfried49 08.01.2015 18:09
Code:
                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[1904] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 51716c11
.text    C:\Windows\system32\taskeng.exe[1564] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000024850a0 6 bytes {JMP QWORD [RIP+0xcaf90]}
.text    C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe[1272] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                            0000000074fa3bbb 3 bytes [FF, 25, 1E]
.text    C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe[1272] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                        0000000074fa3bbf 2 bytes [9B, 71]
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                      000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                  000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                      000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                  000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                            000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                        000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                    000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                            000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                      000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                  000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                            000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                              000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                          000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                            0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                            0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                        0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                  00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                              00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                            00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                        00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                              00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                          00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                    0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                            0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                            00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                        00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                            00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                  00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                              00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                            0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                        0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                    000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                              00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                          00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                  0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                              0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                        0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                    0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                        0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                    0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                              0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                          0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                          0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                      0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                  0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                    0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                            000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                    0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                              0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                          0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                        0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                          0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                              0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                              0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                          0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                  0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                    0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                  0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                              0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                          0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                              0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                        0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                            0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                          0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                        0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                          0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                            0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                          0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                      0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                          0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                          0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                            0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                            0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                        0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                    0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                            0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                  0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                  0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                        0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                          0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                  0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                              0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                      0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                  0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                      00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                        00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                    00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                    00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                      00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                      00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                    00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                        0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                              0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                    0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2148] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                    0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                      000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                              000007feff10b9f8 6 bytes JMP 0
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2268] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                        00000000019450a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                          000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                      000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                          000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                      000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                              000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                          000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                      000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                  000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                    000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                                000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                          000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                      000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                    000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                                000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                  000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                              000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                  0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                              0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                                0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                            0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                    00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                                00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                            00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                            00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                        0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                    0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                    0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                                0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                                00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                            00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                  000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                              00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                    00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                                0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                            0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                      000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                  0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                            00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                    0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                            0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                        0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                          0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                      0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                            0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                            0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                        0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                    0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                        0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                    0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                        0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                  0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                              0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                          0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                    0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                            0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                  0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                              0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                    0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                    0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                      0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                  0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                    0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                      0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                  0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                    0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                              0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                  0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                    0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                          0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                              0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                              0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                            0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                            0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                              0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                              0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                          0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                            0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                            0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                                0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                                0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                            0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                      0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                  0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                                0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                  0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                    0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                    0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                            0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                              0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                      0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                  0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                        0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                    0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                        00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                          00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                        00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                      00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                          00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                        00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                        00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                          0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                        0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\PDF Architect\HelperService.exe[2320] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                      0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                      000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                  000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                      000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                  000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                          000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                      000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                  000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                              000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                            000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                      000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                  000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                            000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                              000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                          000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                              0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                          0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                            0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                        0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                            00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                            00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                        00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                            00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                        00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                    0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                            0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                            00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                        00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                              000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                          00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                            00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                            0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                        0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                  000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                              0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                            00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                        00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                            0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                        0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                    0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                      0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4

Wilfried49 08.01.2015 18:10
Code:
                                                0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                            0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                        0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                        0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                    0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                    0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                            000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                    0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                              0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                          0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                      0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                        0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                            0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                              0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                          0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                  0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                              0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                  0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                              0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                          0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                              0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                      0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                          0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                          0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                        0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                        0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                          0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                          0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                      0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                        0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                        0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                            0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                            0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                        0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                  0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                              0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                            0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                              0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                        0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                          0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                  0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                              0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                    0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                    00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                      00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                    00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                  00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                      00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                    00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                    00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                      0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                            0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                    0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\PDF Architect\ConversionService.exe[2408] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                  0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                          0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                          000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                  000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                          000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                            000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                            000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                          000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                          000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                          000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                        000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe[2448] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                            000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                      000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                              000007feff10b9f8 6 bytes JMP 1185
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2484] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                        00000000025d50a0 6 bytes {JMP QWORD [RIP+0x18af90]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes JMP 0
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\conhost.exe[2492] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\svchost.exe[2516] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                        00000000012250a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                              000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                          000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                              000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                          000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                    000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                            000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                        000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                        000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                    000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                              000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                          000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                        000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                    000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                      000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                  000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                        0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                    0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                    0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                          00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                      00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                    00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                      00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                  00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                            0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                        0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                        0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                    0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                    00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                        000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                    00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                          00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                      00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                    0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                            000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                        0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                      00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                  00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                          0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                      0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                            0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                            0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                      0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                  0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                  0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                              0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                          0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                            0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                        0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                    000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                            0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                      0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                      0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                  0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                        0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                  0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                      0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                      0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                  0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                        0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                          0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                            0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                        0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                        0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                          0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                      0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                        0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                  0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                      0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                        0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                    0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                  0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                  0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                    0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                  0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                              0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                  0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                  0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                    0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                    0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                            0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                        0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                    0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                        0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                          0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                          0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                  0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                          0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                      0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                              0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                          0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                              00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                            00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                            00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                              00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                              00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                            00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                            0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe[2592] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                            000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                        000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                            000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                        000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                  000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                              000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                          000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                      000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                      000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                  000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                            000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                        000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                      000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                  000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                    000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                      0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                  0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                  0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                              0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                        00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                    00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                  00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                              00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                    00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                          0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                      0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                      0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                  0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                  00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                              00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                      000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                  00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                        00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                    00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                  0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                              0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                          000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                      0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                    00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                        0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                    0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                              0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                          0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                              0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                          0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                    0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                            0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                        0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                          0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                      0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                  000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                          0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                    0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                    0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                              0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                      0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                    0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                    0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                      0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                        0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                          0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                      0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                      0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                        0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                    0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                      0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                    0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                      0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                              0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                  0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                              0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                  0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                            0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                  0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                  0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                              0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                          0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                      0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                  0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                      0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                        0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                        0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                              0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                        0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                    0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                            0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                        0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                            00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                              00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                          00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                          00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                            00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                            00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                          00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                              0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                          0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe[2624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155

Wilfried49 08.01.2015 18:12
Code:
                                                              0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                              0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                        0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                                0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                            0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                              0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                          0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                            0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                              0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                                0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                          0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                              0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                    0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                          0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                      0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                  000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                    000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                  000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                                000007feff10b9f8 6 bytes JMP 0
.text    C:\Windows\system32\vssvc.exe[2672] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                    000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 0
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 699
.text    C:\Windows\System32\svchost.exe[2736] C:\Windows\System32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000011650a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                    0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                          0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                          0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                              0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                      0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                    0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                          0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                    0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                  0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                  0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                    0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                        0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                    0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                  0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                    0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                      0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                    0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                            0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                          0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                            0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                        0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                        000007fefcf69055 3 bytes CALL 9000027
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                        000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                          000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                          000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                        000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                        000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                        000007feff109344 6 bytes JMP 0
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                      000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[3000] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                          000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                  0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                  0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                            0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                  0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                            0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                          0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                        0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                        0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                                0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                            0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                        0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                        0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                    0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                                0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                                000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                        000007fefcf753c0 5 bytes [FF, 25, 70, AC, 29]
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                  000007feff105bf0 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                                000007feff108398 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                                000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes JMP 0
.text    C:\Windows\system32\taskeng.exe[620] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                        00000000011450a0 6 bytes {JMP QWORD [RIP+0x7af90]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                              000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                      000007fefcf753c0 5 bytes [FF, 25, 70, AC, 1B]
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                                  000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                              000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\System32\rundll32.exe[880] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe[3208] C:\Windows\SYSTEM32\ntdll.dll!NtAllocateVirtualMemory                                                                                                                                      0000000076eb1430 8 bytes JMP 000000016fff0110
.text    C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe[3208] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                0000000076eb1800 8 bytes JMP 000000016fff00d8
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                        0000000076e83b10 6 bytes JMP 6104fd38 C:\Program Files\Logitech Gaming Software\QtXml4.dll
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                            0000000076eb13a0 6 bytes JMP 6104e888 C:\Program Files\Logitech Gaming Software\QtXml4.dll
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                            0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                  0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                          0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                      0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                            0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                      0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                    0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                      0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                  0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                        0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                  0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                    0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                          0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                      0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                  0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                      0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                        0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                  0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                          0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                    0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                        0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                              0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                              0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                    0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                          0000000076c5db80 6 bytes JMP 9411380
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                          000007fefcf69055 3 bytes CALL 9000027
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                  000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                            000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                              000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                            000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                          000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                          000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                            000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                          000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Program Files\Logitech Gaming Software\LCore.exe[3280] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                              000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                            0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                      0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                              0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                          0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                          0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                        0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                          0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                      0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                            0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                      0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                        0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                              0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                          0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                      0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                          0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                            0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                      0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                              0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                        0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                            0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                  0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                  0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                        0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                    0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                              0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                              000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                      000007fefcf753c0 6 bytes {JMP QWORD [RIP+0x131ac70]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                  000007feff1024c0 6 bytes JMP 0
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                              000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                              000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                              000007feff10b9f8 6 bytes JMP 25dc
.text    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3328] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                  000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                  000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                              000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                  000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                              000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                      000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                  000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                              000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                          000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                            000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                        000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                  000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                              000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                            000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                        000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                          000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                      000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                          0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                      0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                        0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                    0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                            00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                        00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                        00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                    00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                        00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                    00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                            0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                            0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                        0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                        00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                    00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                          000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                      00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                            00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                        00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                        0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                    0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                              000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                          0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                        00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                    00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                            0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                        0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                    0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                  0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                              0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                        0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                    0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                    0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                            0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                            0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                        000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                        0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                  00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                              00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                  00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                  0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                          0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                      0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                  0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                            0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                    0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                        0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                          0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                      0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                            0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                            0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                              0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                          0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                            0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                              0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                          0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                            0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                      0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                          0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                            0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                  0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                      0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                      0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                    0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                    0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                      0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                      0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                  0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                    0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                    0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                        0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                        0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                    0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                              0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                          0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                        0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                          0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                            0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                            0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                    0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                      0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                              0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                          0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                            0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                              0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                              000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                          000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                              000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                          000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                    000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                            000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                        000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                        000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                    000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                              000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                          000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                        000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                    000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                      000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                  000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                        0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                    0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                    0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                          00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                      00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                    00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                      00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4

Wilfried49 08.01.2015 18:14
Code:
                                                        00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                            0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                        0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                        0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                    0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                    00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                        000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                    00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                          00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                      00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                    0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                            000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                        0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                      00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                  00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                          0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                      0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                            0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                            0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                      0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                  0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                  0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                              0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                          0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                            0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                        0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                    000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                            0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                      0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                              00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                            00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                            00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                              00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                              00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                            00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                      0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                  0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                        0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                  0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                      0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                      0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                  0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                        0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                          0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                            0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                        0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                        0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                          0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                      0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                        0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                  0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                      0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                        0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                    0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                  0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                  0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                    0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                  0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                              0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                  0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                  0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                    0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                    0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                            0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                        0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                    0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                        0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                          0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                          0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                  0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                          0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                      0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                              0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                          0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                            0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe[3372] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                            0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                        000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                    000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                        000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                    000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                              000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                          000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                      000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                  000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                  000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                              000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                        000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                    000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                  000000007705ff74 3 bytes JMP 7109000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                              000000007705ff78 2 bytes JMP 7109000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                            000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                  0000000077060004 3 bytes JMP 70fd000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                              0000000077060008 2 bytes JMP 70fd000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                              0000000077060084 3 bytes JMP 70fa000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                          0000000077060088 2 bytes JMP 70fa000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                    00000000770600b4 3 bytes JMP 70df000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                00000000770600b8 2 bytes JMP 70df000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                              00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                          00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                00000000770603d0 3 bytes JMP 710f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                            00000000770603d4 2 bytes JMP 710f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                      0000000077060550 3 bytes JMP 7112000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                  0000000077060554 2 bytes JMP 7112000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                  0000000077060694 3 bytes JMP 70ee000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                              0000000077060698 2 bytes JMP 70ee000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                              00000000770606f4 3 bytes JMP 7106000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                          00000000770606f8 2 bytes JMP 7106000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                  000000007706079c 3 bytes JMP 710c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                              00000000770607a0 2 bytes JMP 710c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                    00000000770607e4 3 bytes JMP 7100000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                00000000770607e8 2 bytes JMP 7100000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                              0000000077060874 3 bytes JMP 7103000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                          0000000077060878 2 bytes JMP 7103000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                      000000007706088c 3 bytes JMP 70d6000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                  0000000077060890 2 bytes JMP 70d6000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                            00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                    0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                          0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                      0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                          0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                      0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                            0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                            0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                        0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                    0000000077081287 6 bytes JMP 71a8000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                      0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                  0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                              000000007578f784 6 bytes JMP 719f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                      0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                0000000074a58332 6 bytes JMP 716c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                            0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                          0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                  0000000074a59679 6 bytes JMP 715a000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                            0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                            0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                  0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                    0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                      0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                  0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                  0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                    0000000074a63698 3 bytes JMP 712d000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                  0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                            0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                0000000074a66110 6 bytes JMP 716f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                  0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                          0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                              0000000074a67603 6 bytes JMP 7175000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                            0000000074a67668 6 bytes JMP 7148000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                          0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                            0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                              0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                            0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                        0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                            0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                            0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                              0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                              0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                          0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                      0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                  0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                              0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                  0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                    0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                    0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                          0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                            0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                    0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                        0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                    0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                        00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                          00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                      00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                      00000000757eb895 6 bytes JMP 7181000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                        00000000757ec332 6 bytes JMP 7187000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                        00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                      00000000757ee743 6 bytes JMP 7196000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                          0000000075814857 6 bytes JMP 7184000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                      0000000074b41465 2 bytes [B4, 74]
.text    C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe[3432] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                      0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                  000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                              000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                  000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                              000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                      000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                  000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                              000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                          000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                            000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                        000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                  000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                              000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                            000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                        000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                          000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                      000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                          0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                      0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                        0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                    0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                            00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                        00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                        00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                    00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                        00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                    00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                            0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                            0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                        0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                        00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                    00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                          000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                      00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                            00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                        00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                        0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                    0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                              000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                          0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                        00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                    00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                            0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                        0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                    0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                  0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                              0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                        0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                    0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                    0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                            0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                            0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                        000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                        0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                          0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                      0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                  0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                            0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                    0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                        0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                          0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                      0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                            0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                            0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                              0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                          0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                            0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                              0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                          0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                            0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                      0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                          0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                            0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                  0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                      0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                      0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                    0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                    0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                      0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                      0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                  0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                    0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                    0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                        0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                        0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                    0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                              0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                          0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                        0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                          0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                            0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                            0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                    0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                      0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                              0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                          0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                            0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                  00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                              00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                  00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                  0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3492] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                              0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                    000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                    000000007705fb28 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                000000007705fb2c 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                        000000007705fcb0 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                    000000007705fcb4 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                000000007705fd64 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                            000000007705fd68 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                              000000007705fdc8 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                          000000007705fdcc 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                    000000007705fec0 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                000000007705fec4 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                              000000007705ff74 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                          000000007705ff78 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                            000000007705ffa4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                        000000007705ffa8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                            0000000077060004 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                        0000000077060008 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                          0000000077060084 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                      0000000077060088 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                              00000000770600b4 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                          00000000770600b8 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                          00000000770603b8 3 bytes JMP 70c4000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                      00000000770603bc 2 bytes JMP 70c4000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                          00000000770603d0 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                      00000000770603d4 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                  0000000077060550 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                              0000000077060554 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                              0000000077060694 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                          0000000077060698 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                          00000000770606f4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                      00000000770606f8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                            000000007706079c 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                        00000000770607a0 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                              00000000770607e4 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                          00000000770607e8 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                          0000000077060874 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                      0000000077060878 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                000000007706088c 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                            0000000077060890 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                          00000000770608a4 3 bytes JMP 70c7000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                      00000000770608a8 2 bytes JMP 70c7000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                              0000000077060df4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                          0000000077060df8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                      0000000077060ed8 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                  0000000077060edc 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                    0000000077061be4 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                0000000077061be8 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                          0000000077061cb4 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                      0000000077061cb8 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                      0000000077061d8c 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                  0000000077061d90 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                              0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                  0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                              0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                          000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                  0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                            0000000074a58332 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                        0000000074a58bff 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                    0000000074a590d3 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                              0000000074a59679 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                      0000000074a597d2 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                          0000000074a5ee09 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                            0000000074a5efc9 3 bytes JMP 711b000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                        0000000074a5efcd 2 bytes JMP 711b000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                              0000000074a612a5 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                              0000000074a6291f 6 bytes JMP 7133000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                0000000074a62d64 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                            0000000074a62d68 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                              0000000074a62da4 6 bytes JMP 7112000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                0000000074a63698 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                            0000000074a6369c 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                              0000000074a63baa 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                        0000000074a63c61 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetWindowLongA

Wilfried49 08.01.2015 18:14
Code:
                                                                    0000000074a66110 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                              0000000074a6612e 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                    0000000074a66c30 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                        0000000074a67603 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                        0000000074a67668 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                      0000000074a676e0 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                      0000000074a6781f 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                        0000000074a6835c 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                        0000000074a6c4b6 3 bytes JMP 7124000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                    0000000074a6c4ba 2 bytes JMP 7124000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                      0000000074a7c112 6 bytes JMP 713f000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                      0000000074a7d0f5 6 bytes JMP 713c000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                          0000000074a7eb96 6 bytes JMP 7130000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                          0000000074a7ec68 3 bytes JMP 7136000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                      0000000074a7ec6c 2 bytes JMP 7136000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                0000000074a7ff4a 3 bytes JMP 7139000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                            0000000074a7ff4e 2 bytes JMP 7139000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                          0000000074a99f1d 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                            0000000074aa1497 6 bytes JMP 710f000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                              0000000074ab027b 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                              0000000074ab02bf 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                      0000000074ab6cfc 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                        0000000074ab6d5d 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                0000000074ab7dd7 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                            0000000074ab7ddb 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                  0000000074ab88eb 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                              0000000074ab88ef 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                  00000000757e58b3 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                    00000000757e5ea6 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                  00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                00000000757eb895 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                    00000000757ec332 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                  00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                  00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                    0000000075814857 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                          0000000074a0124e 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                  0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe[3552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                              000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                          000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                              000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                          000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                                  000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                              000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                          000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                      000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                        000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                                    000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                              000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                          000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                        000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                                    000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                      000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                                  000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                      0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                                  0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                                    0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                                0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                        00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                    00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                                    00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                                00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                    00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                                00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                            0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                        0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                        0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                                    0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                                    00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                                00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                      000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                                  00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                        00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                    00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                                    0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                                0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                          000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                      0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                    00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                                00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                        0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                    0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                            0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                              0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                          0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                    0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                                0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                                0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                            0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                        0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW                                                                                                                                            0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\KERNEL32.dll!CreateProcessInternalW + 4                                                                                                                                        0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                    000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                            0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                      0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                                  0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                              0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                        0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                                0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                    0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                      0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                                  0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                        0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                        0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                          0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                      0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                        0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                          0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                      0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                        0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                                  0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                      0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                        0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                              0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                                  0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                                  0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                                0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                                0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                                  0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                                  0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                              0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                                0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                                0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                                    0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                                    0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                                0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                          0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                      0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                                    0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                      0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                        0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                        0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                                0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                                  0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                          0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                      0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                            0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                        0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                            00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                              00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                            00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                          00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                              00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                            00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                            00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                              0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                    0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                            0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe[3584] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                          0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                    000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                    000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                          000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                      000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                  000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                              000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                              000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                          000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                    000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                              000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                          000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                            000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                        000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                              0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                          0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                          0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                      0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                            00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                          00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                      00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                            00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                        00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                  0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                              0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                              0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                          0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                          00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                      00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                              000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                          00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                            00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                          0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                      0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                  000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                              0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                            00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                        00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                            0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                      0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                  0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                      0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                  0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                            0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                        0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                        0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                    0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                  0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                              0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                          000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                  0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                            0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                        0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                      0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                              0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                        0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                            0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                            0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                        0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                              0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                  0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                              0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                              0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                            0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                              0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                        0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                            0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                              0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                      0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                          0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                        0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                      0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                        0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                          0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                        0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                    0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                        0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                        0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                          0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                          0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                      0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                  0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                              0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                          0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                              0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                      0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                        0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                            0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                    0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                    00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                      00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                  00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                  00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                    00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                    00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                  00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                      0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                            0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                  0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe[3744] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                  0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                    000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                    000000007705fb28 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                000000007705fb2c 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                          000000007705fcb0 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                      000000007705fcb4 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                  000000007705fd64 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                              000000007705fd68 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                              000000007705fdc8 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                          000000007705fdcc 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                    000000007705fec0 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                000000007705fec4 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                              000000007705ff74 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                          000000007705ff78 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                            000000007705ffa4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                        000000007705ffa8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                              0000000077060004 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                          0000000077060008 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                          0000000077060084 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                      0000000077060088 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                00000000770600b4 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                            00000000770600b8 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                          00000000770603b8 3 bytes JMP 70c4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                      00000000770603bc 2 bytes JMP 70c4000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                            00000000770603d0 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                        00000000770603d4 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                  0000000077060550 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                              0000000077060554 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                              0000000077060694 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                          0000000077060698 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                          00000000770606f4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                      00000000770606f8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                              000000007706079c 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                          00000000770607a0 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                00000000770607e4 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                            00000000770607e8 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                          0000000077060874 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                      0000000077060878 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                  000000007706088c 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                              0000000077060890 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                            00000000770608a4 3 bytes JMP 70c7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                        00000000770608a8 2 bytes JMP 70c7000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                0000000077060df4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                            0000000077060df8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                      0000000077060ed8 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                  0000000077060edc 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                      0000000077061be4 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                  0000000077061be8 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                            0000000077061cb4 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                        0000000077061cb8 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                        0000000077061d8c 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                    0000000077061d90 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                  0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                              0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                          000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                  0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                            0000000074a58332 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                        0000000074a58bff 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                      0000000074a590d3 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                              0000000074a59679 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                        0000000074a597d2 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                            0000000074a5ee09 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                            0000000074a5efc9 3 bytes JMP 711b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                        0000000074a5efcd 2 bytes JMP 711b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                              0000000074a612a5 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                0000000074a6291f 6 bytes JMP 7133000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                  0000000074a62d64 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                              0000000074a62d68 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                              0000000074a62da4 6 bytes JMP 7112000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                0000000074a63698 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                            0000000074a6369c 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                              0000000074a63baa 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                        0000000074a63c61 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                            0000000074a66110 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                              0000000074a6612e 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                      0000000074a66c30 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                          0000000074a67603 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                        0000000074a67668 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                      0000000074a676e0 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                        0000000074a6781f 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                          0000000074a6835c 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                        0000000074a6c4b6 3 bytes JMP 7124000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                    0000000074a6c4ba 2 bytes JMP 7124000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                        0000000074a7c112 6 bytes JMP 713f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                        0000000074a7d0f5 6 bytes JMP 713c000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                          0000000074a7eb96 6 bytes JMP 7130000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                          0000000074a7ec68 3 bytes JMP 7136000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                      0000000074a7ec6c 2 bytes JMP 7136000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                  0000000074a7ff4a 3 bytes JMP 7139000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                              0000000074a7ff4e 2 bytes JMP 7139000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                          0000000074a99f1d 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                              0000000074aa1497 6 bytes JMP 710f000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                0000000074ab027b 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                0000000074ab02bf 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                      0000000074ab6cfc 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                        0000000074ab6d5d 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                0000000074ab7dd7 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                            0000000074ab7ddb 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                    0000000074ab88eb 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                0000000074ab88ef 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                    00000000757e58b3 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                      00000000757e5ea6 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                  00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                  00000000757eb895 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                    00000000757ec332 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                    00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                  00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                      0000000075814857 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                            0000000074a0124e 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                  0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin[3804] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                  0000000074b414bb 2 bytes [B4, 74]
.text    ...

Wilfried49 08.01.2015 18:15
Code:
                                            * 2
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                          000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                      000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                          000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                      000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                              000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                          000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                      000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                  000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                    000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                                000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                          000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                      000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                    000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                                000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                  000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                              000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                  0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                              0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                                0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                            0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                    00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                                00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                            00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                            00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                        0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                    0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                    0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                                0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                                00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                            00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                  000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                              00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                    00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                                0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                            0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                      000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                  0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                            00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                    0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                            0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                        0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                          0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                      0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                            0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                            0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                        0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                    0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                        0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                    0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                        0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                        00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                          00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                        00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                      00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                          00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                        00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                        00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                          0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                  0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                              0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                          0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                    0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                            0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                  0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                              0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                    0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                    0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                      0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                  0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                    0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                      0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                  0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                    0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                              0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                  0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                    0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                          0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                              0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                              0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                            0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                            0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                              0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                              0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                          0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                            0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                            0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                                0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                                0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                            0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                      0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                  0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                                0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                  0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                    0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                    0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                            0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                              0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                      0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                  0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                        0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                    0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                        0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3828] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                      0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
?        C:\Windows\system32\mssprxy.dll [3828] entry point in ".rdata" section                                                                                                                                                                                      00000000642a71e6
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                            000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                            000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                    000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                            000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                        000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                          000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                      000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                            000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                          000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                      000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                        000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                    000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                        0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                    0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                      0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                  0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                          00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                      00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                      00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                  00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                      00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                  00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                              0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                          0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                          0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                      0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                      00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                  00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                        000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                    00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                          00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                      00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                      0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                  0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                            000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                        0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                      00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                  00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                          0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                      0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                  0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                              0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                            0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                      0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                  0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                  0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                              0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                          0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                              0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                          0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                      000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                              0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                      0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                              00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                              00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                            00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                              00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                              00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                        0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                    0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                          0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                  0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                      0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                        0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                    0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                          0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                          0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                            0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                        0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                          0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                            0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                        0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                          0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                    0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                        0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                          0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                    0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                    0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                  0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                  0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                    0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                    0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                  0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                  0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                      0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                      0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                  0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                            0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                        0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                      0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                        0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                          0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                          0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                  0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                    0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                            0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                        0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                              0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                          0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                              0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3844] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                                  000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                              000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                                  000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                              000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                                      000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                                  000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                              000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                          000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                            000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                                        000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                  000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                              000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                            000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                                        000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                          000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                                      000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                          0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                                      0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                                        0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                                    0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                            00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                        00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                                        00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                                    00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                        00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                                    00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                            0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                            0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                                        0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                                        00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                                    00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                          000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                                      00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                            00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                        00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                                        0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                                    0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                              000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                          0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                        00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                                    00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                            0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                        0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                    0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                                0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                                  0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                              0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                        0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                                    0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                                    0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                                0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                            0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                                0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                            0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                        000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                                0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                        0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                                00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                                  00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                                00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                              00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                                  00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                                00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                                00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                                  0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                          0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                                      0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                                  0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                            0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                                    0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                        0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                          0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                                      0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                            0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                            0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                              0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                          0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                            0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                              0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                          0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                            0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                                      0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                          0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                            0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                                  0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                                      0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                                      0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                                    0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                                    0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                                      0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                                      0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                                  0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                                    0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                                    0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                                        0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                                        0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                                    0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                              0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                          0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                                        0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                          0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                            0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                            0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                                    0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                                      0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                              0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                          0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                                0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                            0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                                0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\iTunes\iTunesHelper.exe[3876] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                              0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                      0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                          0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                          0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                        0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                    0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                          0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                    0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                  0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                    0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                      0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                  0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                        0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                    0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                    0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                      0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                        0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                  0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                      0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                            0000000076eb2130 6 bytes JMP 98eda70
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                            0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                  0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                              0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                        000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Windows\system32\SearchIndexer.exe[3916] C:\Windows\system32\SSPICLI.DLL!EncryptMessage                                                                                                                                                                  00000000013250a0 6 bytes JMP b3e9
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                  0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                      0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                      0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                            0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                    0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                      0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                              0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                            0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                  0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                            0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                              0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                    0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                            0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                  0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                            0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                    0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                              0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                  0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                        0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                        0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem

Wilfried49 08.01.2015 18:17
Code:
                                                    0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                          0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                    0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                    000007fefcf69055 3 bytes [B5, 6F, 06]
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                            000007fefcf753c0 5 bytes JMP 0
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                      000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                        000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                      000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                    000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                    000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                      000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                    000007feff10b9f8 6 bytes JMP 14bd18
.text    C:\Program Files\iPod\bin\iPodService.exe[2248] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                        000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                            000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                            000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                    000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                            000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                        000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                          000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                      000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                            000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                          000000007705ff74 3 bytes JMP 7109000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                      000000007705ff78 2 bytes JMP 7109000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                        000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                    000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                        0000000077060004 3 bytes JMP 70fd000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                    0000000077060008 2 bytes JMP 70fd000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                      0000000077060084 3 bytes JMP 70fa000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                  0000000077060088 2 bytes JMP 70fa000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                          00000000770600b4 3 bytes JMP 70df000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                      00000000770600b8 2 bytes JMP 70df000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                      00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                  00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                      00000000770603d0 3 bytes JMP 710f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                  00000000770603d4 2 bytes JMP 710f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                              0000000077060550 3 bytes JMP 7112000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                          0000000077060554 2 bytes JMP 7112000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                          0000000077060694 3 bytes JMP 70ee000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                      0000000077060698 2 bytes JMP 70ee000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                      00000000770606f4 3 bytes JMP 7106000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                  00000000770606f8 2 bytes JMP 7106000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                        000000007706079c 3 bytes JMP 710c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                    00000000770607a0 2 bytes JMP 710c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                          00000000770607e4 3 bytes JMP 7100000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                      00000000770607e8 2 bytes JMP 7100000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                      0000000077060874 3 bytes JMP 7103000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                  0000000077060878 2 bytes JMP 7103000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                            000000007706088c 3 bytes JMP 70d6000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                        0000000077060890 2 bytes JMP 70d6000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                      00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                  00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                          0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                      0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                  0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                              0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                            0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                      0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                  0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                  0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                              0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                          0000000077081287 6 bytes JMP 71a8000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                              0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                          0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                      000000007578f784 6 bytes JMP 719f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                              0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                        0000000074a58332 6 bytes JMP 716c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                    0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                          0000000074a59679 6 bytes JMP 715a000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                  0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                      0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                        0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                    0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                          0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                          0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                            0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                        0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                          0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                            0000000074a63698 3 bytes JMP 712d000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                        0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                          0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                    0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                        0000000074a66110 6 bytes JMP 716f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                          0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                    0000000074a67603 6 bytes JMP 7175000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                    0000000074a67668 6 bytes JMP 7148000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                  0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                  0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                    0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                    0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                  0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                  0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                      0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                      0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                  0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                            0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                        0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                      0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                        0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                          0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                          0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                  0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                    0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                            0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                        0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                              0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                          0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                              00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                              00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                            00000000757eb895 6 bytes JMP 7181000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                00000000757ec332 6 bytes JMP 7187000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                              00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                              00000000757ee743 6 bytes JMP 7196000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                0000000075814857 6 bytes JMP 7184000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                      0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                              0000000074b41465 2 bytes [B4, 74]
.text    C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe[3728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                            0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!LdrUnloadDll                                                                                                                                                                      0000000076e83b10 6 bytes {JMP QWORD [RIP+0x91bc520]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                                                                                                          0000000076eb13a0 6 bytes {JMP QWORD [RIP+0x916ec90]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationProcess                                                                                                                                                          0000000076eb1470 6 bytes {JMP QWORD [RIP+0x990ebc0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                                                0000000076eb1570 6 bytes {JMP QWORD [RIP+0x97aeac0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                                                                                                        0000000076eb15e0 6 bytes {JMP QWORD [RIP+0x988ea50]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                                    0000000076eb1620 6 bytes {JMP QWORD [RIP+0x984ea10]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                          0000000076eb16c0 6 bytes {JMP QWORD [RIP+0x98ae970]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                                    0000000076eb1730 6 bytes {JMP QWORD [RIP+0x96ae900]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                                                  0000000076eb1750 6 bytes {JMP QWORD [RIP+0x982e8e0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                                                    0000000076eb1790 6 bytes {JMP QWORD [RIP+0x972e8a0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                                                0000000076eb17e0 6 bytes {JMP QWORD [RIP+0x974e850]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                                                                                                                      0000000076eb1800 6 bytes {JMP QWORD [RIP+0x986e830]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                0000000076eb19f0 6 bytes {JMP QWORD [RIP+0x994e640]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                  0000000076eb1a00 6 bytes {JMP QWORD [RIP+0x966e630]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                        0000000076eb1b00 6 bytes {JMP QWORD [RIP+0x964e530]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtConnectPort                                                                                                                                                                    0000000076eb1bd0 6 bytes {JMP QWORD [RIP+0x97ce460]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                                                0000000076eb1c10 6 bytes {JMP QWORD [RIP+0x96ce420]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                                                    0000000076eb1c80 6 bytes {JMP QWORD [RIP+0x968e3b0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreatePort                                                                                                                                                                      0000000076eb1cb0 6 bytes {JMP QWORD [RIP+0x970e380]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                                                0000000076eb1d10 6 bytes {JMP QWORD [RIP+0x96ee320]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                        0000000076eb1d20 6 bytes {JMP QWORD [RIP+0x98ce310]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                                                  0000000076eb1d30 6 bytes {JMP QWORD [RIP+0x992e300]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                                      0000000076eb20a0 6 bytes {JMP QWORD [RIP+0x97edf90]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                            0000000076eb2130 6 bytes {JMP QWORD [RIP+0x98edf00]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                                            0000000076eb29a0 6 bytes {JMP QWORD [RIP+0x980d690]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                                                  0000000076eb2a20 6 bytes {JMP QWORD [RIP+0x976d610]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                                              0000000076eb2aa0 6 bytes {JMP QWORD [RIP+0x978d590]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\kernel32.dll!CreateProcessInternalW                                                                                                                                                        0000000076c5db80 6 bytes {JMP QWORD [RIP+0x94024b0]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                                                                                                                        000007fefcf69055 3 bytes CALL 9000027
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                000007fefcf753c0 5 bytes JMP 0
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!DeleteDC                                                                                                                                                                          000007feff1022cc 6 bytes {JMP QWORD [RIP+0xfdd64]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!BitBlt                                                                                                                                                                            000007feff1024c0 6 bytes {JMP QWORD [RIP+0x11db70]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!MaskBlt                                                                                                                                                                          000007feff105bf0 6 bytes {JMP QWORD [RIP+0x13a440]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!CreateDCW                                                                                                                                                                        000007feff108398 6 bytes {JMP QWORD [RIP+0xb7c98]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!CreateDCA                                                                                                                                                                        000007feff1089d8 6 bytes {JMP QWORD [RIP+0x97658]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!GetPixel                                                                                                                                                                          000007feff109344 6 bytes {JMP QWORD [RIP+0xd6cec]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!StretchBlt                                                                                                                                                                        000007feff10b9f8 6 bytes {JMP QWORD [RIP+0x174638]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\GDI32.dll!PlgBlt                                                                                                                                                                            000007feff10c8e0 6 bytes {JMP QWORD [RIP+0x153750]}
.text    C:\Windows\system32\wbem\wmiprvse.exe[4676] C:\Windows\system32\SspiCli.dll!EncryptMessage                                                                                                                                                                  0000000000f750a0 6 bytes {JMP QWORD [RIP+0x7daf90]}
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtClose                                                                                                                                                                            000000007705f9e0 3 bytes JMP 71af000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtClose + 4                                                                                                                                                                        000000007705f9e4 2 bytes JMP 71af000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess                                                                                                                                                            000000007705fb28 3 bytes JMP 70d0000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationProcess + 4                                                                                                                                                        000000007705fb2c 2 bytes JMP 70d0000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                                                                                                                                                000000007705fcb0 3 bytes JMP 70f1000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess + 4                                                                                                                                                            000000007705fcb4 2 bytes JMP 70f1000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                                                                                                                                        000000007705fd64 3 bytes JMP 70dc000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                                                                                                                                    000000007705fd68 2 bytes JMP 70dc000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection                                                                                                                                                                      000000007705fdc8 3 bytes JMP 70e2000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtOpenSection + 4                                                                                                                                                                  000000007705fdcc 2 bytes JMP 70e2000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken                                                                                                                                                            000000007705fec0 3 bytes JMP 70d9000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAdjustPrivilegesToken + 4                                                                                                                                                        000000007705fec4 2 bytes JMP 70d9000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent                                                                                                                                                                      000000007705ff74 3 bytes JMP 7109000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateEvent + 4                                                                                                                                                                  000000007705ff78 2 bytes JMP 7109000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection                                                                                                                                                                    000000007705ffa4 3 bytes JMP 70e5000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSection + 4                                                                                                                                                                000000007705ffa8 2 bytes JMP 70e5000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread                                                                                                                                                                    0000000077060004 3 bytes JMP 70fd000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateThread + 4                                                                                                                                                                0000000077060008 2 bytes JMP 70fd000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread                                                                                                                                                                  0000000077060084 3 bytes JMP 70fa000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtTerminateThread + 4                                                                                                                                                              0000000077060088 2 bytes JMP 70fa000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                                                                                                                                      00000000770600b4 3 bytes JMP 70df000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                                                                                                                                  00000000770600b8 2 bytes JMP 70df000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort                                                                                                                                                                  00000000770603b8 3 bytes JMP 70ca000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcConnectPort + 4                                                                                                                                                              00000000770603bc 2 bytes JMP 70ca000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort                                                                                                                                                                  00000000770603d0 3 bytes JMP 710f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcCreatePort + 4                                                                                                                                                              00000000770603d4 2 bytes JMP 710f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                                          0000000077060550 3 bytes JMP 7112000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtAlpcSendWaitReceivePort + 4                                                                                                                                                      0000000077060554 2 bytes JMP 7112000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort                                                                                                                                                                      0000000077060694 3 bytes JMP 70ee000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtConnectPort + 4                                                                                                                                                                  0000000077060698 2 bytes JMP 70ee000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair                                                                                                                                                                  00000000770606f4 3 bytes JMP 7106000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateEventPair + 4                                                                                                                                                              00000000770606f8 2 bytes JMP 7106000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant                                                                                                                                                                    000000007706079c 3 bytes JMP 710c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateMutant + 4                                                                                                                                                                00000000770607a0 2 bytes JMP 710c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort                                                                                                                                                                      00000000770607e4 3 bytes JMP 7100000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreatePort + 4                                                                                                                                                                  00000000770607e8 2 bytes JMP 7100000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore                                                                                                                                                                  0000000077060874 3 bytes JMP 7103000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSemaphore + 4                                                                                                                                                              0000000077060878 2 bytes JMP 7103000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject                                                                                                                                                        000000007706088c 3 bytes JMP 70d6000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateSymbolicLinkObject + 4                                                                                                                                                    0000000077060890 2 bytes JMP 70d6000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx                                                                                                                                                                  00000000770608a4 3 bytes JMP 70cd000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtCreateThreadEx + 4                                                                                                                                                              00000000770608a8 2 bytes JMP 70cd000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver                                                                                                                                                                      0000000077060df4 3 bytes JMP 70eb000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtLoadDriver + 4                                                                                                                                                                  0000000077060df8 2 bytes JMP 70eb000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject                                                                                                                                                              0000000077060ed8 3 bytes JMP 70d3000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtMakeTemporaryObject + 4                                                                                                                                                          0000000077060edc 2 bytes JMP 70d3000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation                                                                                                                                                            0000000077061be4 3 bytes JMP 70e8000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSetSystemInformation + 4                                                                                                                                                        0000000077061be8 2 bytes JMP 70e8000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem                                                                                                                                                                  0000000077061cb4 3 bytes JMP 70f7000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtShutdownSystem + 4                                                                                                                                                              0000000077061cb8 2 bytes JMP 70f7000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl                                                                                                                                                              0000000077061d8c 3 bytes JMP 70f4000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!NtSystemDebugControl + 4                                                                                                                                                          0000000077061d90 2 bytes JMP 70f4000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                                                                                                                                                      0000000077081287 6 bytes JMP 71a8000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW                                                                                                                                                          0000000074fa3bbb 3 bytes JMP 719c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\kernel32.dll!CreateProcessInternalW + 4                                                                                                                                                      0000000074fa3bbf 2 bytes JMP 719c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\KERNELBASE.dll!SetProcessShutdownParameters                                                                                                                                                  000000007578f784 6 bytes JMP 719f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                                                                                                                                          0000000075792c9e 4 bytes CALL 71ac0000
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetWindowLongW                                                                                                                                                                    0000000074a58332 6 bytes JMP 716c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!PostThreadMessageW                                                                                                                                                                0000000074a58bff 6 bytes JMP 7160000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SystemParametersInfoW                                                                                                                                                            0000000074a590d3 6 bytes JMP 711b000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageW                                                                                                                                                                      0000000074a59679 6 bytes JMP 715a000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutW                                                                                                                                                              0000000074a597d2 6 bytes JMP 7154000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                                                                                                                                                  0000000074a5ee09 6 bytes JMP 7172000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!RegisterHotKey                                                                                                                                                                    0000000074a5efc9 3 bytes JMP 7121000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!RegisterHotKey + 4                                                                                                                                                                0000000074a5efcd 2 bytes JMP 7121000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!PostMessageW                                                                                                                                                                      0000000074a612a5 6 bytes JMP 7166000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                                                                                      0000000074a6291f 6 bytes JMP 7139000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetParent                                                                                                                                                                        0000000074a62d64 3 bytes JMP 7130000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetParent + 4                                                                                                                                                                    0000000074a62d68 2 bytes JMP 7130000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                                                                                      0000000074a62da4 6 bytes JMP 7118000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!MoveWindow                                                                                                                                                                        0000000074a63698 3 bytes JMP 712d000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!MoveWindow + 4                                                                                                                                                                    0000000074a6369c 2 bytes JMP 712d000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!PostMessageA                                                                                                                                                                      0000000074a63baa 6 bytes JMP 7169000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!PostThreadMessageA                                                                                                                                                                0000000074a63c61 6 bytes JMP 7163000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetWindowLongA                                                                                                                                                                    0000000074a66110 6 bytes JMP 716f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageA                                                                                                                                                                      0000000074a6612e 6 bytes JMP 715d000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SystemParametersInfoA                                                                                                                                                            0000000074a66c30 6 bytes JMP 711e000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                                                                                                0000000074a67603 6 bytes JMP 7175000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendNotifyMessageW                                                                                                                                                                0000000074a67668 6 bytes JMP 7148000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageCallbackW                                                                                                                                                              0000000074a676e0 6 bytes JMP 714e000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageTimeoutA                                                                                                                                                              0000000074a6781f 6 bytes JMP 7157000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                                                                                                                                                0000000074a6835c 6 bytes JMP 7178000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetClipboardViewer                                                                                                                                                                0000000074a6c4b6 3 bytes JMP 712a000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SetClipboardViewer + 4                                                                                                                                                            0000000074a6c4ba 2 bytes JMP 712a000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageA                                                                                                                                                              0000000074a7c112 6 bytes JMP 7145000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendDlgItemMessageW                                                                                                                                                              0000000074a7d0f5 6 bytes JMP 7142000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                                                                                                  0000000074a7eb96 6 bytes JMP 7136000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!GetKeyboardState                                                                                                                                                                  0000000074a7ec68 3 bytes JMP 713c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!GetKeyboardState + 4                                                                                                                                                              0000000074a7ec6c 2 bytes JMP 713c000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                                                                                        0000000074a7ff4a 3 bytes JMP 713f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                                                                                                                                    0000000074a7ff4e 2 bytes JMP 713f000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!GetClipboardData                                                                                                                                                                  0000000074a99f1d 6 bytes JMP 7124000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!ExitWindowsEx                                                                                                                                                                    0000000074aa1497 6 bytes JMP 7115000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!mouse_event                                                                                                                                                                      0000000074ab027b 6 bytes JMP 717b000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                                                                                      0000000074ab02bf 6 bytes JMP 717e000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendMessageCallbackA                                                                                                                                                              0000000074ab6cfc 6 bytes JMP 7151000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!SendNotifyMessageA                                                                                                                                                                0000000074ab6d5d 6 bytes JMP 714b000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!BlockInput                                                                                                                                                                        0000000074ab7dd7 3 bytes JMP 7127000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!BlockInput + 4                                                                                                                                                                    0000000074ab7ddb 2 bytes JMP 7127000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices                                                                                                                                                          0000000074ab88eb 3 bytes JMP 7133000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\USER32.dll!RegisterRawInputDevices + 4                                                                                                                                                      0000000074ab88ef 2 bytes JMP 7133000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!DeleteDC                                                                                                                                                                          00000000757e58b3 6 bytes JMP 7190000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!BitBlt                                                                                                                                                                            00000000757e5ea6 6 bytes JMP 718a000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!CreateDCA                                                                                                                                                                          00000000757e7bcc 6 bytes JMP 7199000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!StretchBlt                                                                                                                                                                        00000000757eb895 6 bytes JMP 7181000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!MaskBlt                                                                                                                                                                            00000000757ec332 6 bytes JMP 7187000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!GetPixel                                                                                                                                                                          00000000757ecbfb 6 bytes JMP 7193000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!CreateDCW                                                                                                                                                                          00000000757ee743 6 bytes JMP 7196000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\GDI32.dll!PlgBlt                                                                                                                                                                            0000000075814857 6 bytes JMP 7184000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\SspiCli.dll!EncryptMessage                                                                                                                                                                  0000000074a0124e 6 bytes JMP 718d000a
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                                                                          0000000074b41465 2 bytes [B4, 74]
.text    C:\Users\Tobias\Desktop\o5lw8g6g.exe[4520] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                                                                        0000000074b414bb 2 bytes [B4, 74]
.text    ...                                                                                                                                                                                                                                                        * 2
---- Processes - GMER 2.1 ----

Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Widgets.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:46)        0000000062dd0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Gui.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:38)            0000000062ad0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libGLESv2.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432](2014-10-22 00:22:50)                                                                                        0000000062a10000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Core.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:38)          0000000062620000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\icuin52.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (ICU I18N DLL/The ICU Project)(2014-10-22 00:22:50)                                                          000000004a900000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\icuuc52.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (ICU Common DLL/The ICU Project)(2014-10-22 00:22:50)                                                        0000000004ac0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\icudt52.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (ICU Data DLL/The ICU Project)(2014-10-22 00:22:50)                                                          000000004ad00000
Library  c:\users\tobias\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpzklvrb.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432](2015-01-08 13:15:40)                                      0000000004620000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Network.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:38)        0000000060940000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5WebKit.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:40)        000000005f890000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Quick.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:40)          000000005e880000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Qml.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:40)            000000005e620000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5Sql.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:40)            00000000737d0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libEGL.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432](2014-10-22 00:22:50)                                                                                          0000000073c30000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5WebKitWidgets.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:46)  00000000737a0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5OpenGL.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:38)        000000005df30000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Qt5PrintSupport.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432] (C++ application development framework./Digia Plc and/or its subsidiary(-ies))(2014-10-22 00:22:38)  000000005dee0000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432](2014-10-22 00:22:48)                                                                      000000005dd80000
Library  C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll (*** suspicious ***) @ C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe [3432](2014-10-22 00:22:46)                                                                      000000005dbe0000
Library  C:\ProgramData\Razer\Synapse\Devices\RazerConfigNative.dll (*** suspicious ***) @ C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe [3584] (Razer Configurator/Razer Inc.)(2014-04-25 05:11:42)                                                            000000005bfe0000

---- Registry - GMER 2.1 ----

Reg      HKLM\SYSTEM\CurrentControlSet\services\cmdAgent\Mode\Configurations@SymbolicLinkValue                                                                                                                                                                      0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\cmdAgent\Mode\Data@SymbolicLinkValue                                                                                                                                                                                0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\cmdAgent\Mode\Options@SymbolicLinkValue                                                                                                                                                                              0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\services\cmdAgent\Mode\Configurations@SymbolicLinkValue                                                                                                                                                                          0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\services\cmdAgent\Mode\Data@SymbolicLinkValue                                                                                                                                                                                    0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\services\cmdAgent\Mode\Options@SymbolicLinkValue                                                                                                                                                                                  0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\Software\COMODO\Cam@SymbolicLinkValue                                                                                                                                                                                                          0x5C 0x00 0x52 0x00 ...
Reg      HKLM\SYSTEM\Software\COMODO\Firewall Pro@SymbolicLinkValue                                                                                                                                                                                                  0x5C 0x00 0x52 0x00 ...

---- EOF - GMER 2.1 ----
So, das waren jetzt alle Log-Files!

schrauber 08.01.2015 20:03
Lade Dir bitte von hier Revo Uninstaller Download Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
  • Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
  • Klicke auf Optionen und wähle als Sprache Deutsch.
  • Suche im Uninstallerfeld nach den Programmen:

    SimilarWeb


  • Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
  • Wähle anschließend den Modus "Moderat" aus.
  • Reste löschen:
    Klicke auf dann auf und dann auf .

 





Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Wilfried49 09.01.2015 00:31
Aloha schrauber!


SimilarWeb habe ich deinstalliert und TDSSKiller.exe hat keine Bedrohungen gefunden!


Das Anti-Rootkit dagegen hat sich erst etwas quer gestellt und ließ den Scan nach einem Neustart zu (vorher meldete es mir, es gäbe Probleme mit einem Treiber), aber auch dann wurde keine Maleware auf dem Rechner gefunden!



Gerade hat mich Comodo erneut auf "WShelper.exe" aufmerksam gemacht. Die Exe versucht auf Registry-Einträge zuzugreifen.

schrauber 09.01.2015 09:22
Zitat:
Wondershare TunesGo(Version 5.0.0) (HKLM-x32\...\{ADBA24FE-D6F6-4B21-97F3-D58A327422E4}_is1) (Version: 5.0.0 - Wondershare)
WSHElper gehört zu Wondershare.



Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.

Wilfried49 09.01.2015 16:19
Malwarebytes Anti-Malware und JRT konnten jeweils keine Bedrohungen feststellen.


Hier die Logs:

Code:
# AdwCleaner v4.107 - Bericht erstellt am 09/01/2015 um 10:38:24
# Aktualisiert 07/01/2015 von Xplode
# Database : 2015-01-03.1 [Live]
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : Tobias - TOBIAS-PC
# Gestartet von : C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\ProgramData\NCH Software
Ordner Gelöscht : C:\ProgramData\AdTrustMedia
Ordner Gelöscht : C:\Program Files (x86)\NCH Software
Ordner Gelöscht : C:\Program Files (x86)\AdTrustMedia
Ordner Gelöscht : C:\Program Files\AdTrustMedia
Ordner Gelöscht : C:\Users\Tobias\AppData\Roaming\NCH Software
Datei Gelöscht : C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\foxydeal.sqlite
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_lyrics.wikia.com_0.localstorage
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_lyrics.wikia.com_0.localstorage-journal
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.ask.com_0.localstorage
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.ask.com_0.localstorage-journal
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage-journal
Datei Gelöscht : C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.olark.com_0.localstorage-journal

***** [ Tasks ] *****

Task Gelöscht : BrowserProtect
Task Gelöscht : Hoolapp For Android
Task Gelöscht : Hoolapp Init
Task Gelöscht : YourFile DownloaderUpdate

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A43DE495-3D00-47D4-9D2C-303115707939}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Schlüssel Gelöscht : HKCU\Software\Myfree Codec
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Myfree Codec

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v34.0.5 (x86 de)


-\\ Google Chrome v


*************************

AdwCleaner[R0].txt - [3169 octets] - [14/07/2014 01:19:18]
AdwCleaner[R1].txt - [3830 octets] - [09/01/2015 10:35:43]
AdwCleaner[S0].txt - [2802 octets] - [15/07/2014 13:06:51]
AdwCleaner[S1].txt - [3642 octets] - [09/01/2015 10:38:24]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [3702 octets] ##########


Bei der Ausführung des JRT hatte ich mehrfach Probleme und erst nach dem 3. Reboot konnte ich einen vollständigen Scan abschließen.

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows 7 Professional x64
Ran by Tobias on 09.01.2015 at 11:23:41,36
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 09.01.2015 at 12:18:12,94
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~





Und FRST:


FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-01-2015
Ran by Tobias (administrator) on TOBIAS-PC on 09-01-2015 13:50:42
Running from C:\Users\Tobias\Desktop
Loaded Profile: Tobias (Available profiles: Tobias)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: Chrome)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe
() C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
(Logitech Inc.) C:\Program Files\Logitech Gaming Software\LCore.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\HelperService.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\ConversionService.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
(Razer, Inc.) C:\Program Files (x86)\Razer\Core\64bit\RzOvlMon.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
(Dropbox, Inc.) C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(Razer Inc.) C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
() C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\APSDaemon.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cis.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\ink\InputPersonalization.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [Launch LCore] => C:\Program Files\Logitech Gaming Software\LCore.exe [6868280 2012-05-21] (Logitech Inc.)
HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297112 2014-12-09] (COMODO)
HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2279712 2013-12-10] (NVIDIA Corporation)
HKLM\...\Run: [ShadowPlay] => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2000-01-01] (Realtek Semiconductor)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2014-10-11] (Apple Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Razer Synapse] => C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe [444760 2014-03-07] (Razer Inc.)
HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe [43608 2000-01-01] ()
HKLM-x32\...\Run: [DivXUpdate] => C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1861968 2013-11-15] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [157480 2014-10-15] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [Google Update] => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-08-21] (Google Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [MobileDocuments] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545e5-c72a-11e3-b9a2-001d7da6420f} - H:\virtuallyjenna-en.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545ea-c72a-11e3-b9a2-001d7da6420f} - K:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545f5-c72a-11e3-b9a2-001d7da6420f} - J:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f54604-c72a-11e3-b9a2-001d7da6420f} - L:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {09d7c289-0c19-11e4-8f46-001d7da6420f} - H:\LaunchU3.exe -a
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {1be2274b-c054-11e2-9cb2-806e6f6e6963} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {803984f0-0cc1-11e4-832f-001d7da6420f} - H:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {986a4d14-7c97-11e3-9eb2-001d7da6420f} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {fa311c55-52d6-11e3-957c-001d7da6420f} - H:\Startme.exe
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com?fr=fp-comodo
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
URLSearchHook: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Evernote extension -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default
FF Homepage: google.de
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_235.dll ()
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @divx.com/DivX Web Player Plug-In,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX Web Player\npdivx32.dll (DivX, LLC)
FF Plugin-x32: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.0.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @acestream.net/acestreamplugin,version=3.0.4 -> C:\Users\Tobias\AppData\Roaming\ACEStream\player\npace_plugin.dll (Innovative Digital Technologies)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/GoogleTalkPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/O1DPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npo1d.dll (Google)
FF SearchPlugin: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\searchplugins\pornmd.xml
FF Extension: ProxTube - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\ich@maltegoetz.de.xpi [2014-10-11]
FF Extension: PornMD - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\PornMD@PornMD.xpi [2015-01-08]
FF Extension: Adblock Edge - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2014-07-15]
FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt [2013-04-04]

Chrome:
=======
CHR HomePage: Default ->
CHR Plugin: (Shockwave Flash) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Talk Plugin) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
CHR Plugin: (Google Talk Plugin Video Accelerator) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll No File
CHR Plugin: (Google Talk Plugin Video Renderer) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
CHR Plugin: (DivX VOD Helper Plug-in) - C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
CHR Plugin: (DivX Plus Web Player) - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U13) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (iTunes Application Detector) - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR Plugin: (Google Update) - C:\Users\Tobias\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Java Deployment Toolkit 7.0.130.20) - C:\Windows\SysWOW64\npDeployJava1.dll No File
CHR Profile: C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Voice Search Hotword (Beta)) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-04]
CHR Extension: (IRC QuakeNet webchat) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhaphniflbbhhfailihfckiifpbgeokd [2014-03-18]
CHR Extension: (AdBlock) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-02-03]
CHR Extension: (ProxMate - Proxy on steroids!) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgjpnmnpjmabddgmjdiaggacbololbjm [2013-04-13]
CHR Extension: (Stealthy) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieaebnkibonmpbhdaanjkmedikadnoje [2014-05-15]
CHR Extension: (Google Wallet) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-26]
CHR HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx [Not Found]

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 BstHdAndroidSvc; C:\Program Files (x86)\BlueStacks\HD-Service.exe [409304 2014-10-08] (BlueStack Systems, Inc.)
R2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [388824 2014-10-08] (BlueStack Systems, Inc.)
R2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [782040 2014-10-08] (BlueStack Systems, Inc.)
R2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [7618952 2014-12-09] (COMODO)
S3 cmdvirth; C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe [2265304 2014-12-09] (COMODO)
S3 Disc Soft Bus Service; C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe [723192 2013-11-14] (Disc Soft Ltd)
S2 MAGIX StartUp Analyze Service; C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe [186368 2010-11-04] (MAGIX AG) [File not signed]
R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1494304 2013-12-10] (NVIDIA Corporation)
R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [15129376 2013-12-10] (NVIDIA Corporation)
R2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1324104 2013-01-09] (pdfforge GbR)
R2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [795208 2013-01-09] (pdfforge GbR)
R2 RzOvlMon; C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe [32960 2014-04-18] (Razer, Inc.)
S3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [762320 2014-11-04] (Tunngle.net GmbH)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 BstHdDrv; C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [122072 2014-10-08] (BlueStack Systems)
R1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO)
R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO)
R1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO)
R3 dtscsibus; C:\Windows\System32\DRIVERS\dtscsibus.sys [29696 2014-04-18] (Disc Soft Ltd)
R1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO)
R3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad64v.sys [39200 2013-12-05] (NVIDIA Corporation)
S3 RTL8023x64; C:\Windows\System32\DRIVERS\Rtnic64.sys [51712 2009-06-10] (Realtek Semiconductor Corporation                          )
R3 RzDxgk; C:\Windows\system32\drivers\RzDxgk.sys [129472 2014-04-10] (Razer, Inc.)
R1 RzFilter; C:\Windows\system32\drivers\RzFilter.sys [74432 2014-04-10] (Razer, Inc.)
S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2014-01-13] ()
R3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)
R3 cpuz132; \??\C:\Users\Tobias\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-09 12:18 - 2015-01-09 12:18 - 00000626 _____ () C:\Users\Tobias\Desktop\JRT.txt
2015-01-09 11:05 - 2015-01-09 11:05 - 00003790 _____ () C:\Users\Tobias\Desktop\AdwCleaner[S1].txt
2015-01-09 10:48 - 2015-01-09 10:48 - 00000000 ____D () C:\Windows\ERUNT
2015-01-09 10:45 - 2015-01-09 10:45 - 01707939 _____ (Thisisu) C:\Users\Tobias\Desktop\JRT.exe
2015-01-09 10:30 - 2015-01-09 10:31 - 02191360 _____ () C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe
2015-01-09 00:00 - 2015-01-09 00:30 - 00000000 ____D () C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2015-01-08 23:41 - 2015-01-09 00:30 - 00000000 ____D () C:\Users\Tobias\Desktop\mbar
2015-01-08 23:38 - 2015-01-08 23:38 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe
2015-01-08 23:26 - 2015-01-08 23:27 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe
2015-01-08 23:09 - 2015-01-08 23:09 - 04187592 _____ (Kaspersky Lab ZAO) C:\Users\Tobias\Desktop\tdsskiller.exe
2015-01-08 22:29 - 2015-01-08 22:39 - 00000000 ____D () C:\Users\Tobias\Desktop\RevoUninstallerPortable
2015-01-08 22:27 - 2015-01-08 22:28 - 02785665 _____ (PortableApps.com) C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe
2015-01-08 18:57 - 2015-01-08 18:58 - 00000000 ____D () C:\Users\Tobias\AppData\Local\doubleTwist Corporation
2015-01-08 18:56 - 2015-01-08 18:56 - 00002073 _____ () C:\Users\Public\Desktop\doubleTwist.lnk
2015-01-08 18:56 - 2015-01-08 18:56 - 00000000 ____D () C:\ProgramData\Package Cache
2015-01-08 18:56 - 2015-01-08 18:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\doubleTwist
2015-01-08 18:55 - 2015-01-08 18:56 - 00000000 ____D () C:\Program Files (x86)\doubleTwist
2015-01-08 18:54 - 2015-01-08 18:54 - 21754656 _____ () C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe
2015-01-08 15:13 - 2015-01-08 15:13 - 00000000 ____D () C:\ProgramData\Wondershare
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\HMYGSetting
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00002041 _____ () C:\Users\Public\Desktop\Wondershare TunesGo.lnk
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Users\Tobias\.android
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2015-01-08 15:09 - 2015-01-08 15:09 - 00000000 ____D () C:\Program Files (x86)\Wondershare
2015-01-08 14:42 - 2015-01-08 14:42 - 01233827 _____ () C:\Users\Tobias\Desktop\GMER.log
2015-01-08 14:13 - 2015-01-08 14:13 - 00290808 _____ () C:\Windows\Minidump\010815-23400-01.dmp
2015-01-08 00:39 - 2015-01-08 00:39 - 00019039 _____ () C:\Users\Tobias\Downloads\Versuch-21.odt
2015-01-07 18:38 - 2015-01-08 16:39 - 00044092 _____ () C:\Users\Tobias\Desktop\Addition.txt
2015-01-07 18:37 - 2015-01-07 18:37 - 00380416 _____ () C:\Users\Tobias\Desktop\o5lw8g6g.exe
2015-01-07 18:36 - 2015-01-09 13:50 - 00022130 _____ () C:\Users\Tobias\Desktop\FRST.txt
2015-01-07 18:36 - 2015-01-09 13:50 - 00000000 ____D () C:\FRST
2015-01-07 18:35 - 2015-01-07 18:35 - 02124288 _____ (Farbar) C:\Users\Tobias\Desktop\FRST64.exe
2015-01-07 18:34 - 2015-01-08 16:36 - 00000474 _____ () C:\Users\Tobias\Desktop\defogger_disable.log
2015-01-07 18:34 - 2015-01-07 18:34 - 00000000 _____ () C:\Users\Tobias\defogger_reenable
2015-01-07 18:16 - 2015-01-07 18:16 - 00050477 _____ () C:\Users\Tobias\Desktop\Defogger.exe
2015-01-07 17:57 - 2015-01-07 17:57 - 00001102 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-01-07 17:31 - 2015-01-07 17:32 - 39544000 _____ (Wondershare ) C:\Users\Tobias\Downloads\TunesGoforAndroid.exe
2015-01-07 17:15 - 2015-01-07 17:15 - 00000000 ____D () C:\ProgramData\Samsung
2015-01-07 17:10 - 2015-01-07 17:15 - 00000000 ____D () C:\Users\Tobias\Documents\samsung
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\Documents\SelfMV
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Public\Documents\NativeFus_Log
2015-01-07 17:09 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Samsung
2015-01-07 17:09 - 2015-01-07 17:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung
2015-01-07 17:09 - 2015-01-07 17:09 - 00000000 ____D () C:\Program Files (x86)\Samsung
2015-01-07 17:09 - 2014-05-07 17:42 - 00144664 _____ (MAPILab Ltd. & Add-in Express Ltd.) C:\Windows\SysWOW64\secman.dll
2015-01-07 16:59 - 2015-01-07 16:59 - 42424368 _____ (Samsung Electronics Co., Ltd.) C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe
2015-01-04 10:55 - 2015-01-04 10:55 - 01052536 _____ () C:\Windows\Minidump\010415-30217-01.dmp
2015-01-04 10:54 - 2015-01-08 14:12 - 506874316 _____ () C:\Windows\MEMORY.DMP
2014-12-22 23:33 - 2014-12-26 23:30 - 00000000 ____D () C:\ProgramData\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\Users\Public\Documents\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle
2014-12-22 23:31 - 2014-12-22 23:31 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe
2014-12-22 23:30 - 2014-12-22 23:30 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe
2014-12-22 21:07 - 2014-12-22 23:34 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-12-21 09:48 - 2014-12-21 09:48 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-12-21 09:48 - 2014-12-21 09:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-12-21 00:56 - 2014-12-21 00:56 - 00000000 ____D () C:\Windows\system32\appraiser
2014-12-20 11:13 - 2014-12-20 11:13 - 00297226 _____ () C:\Windows\msxml4-KB954430-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00297222 _____ () C:\Windows\msxml4-KB973688-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00000000 ____D () C:\Program Files (x86)\MSXML 4.0
2014-12-20 11:11 - 2014-10-18 03:05 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2014-12-20 11:11 - 2014-10-18 02:33 - 03209728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 03:06 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 03:02 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2014-12-20 11:11 - 2014-07-07 02:40 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2014-12-20 11:11 - 2014-07-07 02:39 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 02:39 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 02:37 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2014-12-19 14:58 - 2014-12-19 15:02 - 00000000 ____D () C:\Users\Tobias\Downloads\D&D 5e books
2014-12-19 14:56 - 2014-12-19 14:56 - 00015892 _____ () C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent
2014-12-19 02:50 - 2014-12-26 18:17 - 00000000 ____D () C:\Windows\System32\Tasks\NCH Software
2014-12-19 02:50 - 2014-12-19 02:50 - 00001236 _____ () C:\Users\Public\Desktop\NCH Suite.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001122 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001110 _____ () C:\Users\Public\Desktop\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite
2014-12-16 21:53 - 2014-12-17 10:53 - 00001197 _____ () C:\Users\Tobias\Desktop\rap.txt
2014-12-15 01:33 - 2014-12-15 01:33 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\MAGIX
2014-12-15 01:14 - 2015-01-09 12:31 - 00000440 _____ () C:\Windows\Tasks\PCCT - MAGIX AG.job
2014-12-15 01:14 - 2014-12-15 01:14 - 00002828 _____ () C:\Windows\System32\Tasks\PCCT - MAGIX AG
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\OnDemandDump
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\MAGIX_MxTray
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\CrashLog
2014-12-15 01:13 - 2014-12-15 01:33 - 00000000 ____D () C:\ProgramData\MAGIX
2014-12-15 01:13 - 2014-12-15 01:13 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAGIX
2014-12-15 01:13 - 2014-12-15 01:13 - 00000000 ____D () C:\Program Files (x86)\MAGIX
2014-12-15 01:09 - 2014-12-15 01:09 - 41085024 _____ (MAGIX AG) C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe
2014-12-14 23:12 - 2014-12-14 23:15 - 00023362 _____ () C:\Users\Tobias\Desktop\SB2 AUFGABE3.odt
2014-12-11 02:36 - 2014-12-04 03:50 - 00830976 _____ (Microsoft Corporation) C:\Windows\system32\appraiser.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00741376 _____ (Microsoft Corporation) C:\Windows\system32\invagent.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00413184 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00396800 _____ (Microsoft Corporation) C:\Windows\system32\devinv.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00227328 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00192000 _____ (Microsoft Corporation) C:\Windows\system32\aepic.dll
2014-12-11 02:36 - 2014-12-04 03:44 - 01083392 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-12-11 02:36 - 2014-12-02 00:28 - 01232040 _____ (Microsoft Corporation) C:\Windows\system32\aitstatic.exe
2014-12-11 02:35 - 2014-11-27 02:43 - 00389296 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2014-12-11 02:35 - 2014-11-27 02:10 - 00342200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2014-12-11 02:35 - 2014-11-22 04:13 - 25059840 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-12-11 02:35 - 2014-11-22 04:06 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 04:06 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00580096 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 02885120 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:48 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:41 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 03:40 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-12-11 02:35 - 2014-11-22 03:37 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-12-11 02:35 - 2014-11-22 03:35 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-12-11 02:35 - 2014-11-22 03:34 - 06039552 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-12-11 02:35 - 2014-11-22 03:34 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 03:26 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-12-11 02:35 - 2014-11-22 03:22 - 19749376 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-12-11 02:35 - 2014-11-22 03:22 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 03:20 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 03:14 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 03:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-12-11 02:35 - 2014-11-22 03:08 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00501248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:06 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:01 - 02277888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-12-11 02:35 - 2014-11-22 02:59 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 02:58 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-12-11 02:35 - 2014-11-22 02:56 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-12-11 02:35 - 2014-11-22 02:54 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00718848 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-12-11 02:35 - 2014-11-22 02:47 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:46 - 02125312 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:45 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 02:43 - 14412800 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:40 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 02:36 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-12-11 02:35 - 2014-11-22 02:35 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 02:33 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 02:29 - 04299264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-12-11 02:35 - 2014-11-22 02:28 - 02358272 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-12-11 02:35 - 2014-11-22 02:23 - 00688640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:22 - 02052096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:21 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:15 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-12-11 02:35 - 2014-11-22 02:13 - 12836864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:03 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-12-11 02:35 - 2014-11-22 02:00 - 01888256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-12-11 02:35 - 2014-11-22 01:56 - 01307136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-12-11 02:35 - 2014-11-22 01:54 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2014-12-11 02:35 - 2014-11-11 04:09 - 01424384 _____ (Microsoft Corporation) C:\Windows\system32\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 03:44 - 01230336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 02:46 - 00119296 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdx.sys
2014-12-11 02:34 - 2014-11-08 04:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2014-12-11 02:34 - 2014-11-08 03:45 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2014-12-11 02:34 - 2014-10-30 03:03 - 00165888 _____ (Microsoft Corporation) C:\Windows\system32\charmap.exe
2014-12-11 02:34 - 2014-10-30 02:45 - 00155136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\charmap.exe
2014-12-11 02:34 - 2014-10-03 03:12 - 02020352 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00346624 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00181248 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 03:11 - 00266240 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2014-12-11 02:34 - 2014-10-03 02:45 - 01177088 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00248832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 02:44 - 00198656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2014-12-11 00:56 - 2014-12-11 00:57 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-09 13:45 - 2014-04-27 14:00 - 00040458 _____ () C:\Windows\setupact.log
2015-01-09 13:43 - 2012-08-21 03:51 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Skype
2015-01-09 13:41 - 2012-08-21 02:32 - 01474832 _____ () C:\Windows\system32\Drivers\sfi.dat
2015-01-09 13:35 - 2012-08-21 00:32 - 00001124 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-09 13:27 - 2013-11-12 15:45 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-09 13:07 - 2012-08-21 03:02 - 00000932 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-09 12:42 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-09 12:42 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-09 12:38 - 2012-08-20 23:57 - 01465935 _____ () C:\Windows\WindowsUpdate.log
2015-01-09 12:35 - 2012-11-07 19:17 - 00000000 ___RD () C:\Users\Tobias\Dropbox
2015-01-09 12:33 - 2012-11-07 19:14 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Dropbox
2015-01-09 12:31 - 2012-08-21 00:39 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-09 12:31 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-09 12:30 - 2014-07-30 20:05 - 00951250 _____ () C:\Windows\system32\Drivers\fvstore.dat
2015-01-09 10:39 - 2012-08-21 02:04 - 00204108 _____ () C:\Windows\PFRO.log
2015-01-09 10:38 - 2014-07-14 01:19 - 00000000 ____D () C:\AdwCleaner
2015-01-09 10:00 - 2014-07-14 01:19 - 00129752 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-09 09:58 - 2012-08-21 03:02 - 00000910 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-09 00:00 - 2014-07-14 01:19 - 00096472 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-08 22:35 - 2012-08-21 00:32 - 00001072 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-08 18:56 - 2012-11-06 01:20 - 00092624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfcm110u.dll
2015-01-08 18:56 - 2012-11-06 01:20 - 00073680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfc110esn.dll
2015-01-08 15:10 - 2014-10-20 19:21 - 00000000 ____D () C:\Program Files (x86)\iTunes
2015-01-08 15:09 - 2012-08-21 00:22 - 00000000 ____D () C:\Users\Tobias
2015-01-08 14:13 - 2014-06-13 19:33 - 00000000 ____D () C:\Windows\Minidump
2015-01-07 23:52 - 2012-08-21 19:59 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\TS3Client
2015-01-07 22:29 - 2014-11-02 13:37 - 00020491 _____ () C:\Users\Tobias\Downloads\Bartholomäus.ods
2015-01-07 17:57 - 2014-07-14 01:19 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes Anti-Malware
2015-01-07 17:09 - 2012-08-24 18:39 - 00000000 ___HD () C:\Program Files (x86)\InstallShield Installation Information
2015-01-04 10:55 - 2009-07-14 05:45 - 00309736 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-01-04 10:54 - 2012-10-12 13:12 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-01 23:53 - 2014-04-08 12:53 - 00000000 ____D () C:\The KMPlayer
2014-12-26 22:22 - 2014-04-07 18:25 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Paint.NET
2014-12-26 18:34 - 2012-08-21 00:32 - 00067200 _____ () C:\Users\Tobias\AppData\Local\GDIPFONTCACHEV1.DAT
2014-12-26 11:27 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\rescache
2014-12-24 15:13 - 2012-08-21 03:52 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Thunderbird
2014-12-23 00:00 - 2012-09-26 22:32 - 00219136 ___SH () C:\Users\Tobias\Thumbs.db
2014-12-22 23:33 - 2014-03-26 23:04 - 00000000 ____D () C:\Program Files (x86)\Tunngle
2014-12-22 23:33 - 2014-03-25 17:45 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Tunngle
2014-12-22 23:20 - 2012-08-22 19:18 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\vlc
2014-12-21 01:26 - 2012-08-23 00:00 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Adobe
2014-12-21 01:17 - 2013-11-12 15:45 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-12-21 01:17 - 2013-02-09 22:21 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-12-21 01:17 - 2013-02-09 22:21 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-12-21 00:56 - 2014-06-14 07:38 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\PolicyDefinitions
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\AppCompat
2014-12-20 11:20 - 2013-08-15 00:57 - 00000000 ____D () C:\Windows\system32\MRT
2014-12-20 11:13 - 2012-08-21 15:18 - 112710672 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-12-19 20:35 - 2014-04-18 20:00 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\uTorrent
2014-12-19 14:56 - 2014-11-29 20:04 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\.ACEStream
2014-12-16 22:02 - 2014-11-29 20:06 - 00000000 ___HD () C:\_acestream_cache_
2014-12-13 20:44 - 2012-11-07 19:17 - 00001021 _____ () C:\Users\Tobias\Desktop\Dropbox.lnk
2014-12-13 20:44 - 2012-11-07 19:15 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
2014-12-12 11:12 - 2014-05-15 12:25 - 00000000 ____D () C:\Windows\System32\Tasks\COMODO
2014-12-12 10:42 - 2009-07-14 18:58 - 00801286 _____ () C:\Windows\system32\perfh007.dat
2014-12-12 10:42 - 2009-07-14 18:58 - 00206086 _____ () C:\Windows\system32\perfc007.dat
2014-12-11 20:14 - 2014-09-22 10:14 - 00000000 ____D () C:\Users\Tobias\.maptool

Some content of TEMP:
====================
C:\Users\Tobias\AppData\Local\Temp\7z.dll
C:\Users\Tobias\AppData\Local\Temp\7z.exe
C:\Users\Tobias\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp4qtaam.dll
C:\Users\Tobias\AppData\Local\Temp\dtkill.exe
C:\Users\Tobias\AppData\Local\Temp\Executor.exe
C:\Users\Tobias\AppData\Local\Temp\Quarantine.exe
C:\Users\Tobias\AppData\Local\Temp\SetupAdmin.exe
C:\Users\Tobias\AppData\Local\Temp\sqlite3.dll
C:\Users\Tobias\AppData\Local\Temp\vcredist_x86-2010.exe
C:\Users\Tobias\AppData\Local\Temp\vcredist_x86-2012.exe
C:\Users\Tobias\AppData\Local\Temp\_is4603.exe
C:\Users\Tobias\AppData\Local\Temp\_isC729.exe
C:\Users\Tobias\AppData\Local\Temp\_isEDD.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-04 11:50

==================== End Of Log ============================
--- --- ---

--- --- ---




Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-09 13:52:54
Running from C:\Users\Tobias\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: COMODO Antivirus (Enabled - Up to date) {F0BC89B2-8937-0933-021B-B17D981F2A71}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Comodo Defense+ (Enabled - Up to date) {4BDD6856-AF0D-06BD-38AB-8A0FE39860CC}
FW: COMODO Firewall (Disabled) {C8870897-C358-086B-2944-184866CC6D0A}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

µTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\uTorrent) (Version: 3.4.2.35702 - BitTorrent Inc.)
Ace Stream Media 3.0.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\AceStream) (Version: 3.0.4 - Ace Stream Media)
Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)
Adobe Reader X (10.1.8) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.8 - Adobe Systems Incorporated)
A-PDF INFO Changer 2.0 (HKLM-x32\...\A-PDF INFO Changer_is1) (Version:  - A-PDF.com)
Apple Application Support (HKLM-x32\...\{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}) (Version: 3.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{BDD99690-3541-4619-9D2A-3CDDB3E15F9E}) (Version: 8.0.5.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Ashampoo Photo Optimizer 5 v.5.1.1 (HKLM-x32\...\Ashampoo Photo Optimizer 5_is1) (Version: 5.1.1 - Ashampoo GmbH & Co. KG)
BASE 5.5 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BASE 5.5) (Version:  - )
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
BitTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BitTorrent) (Version: 7.9.2.32692 - BitTorrent Inc.)
BlueStacks App Player (HKLM-x32\...\BlueStacks App Player) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
BlueStacks Notification Center (HKLM-x32\...\{8DCCC556-265B-478A-8B32-C12DA988BA74}) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
Bonjour (HKLM\...\{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}) (Version: 3.0.0.10 - Apple Inc.)
Codecs for Windows 7 Pack 4.0.5 (HKLM-x32\...\Codecs for Windows 7 Pack) (Version: 4.0.5 - Codecs for Windows 7 Pack)
COMODO Internet Security (HKLM\...\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}) (Version: 5.10.31649.2253 - COMODO Security Solutions Inc.)
CPUID CPU-Z 1.66.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
d20Pro (HKLM-x32\...\d20Pro) (Version:  - )
DAEMON Tools Ultra (HKLM-x32\...\DAEMON Tools Ultra) (Version: 2.1.0.0187 - Disc Soft Ltd)
DAoC Portal (HKLM-x32\...\{EC9359B3-2548-4DB1-B322-6D71A17501F9}) (Version: 2.8.2 - Dawn of Light)
DAOC-Charplan (HKLM-x32\...\DAOCCharplan) (Version:  - )
Dark Age of Camelot (HKLM-x32\...\Dark Age of Camelot) (Version:  - Electronic Arts)
Debut Video Capture Software (HKLM-x32\...\Debut) (Version: 2.05 - NCH Software)
DisplayFusion 4.1 (HKLM-x32\...\B076073A-5527-4f4f-B46B-B10692277DA2_is1) (Version: 4.1.0.0 - Binary Fortress Software)
DivX-Setup (HKLM-x32\...\DivX Setup) (Version: 2.6.1.90 - DivX, LLC)
doubleTwist Sync (HKLM-x32\...\doubleTwist) (Version: 4.0.4.19771 - doubleTwist Corporation)
Dropbox (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Dropbox) (Version: 3.0.3 - Dropbox, Inc.)
EroBottle 4.6  (HKLM-x32\...\EroBottle) (Version: 4.6 - Kai Ebersbach - www.erosoft.de)
EroBottle-Extensions-Editor Vers. 1.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\EroBottle-Extensions-Editor Vers. 1.4) (Version:  - )
Evernote v. 5.6.4 (HKLM-x32\...\{DFDF0BE2-2D71-11E4-9454-00163E98E7D6}) (Version: 5.6.4.4632 - Evernote Corp.)
Facebook Video Calling 1.2.0.287 (HKLM-x32\...\{B92C5909-1D37-4C51-8397-A28BB28E5DC3}) (Version: 1.2.287 - Skype Limited)
Fraps (remove only) (HKLM-x32\...\Fraps) (Version:  - )
GeForce Experience NvStream Client Components (Version: 1.6.28 - NVIDIA Corporation) Hidden
Genesis version Genesis Launcher 1.005 (HKLM-x32\...\{975e7799-c584-47f0-9c12-c1551f3e95f2}_is1) (Version: Genesis Launcher 1.005 - Pawel D. alias Laplume for Genesis.)
Google Chrome (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Google Chrome) (Version: 39.0.2171.95 - Google Inc.)
Google Talk Plugin (HKLM-x32\...\{0C5C1177-94C5-3EFB-A8BE-3F6AF1AF887F}) (Version: 5.38.6.0 - Google)
Hearthstone (HKLM-x32\...\Hearthstone) (Version:  - Blizzard Entertainment)
Hero Lab 4.1 (HKLM-x32\...\{760AA190-82DF-4A80-BE05-B9FEEC88946D}_is1) (Version: 4.1 - LWD Technology, Inc.)
iCloud (HKLM\...\{81E20D41-C277-4526-934D-F2380AF91B78}) (Version: 3.1.0.40 - Apple Inc.)
iTunes (HKLM\...\{2ABBBD91-91E5-4AD7-929A-FE15D1DC0576}) (Version: 12.0.1.26 - Apple Inc.)
Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.670 - Oracle)
JDownloader 0.9 (HKLM-x32\...\5513-1208-7298-9440) (Version: 0.9 - AppWork GmbH)
JMicron JMB36X Driver (HKLM-x32\...\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}) (Version: 1.17.65.11 - JMicron Technology Corp.)
Logitech Gaming Software 8.30 (HKLM\...\Logitech Gaming Software) (Version: 8.30.86 - Logitech Inc.)
LogMeIn Hamachi (HKLM-x32\...\LogMeIn Hamachi) (Version: 2.2.0.58 - LogMeIn, Inc.)
LogMeIn Hamachi (x32 Version: 2.2.0.58 - LogMeIn, Inc.) Hidden
MAGIX PC Check & Tuning Free 2011 (HKLM-x32\...\MAGIX_MSI_PC_Check_Tuning_Free_2011) (Version: 6.0.403.1050 - MAGIX AG)
MAGIX PC Check & Tuning Free 2011 (x32 Version: 6.0.403.1050 - MAGIX AG) Hidden
MAGIX Screenshare (HKLM-x32\...\{B63DFA23-5C10-44B4-881D-45EFBF4A4761}) (Version: 4.3.6.1987 - MAGIX AG)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106 (HKLM-x32\...\{8e70e4e1-06d7-470b-9f74-a51bef21088e}) (Version: 11.0.51106.1 - Microsoft Corporation)
MiKTeX 2.9 (HKLM-x32\...\MiKTeX 2.9) (Version: 2.9 - MiKTeX.org)
Mora's Ausrüstungsplaner (HKLM-x32\...\{8A33CE67-80FB-4469-9ED1-E5D116391F68}_is1) (Version: 1.72 - Mora)
MorphVOX Junior (HKLM-x32\...\{E6C7380F-15DD-445E-BA02-B7A180BA0A5A}) (Version: 2.8.1 - Screaming Bee)
Mozilla Firefox 34.0.5 (x86 de) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 de)) (Version: 34.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mozilla Thunderbird 31.3.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 31.3.0 (x86 de)) (Version: 31.3.0 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
NEF Codec (HKLM-x32\...\{D6506521-0959-4FA3-875F-E2E28830B0D2}) (Version: 1.00.0000 - Nikon)
NSU (HKLM-x32\...\{323F7AD9-1F4D-49E1-973B-80E1B6F1623A}) (Version: 1.00.1000 - Medion AG)
NVIDIA 3D Vision Controller-Treiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 334.89 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 334.89 - NVIDIA Corporation)
NVIDIA GeForce Experience 1.8.1 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 1.8.1 - NVIDIA Corporation)
NVIDIA Grafiktreiber 334.89 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 334.89 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.30.1 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.30.1 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.13.1220 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.13.1220 - NVIDIA Corporation)
NVIDIA Virtual Audio 1.2.19 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_VirtualAudio.Driver) (Version: 1.2.19 - NVIDIA Corporation)
OpenOffice.org 3.4.1 (HKLM-x32\...\{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}) (Version: 3.41.9593 - Apache Software Foundation)
Paint.NET v3.5.11 (HKLM\...\{72EF03F5-0507-4861-9A44-D99FD4C41418}) (Version: 3.61.0 - dotPDN LLC)
Patch Origins version 1.0.11 (HKLM-x32\...\{75147b12-6219-448d-886b-0a9a02d1e648}_is1) (Version: 1.0.11 - Pawel D. alias Laplume pour Origins.)
PCGen6000 (HKLM-x32\...\PCGen6000) (Version:  - )
PDF Architect (HKLM-x32\...\{80A07844-CA64-4DE4-AB61-D37DDBE8074F}) (Version: 1.0.52.8917 - pdfforge)
PDFCreator (HKLM-x32\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 1.6.2 - pdfforge)
QuickTime (HKLM-x32\...\{7BE15435-2D3E-4B58-867F-9C75BED0208C}) (Version: 7.71.80.42 - Apple Inc.)
RarZilla Free Unrar (HKLM-x32\...\RarZilla Free Unrar) (Version: 4.80 - Philipp Winterberg)
Razer Core (HKLM-x32\...\Razer Core) (Version: 1.0.1.66 - Razer Inc)
Razer Synapse 2.0 (HKLM-x32\...\{0D78BEE2-F8FF-4498-AF1A-3FF81CED8AC6}) (Version: 1.17.22 - Razer Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7083 - Realtek Semiconductor Corp.)
Samsung Kies3 (HKLM-x32\...\InstallShield_{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.)
Samsung Kies3 (x32 Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.) Hidden
Scrabble3D (HKLM-x32\...\{E11BBF69-C686-45B3-9267-CE44603B47AE}) (Version: 3.1.0.29 - Heiko Tietze)
SHIELD Streaming (Version: 1.6.85 - NVIDIA Corporation) Hidden
Sid Meier's Civilization 4 - Beyond the Sword (HKLM-x32\...\{32E4F0D2-C135-475E-A841-1D59A0D22989}) (Version: 3.19 - Firaxis Games)
Sid Meier's Civilization 4 - Warlords (HKLM-x32\...\{3E4B349F-10B5-4586-9D99-489A90A8B228}) (Version: 2.13 - Firaxis Games)
Sid Meier's Civilization 4 (HKLM-x32\...\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}) (Version: 1.74 - Firaxis Games)
Sid Meier's Civilization 4 (x32 Version: 1.00.0000 - Firaxis Games) Hidden
Skype™ 6.21 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 6.21.104 - Skype Technologies S.A.)
SlimDrivers (HKLM-x32\...\{A5457401-D56A-43F2-9524-78E54A7FC07A}) (Version: 2.2.32705 - SlimWare Utilities, Inc.)
Steam (HKLM-x32\...\Steam) (Version:  - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
TeamViewer 9 (HKLM-x32\...\TeamViewer 9) (Version: 9.0.27339 - TeamViewer)
TeXstudio 2.6.6 (HKLM-x32\...\TeXstudio_is1) (Version: 2.6.6 - Benito van der Zander)
The Elder Scrolls V: Skyrim (HKLM-x32\...\Steam App 72850) (Version:  - Bethesda Game Studios)
The KMPlayer (HKLM-x32\...\The KMPlayer) (Version: 3.8.0.122 - PandoraTV)
ThrashIRC version 2.9 (HKLM-x32\...\{D3C0BE0C-9761-4AC1-8CEF-B53796FEDE44}) (Version: 2.9.0 - Anthony Thrash Durbin)
TuneUp Utilities Language Pack (de-DE) (x32 Version: 13.0.3000.132 - TuneUp Software) Hidden
Tunngle Version Tunngle (HKLM-x32\...\Tunngle_is1) (Version: Tunngle - Tunngle.net GmbH)
VC80CRTRedist - 8.0.50727.6195 (x32 Version: 1.2.0 - DivX, Inc) Hidden
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: 5.4.7.0 - Elaborate Bytes)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Wondershare TunesGo(Version 5.0.0) (HKLM-x32\...\{ADBA24FE-D6F6-4B21-97F3-D58A327422E4}_is1) (Version: 5.0.0 - Wondershare)
x264vfw - H.264/MPEG-4 AVC codec (remove only) (HKLM-x32\...\x264vfw) (Version:  - )
Zune (HKLM\...\Zune) (Version: 04.08.2345.00 - Microsoft Corporation)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

==================== Restore Points  =========================

20-12-2014 11:09:53 Windows Update
21-12-2014 01:02:22 MAGIX Treiberinstallation
Chipset Device Software for G41 Express Chipset
21-12-2014 01:05:16 MAGIX Treiberinstallation
INF Update Utility 9.2.0.1025
21-12-2014 10:47:46 Windows Update
22-12-2014 19:39:08 MAGIX Treiberinstallation
Chipset Device Software for G41 Express Chipset
22-12-2014 20:07:28 MAGIX Treiberinstallation
INF Update Utility 9.2.0.1025
22-12-2014 23:32:29 Tunngle 5.0 Setup
04-01-2015 11:59:21 Geplanter Prüfpunkt
07-01-2015 17:08:45 Installed Samsung Kies3
08-01-2015 15:17:16 Gerätetreiber-Paketinstallation: Google, Inc.
08-01-2015 18:55:42 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106
08-01-2015 22:51:04 Revo Uninstaller's restore point - Overwolf
08-01-2015 23:04:59 Revo Uninstaller's restore point - SimilarWeb
08-01-2015 23:09:18 Revo Uninstaller's restore point - Copernic Desktop Search 4
08-01-2015 23:09:59 Installed Copernic Desktop Search 4

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {0ACE5948-49B8-4051-B091-2D7731DAB0AF} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2014-12-09] (COMODO)
Task: {1F4CE6EE-F11B-4D45-BD80-648A7AE51668} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {2149ACB9-406A-4799-B03D-E464744C55B0} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {3278CC75-2A4F-42E5-9E45-0B23993A37FC} - System32\Tasks\PCCT - MAGIX AG => C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe [2010-11-08] ()
Task: {435F4013-DAB5-42A2-8608-FE980F293497} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {4A6BB261-2823-48D6-B5FF-3605A1B5D549} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {691C49CE-11A0-45E9-9C8C-E65A79D92283} - System32\Tasks\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532} => pcalua.exe -a C:\Users\Tobias\Downloads\eb-edit-install-1.4.exe -d C:\Users\Tobias\Downloads
Task: {6EC5EE04-6804-4582-9F1B-F1D9319F54BF} - System32\Tasks\{2C2811EC-68D2-4790-A416-DCB51A70191C} => pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000
Task: {70CE8F9B-36A7-4EE3-AB38-59EED8E2D903} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {C6B6DD74-7D6C-4DD0-93D8-4DBEECDA58C8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {CA52BB50-4FB5-409E-B7E4-46F3F176FCC1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {D16C173F-EEF5-4641-ACAD-F5D7A5DCAF4F} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {D1C7621B-5C1D-4484-B24A-2BBB99883037} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {FB26CFD0-7289-4703-9BBC-9DC6E4546010} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-21] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\PCCT - MAGIX AG.job => C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe

==================== Loaded Modules (whitelisted) =============

2012-08-21 00:38 - 2014-02-08 18:42 - 00117024 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2010-11-08 18:08 - 2010-11-08 18:08 - 02644248 _____ () C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
2013-11-15 01:48 - 2013-11-15 01:48 - 01861968 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
2011-12-19 17:59 - 2013-04-15 18:39 - 00073424 _____ () C:\Program Files\COMODO\COMODO Internet Security\scanners\smart.cav
2014-01-20 13:17 - 2014-01-20 13:17 - 00073544 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
2014-10-11 12:05 - 2014-10-11 12:05 - 01044776 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
2010-11-04 12:21 - 2010-11-04 12:21 - 00635904 _____ () C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MFL_u_VC9.dll
2007-09-05 16:42 - 2007-09-05 16:42 - 00638976 _____ () C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\PlayRIpl.dll
2013-09-14 01:51 - 2013-09-14 01:51 - 00087952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\zlib1.dll
2013-09-14 01:50 - 2013-09-14 01:50 - 01242952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\libxml2.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00750080 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libGLESv2.dll
2015-01-09 12:32 - 2015-01-09 12:32 - 00043008 _____ () c:\users\tobias\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp4qtaam.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00047616 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libEGL.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00863744 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00200704 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00436576 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00318304 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll
2012-08-10 15:51 - 2012-08-10 15:51 - 00985088 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll
2013-11-15 01:49 - 2013-11-15 01:49 - 00100688 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 01077064 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\libglesv2.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 00211272 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\libegl.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 09009480 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\pdf.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 01677128 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\ffmpegsumo.dll
2014-12-22 21:07 - 2014-12-22 21:07 - 03339376 _____ () C:\Program Files (x86)\Mozilla Thunderbird\mozjs.dll
2014-12-22 21:07 - 2014-12-22 21:07 - 00158832 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll
2014-12-22 21:07 - 2014-12-22 21:07 - 00023152 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 14913352 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\PepperFlash\pepflashplayer.dll
2014-12-11 00:56 - 2014-12-11 00:57 - 03758192 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Windows\system32\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfc110esn.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfcm110u.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mbam.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mwac.sys:$CmdTcID
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
AlternateDataStreams: C:\Users\Tobias\Desktop\3+-+Kognitive+Aktivierung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Alpines - Cocoon - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Amanaemonesia - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Bruises - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\FRST64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Grimes - Vanessa (Official Video) - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben 1.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben mit Lösungen.PDF:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Aufgaben_und_Loesungen_zu_Logarithmen.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DieWinterkoenigin-Spielerleitfaden_80ff (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DS-Battlefield.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Falkengrunds_letzte_Hoffnung_f2d3.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Fitch-Formelsammlung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS-Blob.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS_Schlangenmensch.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GT_Klosterkarte.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Spielleiterinformationen_Finstermond_Module_als_Kampagne_00f6.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\TunesGoforAndroid.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Versuch-21.odt:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent:$CmdZnID

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"

==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\startupreg: BlueStacks Agent => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
MSCONFIG\startupreg: DAEMON Tools Ultra Agent => "C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe" -autorun
MSCONFIG\startupreg: Hoolapp Android => "C:\Users\Tobias\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized
MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent
MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
MSCONFIG\startupreg: VirtualCloneDrive => "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
MSCONFIG\startupreg: Wondershare Helper Compact.exe => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
MSCONFIG\startupreg: Zune Launcher => "C:\Program Files\Zune\ZuneLauncher.exe"

========================= Accounts: ==========================

Administrator (S-1-5-21-2764848105-337601815-2700051401-500 - Administrator - Disabled)
Gast (S-1-5-21-2764848105-337601815-2700051401-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2764848105-337601815-2700051401-1014 - Limited - Enabled)
Tobias (S-1-5-21-2764848105-337601815-2700051401-1000 - Administrator - Enabled) => C:\Users\Tobias

==================== Faulty Device Manager Devices =============

Name: Hamachi Network Interface
Description: Hamachi Network Interface
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: LogMeIn, Inc.
Service: hamachi
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/09/2015 00:34:20 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)


System errors:
=============
Error: (01/09/2015 00:34:23 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/09/2015 00:34:23 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/09/2015 00:34:20 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "BlueStacks Android Service" wurde mit folgendem Fehler beendet:
%%1064

Error: (01/09/2015 00:34:13 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Error: (01/09/2015 00:33:38 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "BlueStacks Android Service" wurde nicht richtig gestartet.

Error: (01/09/2015 00:32:17 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "LogMeIn Hamachi Tunneling Engine" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053

Error: (01/09/2015 00:32:17 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst LogMeIn Hamachi Tunneling Engine erreicht.

Error: (01/09/2015 00:30:38 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Peernetzwerk-Gruppenzuordnung" ist vom Dienst "Peer Name Resolution-Protokoll" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058


Microsoft Office Sessions:
=========================
Error: (01/09/2015 00:34:20 PM) (Source: BstHdAndroidSvc) (EventID: 0) (User: )
Description: Der Dienst kann nicht gestartet werden. System.ApplicationException: Cannot start service.  Service did not stop gracefully the last time it was run.
  bei BlueStacks.hyperDroid.Service.Service.OnStart(String[] args)
  bei System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)


==================== Memory info ===========================

Processor: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Percentage of memory in use: 64%
Total physical RAM: 6142.49 MB
Available physical RAM: 2161.22 MB
Total Pagefile: 12283.16 MB
Available Pagefile: 7215.85 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:596.07 GB) (Free:148.07 GB) NTFS
Drive d: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive e: () (Fixed) (Total:465.75 GB) (Free:37.81 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (NAS-SERVER) (CDROM) (Total:0.24 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596.2 GB) (Disk ID: 7E967411)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=596.1 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 115D115D)
Partition 1: (Active) - (Size=465.8 GB) - (Type=07 NTFS)

==================== End Of Log ============================






Zu allem Überfluss habe ich gerade enorme Probleme mit der Tastatur. Ich erinnere mich, dass die von mir angesprochene .tmp auf Tastaturtreiber zugreifen wollte. Jedenfalls habe ich gerade immer wieder das Problem, dass meine Tastatur ausfällt und "nicht installiert" werden kann.

schrauber 09.01.2015 17:29
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
Task: {691C49CE-11A0-45E9-9C8C-E65A79D92283} - System32\Tasks\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532} => pcalua.exe -a C:\Users\Tobias\Downloads\eb-edit-install-1.4.exe -d C:\Users\Tobias\Downloads
Emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.






ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Wilfried49 09.01.2015 18:45
Erster Log. Tastatur geht nicht, muss mit Bildschirmtastatur schreiben.

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-09 18:10:28 Run:1
Running from C:\Users\Tobias\Desktop
Loaded Profile: Tobias (Available profiles: Tobias)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Task: {691C49CE-11A0-45E9-9C8C-E65A79D92283} - System32\Tasks\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532} => pcalua.exe -a C:\Users\Tobias\Downloads\eb-edit-install-1.4.exe -d C:\Users\Tobias\Downloads
Emptytemp:
       
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{691C49CE-11A0-45E9-9C8C-E65A79D92283}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{691C49CE-11A0-45E9-9C8C-E65A79D92283}" => Key deleted successfully.
C:\Windows\System32\Tasks\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532} => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{4A09BFD2-B95A-4FE7-B0FB-2AAB11EC6532}" => Key deleted successfully.
EmptyTemp: => Removed 1.7 GB temporary data.


The system needed a reboot.

==== End of Fixlog 18:12:07 ====

schrauber 09.01.2015 19:54
Nach dem Reboot müsste die wieder gehen. Was ist das für ein Keyboard? ODer ist das ein Laptop. Dann Treiber neu laden.

Wilfried49 09.01.2015 20:02
ok. Eset dauert aber sicher noch eine Weile. Auf Tastatur steht Logitech und sie hat links zusätzlich 12 Tasten.

Nach 20% schon 22 Funde.

schrauber 09.01.2015 20:53
OK, da brauchts nen Extra Treiber. Tastatur mal abklemmen und wieder anklemmen. Oder bei Logitech auf der Seite den Treiber neu laden.

Wilfried49 10.01.2015 10:06
Ersteres habe ich schon versucht. Ich warte jetzt erstmal ESET ab - ist immer noch bei 27%...

Tastatur geht aber zumindest plötzlich wieder, war paar Stunden nicht am Rechner und kann jetzt schreiben!

So, ESET ist über Nacht fertig geworden:


Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=a307e9a23a40a945885dd14be242feae
# engine=21890
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-01-10 07:55:14
# local_time=2015-01-10 08:55:14 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='COMODO Antivirus'
# compatibility_mode=3074 16777213 100 84 55926 92604078 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 46967843 172506364 0 0
# scanned=658837
# found=88
# cleaned=0
# scan_time=51844
sh=E5131144C59C77EBB526F92544C391D2A7578283 ft=1 fh=c506046d362e26f8 vn="Variante von Win32/Toolbar.Iminent.E evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{1550584B-1E24-43AF-A50F-E869CC173E56}"
sh=090B08676792D722BD38A439DDF1E82693BA42A0 ft=1 fh=ef6f39fee99295c7 vn="MSIL/TrojanDropper.Agent.PG Trojaner" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{20B92907-0954-41FE-95BF-235F7953A4EC}"
sh=4F16CB3DB677D2CC9F2EA703B617C314B50BC8C4 ft=1 fh=4c084b46fd7c87aa vn="Variante von Win32/AirAdInstaller.A evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{226A7259-F9A0-4D33-87B1-77059EE11B29}"
sh=16279C89159705793861CC26AC2A281A6CD1BFDD ft=1 fh=ecd68e4c4673179f vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{300FD642-8C77-42EA-A44A-E04978D8294C}"
sh=B6DBEA3A1B959AA4B6209A70FA09264AC9F1C0BF ft=1 fh=6de9439b9e53bc54 vn="Variante von Win32/AirAdInstaller.A evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{303617A9-0837-4DE0-8507-091F5AFAB78E}"
sh=717002F75CFF2AE33759145CCA61937D4DCB0CE6 ft=1 fh=c88bd2338754e815 vn="Win32/InstalleRex.C evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{3A84FB5B-5D53-43F1-AAF6-FBC524B92E29}"
sh=6D12ECDA9F68D94717FBBFBD4F3914555D2BF41E ft=1 fh=ab76c81853d238be vn="Win32/Adware.1ClickDownload.M Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{4268AD37-4EEA-41FC-8026-E432F7A7A36B}"
sh=EE800AE4E89792488877D64EF6DDAFAD6EB07716 ft=1 fh=ac972c446813087b vn="Win32/InstalleRex.K evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{58ED5BC2-0D8E-45B2-9A85-646288889A11}"
sh=16279C89159705793861CC26AC2A281A6CD1BFDD ft=1 fh=ecd68e4c4673179f vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{5CDB65F8-4EFF-4752-934D-397B020E414E}"
sh=B21D8548E27B23C5CA4CC7F045287A5FBBF15618 ft=1 fh=4621e847e69fd955 vn="Variante von Win32/iLivid.A evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{72993D37-1564-44D0-912E-1F26D0C614E2}"
sh=81ACF5642730532D54AB1D288AD03A1E32099D5A ft=1 fh=e5d1dab8d1bfbc2b vn="Mehrere Bedrohungen" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{86892D7B-DFBF-4766-9E0C-E7665886F121}"
sh=B741EA8190010210EF71BF7359A3A8A23BED9B86 ft=1 fh=36a962898140d740 vn="Win32/InstalleRex.I evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{A19451F9-660B-4E59-85F2-C5A4DFEA2EC8}"
sh=E63C73DCF77DBF511EDA27A2FF2C6597F1D6090E ft=1 fh=2a4abf6250d3b479 vn="Win32/InstalleRex.K evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{A8D65BB8-3ED7-4C40-9224-5956B547417F}"
sh=2714DB0A06F74A4282CDDC307EA1599670422E09 ft=1 fh=dbe7f66a91f8fadc vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{A8DE549D-3C83-4DE4-8F32-F89124221BCF}"
sh=8312B13FA558A23847F6F07F5974FE5C73CB3689 ft=1 fh=3ef56acc8ebd8767 vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{C53AA90A-C5F0-4209-B521-B391329A1BC8}"
sh=42D79DEC549511961845FC3A0D7163A97EC9DA8F ft=1 fh=3dc1f428b292b609 vn="Win32/AdWare.1ClickDownload.AT Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{C73BDFD7-9A48-41F3-8BE1-A41144FBD51F}"
sh=41BD1208544CA6E1F222FA8FC59E87C45DF4BACC ft=1 fh=3f0ee9338233d9e7 vn="Variante von Win32/Amonetize.AW evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{C888AEED-55ED-4949-803B-F6E79F9BFD3C}"
sh=A1B3F551A08FBAADC772759529A6FD9050599B39 ft=1 fh=e5ad91cc27ce6780 vn="Win32/InstalleRex.L evtl. unerwünschte Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{C92BE2ED-45EC-41C8-93E6-77C197E45E50}"
sh=81ACF5642730532D54AB1D288AD03A1E32099D5A ft=1 fh=e5d1dab8d1bfbc2b vn="Mehrere Bedrohungen" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{D1161E29-0C3D-4902-BD55-E5174418A472}"
sh=0546A2A4EC3E909DB465E85F694BE303311776E0 ft=1 fh=70c14c603d93f7fc vn="Variante von Win32/Adware.MultiPlug.DW Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{D76FCC21-4FDA-408D-91B7-C50FEAEBF0FE}"
sh=9FEDDA5E2FBD7A1C43BA2D924AB1475AE96690C3 ft=1 fh=3daaad025b8f03d2 vn="NSIS/StartPage.CC Trojaner" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{DD3A74CF-95C0-4D86-A433-A2CB20FF71B5}"
sh=0546A2A4EC3E909DB465E85F694BE303311776E0 ft=1 fh=70c14c603d93f7fc vn="Variante von Win32/Adware.MultiPlug.DW Anwendung" ac=I fn="C:\ProgramData\Comodo\Cis\Quarantine\data\{FC4005B9-8C2A-4458-BC7C-71F2A6AB2BE5}"
sh=E5131144C59C77EBB526F92544C391D2A7578283 ft=1 fh=c506046d362e26f8 vn="Variante von Win32/Toolbar.Iminent.E evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{1550584B-1E24-43AF-A50F-E869CC173E56}"
sh=090B08676792D722BD38A439DDF1E82693BA42A0 ft=1 fh=ef6f39fee99295c7 vn="MSIL/TrojanDropper.Agent.PG Trojaner" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{20B92907-0954-41FE-95BF-235F7953A4EC}"
sh=4F16CB3DB677D2CC9F2EA703B617C314B50BC8C4 ft=1 fh=4c084b46fd7c87aa vn="Variante von Win32/AirAdInstaller.A evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{226A7259-F9A0-4D33-87B1-77059EE11B29}"
sh=16279C89159705793861CC26AC2A281A6CD1BFDD ft=1 fh=ecd68e4c4673179f vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{300FD642-8C77-42EA-A44A-E04978D8294C}"
sh=B6DBEA3A1B959AA4B6209A70FA09264AC9F1C0BF ft=1 fh=6de9439b9e53bc54 vn="Variante von Win32/AirAdInstaller.A evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{303617A9-0837-4DE0-8507-091F5AFAB78E}"
sh=717002F75CFF2AE33759145CCA61937D4DCB0CE6 ft=1 fh=c88bd2338754e815 vn="Win32/InstalleRex.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{3A84FB5B-5D53-43F1-AAF6-FBC524B92E29}"
sh=6D12ECDA9F68D94717FBBFBD4F3914555D2BF41E ft=1 fh=ab76c81853d238be vn="Win32/Adware.1ClickDownload.M Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{4268AD37-4EEA-41FC-8026-E432F7A7A36B}"
sh=EE800AE4E89792488877D64EF6DDAFAD6EB07716 ft=1 fh=ac972c446813087b vn="Win32/InstalleRex.K evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{58ED5BC2-0D8E-45B2-9A85-646288889A11}"
sh=16279C89159705793861CC26AC2A281A6CD1BFDD ft=1 fh=ecd68e4c4673179f vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{5CDB65F8-4EFF-4752-934D-397B020E414E}"
sh=B21D8548E27B23C5CA4CC7F045287A5FBBF15618 ft=1 fh=4621e847e69fd955 vn="Variante von Win32/iLivid.A evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{72993D37-1564-44D0-912E-1F26D0C614E2}"
sh=81ACF5642730532D54AB1D288AD03A1E32099D5A ft=1 fh=e5d1dab8d1bfbc2b vn="Mehrere Bedrohungen" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{86892D7B-DFBF-4766-9E0C-E7665886F121}"
sh=B741EA8190010210EF71BF7359A3A8A23BED9B86 ft=1 fh=36a962898140d740 vn="Win32/InstalleRex.I evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{A19451F9-660B-4E59-85F2-C5A4DFEA2EC8}"
sh=E63C73DCF77DBF511EDA27A2FF2C6597F1D6090E ft=1 fh=2a4abf6250d3b479 vn="Win32/InstalleRex.K evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{A8D65BB8-3ED7-4C40-9224-5956B547417F}"
sh=2714DB0A06F74A4282CDDC307EA1599670422E09 ft=1 fh=dbe7f66a91f8fadc vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{A8DE549D-3C83-4DE4-8F32-F89124221BCF}"
sh=8312B13FA558A23847F6F07F5974FE5C73CB3689 ft=1 fh=3ef56acc8ebd8767 vn="Win32/DomaIQ.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{C53AA90A-C5F0-4209-B521-B391329A1BC8}"
sh=42D79DEC549511961845FC3A0D7163A97EC9DA8F ft=1 fh=3dc1f428b292b609 vn="Win32/AdWare.1ClickDownload.AT Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{C73BDFD7-9A48-41F3-8BE1-A41144FBD51F}"
sh=41BD1208544CA6E1F222FA8FC59E87C45DF4BACC ft=1 fh=3f0ee9338233d9e7 vn="Variante von Win32/Amonetize.AW evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{C888AEED-55ED-4949-803B-F6E79F9BFD3C}"
sh=A1B3F551A08FBAADC772759529A6FD9050599B39 ft=1 fh=e5ad91cc27ce6780 vn="Win32/InstalleRex.L evtl. unerwünschte Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{C92BE2ED-45EC-41C8-93E6-77C197E45E50}"
sh=81ACF5642730532D54AB1D288AD03A1E32099D5A ft=1 fh=e5d1dab8d1bfbc2b vn="Mehrere Bedrohungen" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{D1161E29-0C3D-4902-BD55-E5174418A472}"
sh=0546A2A4EC3E909DB465E85F694BE303311776E0 ft=1 fh=70c14c603d93f7fc vn="Variante von Win32/Adware.MultiPlug.DW Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{D76FCC21-4FDA-408D-91B7-C50FEAEBF0FE}"
sh=9FEDDA5E2FBD7A1C43BA2D924AB1475AE96690C3 ft=1 fh=3daaad025b8f03d2 vn="NSIS/StartPage.CC Trojaner" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{DD3A74CF-95C0-4D86-A433-A2CB20FF71B5}"
sh=0546A2A4EC3E909DB465E85F694BE303311776E0 ft=1 fh=70c14c603d93f7fc vn="Variante von Win32/Adware.MultiPlug.DW Anwendung" ac=I fn="C:\Users\All Users\Comodo\Cis\Quarantine\data\{FC4005B9-8C2A-4458-BC7C-71F2A6AB2BE5}"
sh=2309C2C08085D24A55AC97DC8F3709BBE471C67B ft=1 fh=155f067dc1e09aa3 vn="Win32/SoftonicDownloader evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\SoftonicDownloader_fuer_screenshot-captor.exe"
sh=2FECC93DA46229F8203D6700F979BC9C9FCF2175 ft=1 fh=8095b2a075eed88e vn="Variante von Win32/DomaIQ.A evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\zipper.exe"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll"
sh=4E906571E7749DE5C2F2E74F7CDBAB131F0B874A ft=0 fh=0000000000000000 vn="Win32/Toolbar.Conduit.A evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\zcvnyu9n.default\extensions\{6c3a1de1-94ca-4ad6-acdf-c1324adc487b}\chrome\isohunt-vuze.jar"
sh=CE55BBBBAECD415840AC4D09762084A749DBA50A ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBK Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-6e0e8719"
sh=4A9F0A627FFE289F339A2DF6EA68808D47DBB5EA ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBL Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\7bb99554-6ba0ff51"
sh=CE55BBBBAECD415840AC4D09762084A749DBA50A ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBK Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\7adbb65d-36358016"
sh=4A9F0A627FFE289F339A2DF6EA68808D47DBB5EA ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBL Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-5418919a"
sh=861D9FCFC5C004CE608C195056CEF6265C2B8387 ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBM Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\42441975-201eda3b"
sh=861D9FCFC5C004CE608C195056CEF6265C2B8387 ft=0 fh=0000000000000000 vn="Java/TrojanDownloader.Agent.NBM Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\1f62c23a-1db7778c"
sh=55120BB6D8C0459C8765163B6326156F9760E022 ft=0 fh=0000000000000000 vn="NSIS/TrojanDownloader.Agent.NBL.Gen Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\dtp435.rar"
sh=165A9F72013586C25627CA173DC35B3C6D0EA81B ft=1 fh=250619b7e76b0f1d vn="Variante von Win32/1AntiVirus evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\loaristrojanremover.exe"
sh=107B051E8464BCB2FB307A9243F8E6198318300D ft=1 fh=25ec8fd9339a63ff vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Eigene Dateien\Datensicherung\Programme zum Systemstart\JDownloader_0.87.EXE"
sh=052A1CA2DF706B29AF5BA28FA4B4B2F1A908018A ft=0 fh=0000000000000000 vn="Win32/Toolbar.Conduit.A evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup-tbff-8.0.5.5.cab"
sh=96A82B9035B47C0BF3ECB14793379273BFEDE58B ft=1 fh=18948fe863f3a5cf vn="Variante von Win32/Toolbar.Babylon.H evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup.exe"
sh=0DDC9EFBCBB739ECBC9645E0D81144ACB0DC139F ft=1 fh=2cd04407df9b26ee vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\ConduitEngine\ConduitEngine.dll"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll"
sh=89014A3DB4AB1993E06792FA5EC64CDD94B3AACD ft=0 fh=0000000000000000 vn="Variante von Java/Exploit.Agent.W Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2281460751461722175.tmp"
sh=68D1CDA996291D942BAF5AE48D978716C31FAD73 ft=0 fh=0000000000000000 vn="Variante von Java/Exploit.CVE-2008-5353.D Trojaner" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2295504349341295268.tmp"
sh=11D4166D3D659F8325A98369687889CFBA798E93 ft=1 fh=57b7b704c1b22ac8 vn="Variante von Win32/Adware.Vomba.AA evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\uninstall.exe"
sh=E3EC04BC5E87A2810BBAB784B66A99A17E994F06 ft=1 fh=ac4e347debb9c471 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ToolbarUpdater_1293102164\autoUpdater.exe"
sh=FA8566D5C24955DF10379F76F80F6D70AEFF48BA ft=1 fh=bc0e194d346ad3af vn="Variante von Win32/Toolbar.MyWebSearch evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL"
sh=EE8E9AA90DAB1675D6ADBCCB8318C6B880CA867E ft=1 fh=6c9080b09543e532 vn="Win32/Toolbar.AskSBar evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL"
sh=E96C9DBCDD05D2AB2860F42645A261F0CBE460FE ft=1 fh=c71c001199b6936c vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Conduit\Community Alerts\Alert.dll"
sh=743CF6F7C346A3CF7BB0B81442DC14A7F3DA352D ft=1 fh=67b200ae242c58b1 vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Conduit\Community Alerts\Alert0.dll"
sh=419716F712489099B040AB846B565D808119B5E8 ft=1 fh=562d50baf79e8eca vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\ConduitEngine\ConduitEngin0.dll"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\ConduitEngine\ConduitEngine.dll"
sh=185A63C6A7CFD85E6D2F72BBECFBE9B38F4D448C ft=1 fh=c71c001172d4bfae vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll"
sh=EE8E9AA90DAB1675D6ADBCCB8318C6B880CA867E ft=1 fh=6c9080b09543e532 vn="Win32/Toolbar.AskSBar evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Trend Micro\HijackThis\backups\backup-20081206-203251-325.dll"
sh=7A9D933EAA5A8A32E3277862076CF6C8D6F707CF ft=1 fh=c71c001132b87c4e vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Trend Micro\HijackThis\backups\backup-20090325-183448-187.dll"
sh=75846491B7DED957820BDFBD353BC7E73180C0A6 ft=1 fh=858cfb6c13d1382c vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze\.install4j\i4j_extf_10_5p83tu.exe"
sh=FB7F6F8B615BEA2F6F16C2757F8C30C5A4204F9C ft=0 fh=0000000000000000 vn="Win32/Toolbar.Conduit.A evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze\.install4j\i4j_extf_8_5p83tu.xpi"
sh=5AD8114A571795AA58F76439BC0506B6504A78C2 ft=0 fh=0000000000000000 vn="Win32/Toolbar.Conduit.A evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze\.install4j\i4j_extf_9_5p83tu.xpi"
sh=3664B7B546B41FBFB469128DEA194DBA1AF556AC ft=1 fh=532d857584187cdc vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze_Remote\tbVuz0.dll"
sh=419716F712489099B040AB846B565D808119B5E8 ft=1 fh=562d50baf79e8eca vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze_Remote\tbVuz1.dll"
sh=57CD8DEAF43DF3A2F4703E5219A69935B119D0DB ft=1 fh=311781f1ea21501f vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze_Remote\tbVuz2.dll"
sh=169B4B79C8A0EF75FADC99587F3F8AD8ECA32EA6 ft=1 fh=af03aed950e7a7bd vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="E:\Programme\Vuze_Remote\tbVuze.dll"
sh=08CEF36631A14E6EF9BCD24271FF1A1077FB7600 ft=0 fh=0000000000000000 vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="E:\WINDOWS\Installer\eb9db.msi"
sh=7BA023CB1D1C60D516A31E37DEAC34127875E294 ft=0 fh=0000000000000000 vn="Win32/Adware.Virtumonde.NEO Anwendung" ac=I fn="E:\WINDOWS\system32\mkaadktt.ini"
sh=5701E4B00B24A9D580332CF5806BA2E871C9DF22 ft=0 fh=0000000000000000 vn="Win32/Adware.Virtumonde.NEO Anwendung" ac=I fn="E:\WINDOWS\system32\ndsbfgdf.ini"
sh=FE2E10532B6B12590C0D88DD06479C4AF51706F4 ft=0 fh=0000000000000000 vn="Win32/Adware.Virtumonde.NEO Anwendung" ac=I fn="E:\WINDOWS\system32\VvxbIRqr.ini"
sh=888E787D1DCE045CF299DB6A5AE87F9E8B36457F ft=0 fh=0000000000000000 vn="Win32/Adware.Virtumonde.NEO Anwendung" ac=I fn="E:\WINDOWS\system32\VvxbIRqr.ini2"
Code:
Results of screen317's Security Check version 0.99.93 
 Windows 7 Service Pack 1 x64 (UAC is enabled) 
 Internet Explorer 11 
``````````````Antivirus/Firewall Check:``````````````
 Windows Security Center service is not running! This report may not be accurate!
 WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
 TuneUp Utilities Language Pack (de-DE)
 Java 7 Update 67 
 Java version 32-bit out of Date!
 Adobe Flash Player 16.0.0.235 
 Adobe Reader 10.1.8 Adobe Reader out of Date! 
 Mozilla Firefox (34.0.5)
 Mozilla Thunderbird (31.3.0)
 Google Chrome (39.0.2171.71)
 Google Chrome (39.0.2171.95)
````````Process Check: objlist.exe by Laurent```````` 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-01-2015
Ran by Tobias (administrator) on TOBIAS-PC on 10-01-2015 09:59:14
Running from C:\Users\Tobias\Desktop
Loaded Profile: Tobias (Available profiles: Tobias)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: Chrome)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe
() C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
(Logitech Inc.) C:\Program Files\Logitech Gaming Software\LCore.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\HelperService.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\ConversionService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(Razer, Inc.) C:\Program Files (x86)\Razer\Core\64bit\RzOvlMon.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
(Dropbox, Inc.) C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(Razer Inc.) C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
() C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\APSDaemon.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\ink\InputPersonalization.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
(Google Inc.) C:\Users\Tobias\AppData\Local\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [Launch LCore] => C:\Program Files\Logitech Gaming Software\LCore.exe [6868280 2012-05-21] (Logitech Inc.)
HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297112 2014-12-09] (COMODO)
HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2531472 2015-01-09] (NVIDIA Corporation)
HKLM\...\Run: [ShadowPlay] => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2000-01-01] (Realtek Semiconductor)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2014-10-11] (Apple Inc.)
HKLM-x32\...\Run: [Razer Synapse] => C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe [444760 2014-03-07] (Razer Inc.)
HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe [43608 2000-01-01] ()
HKLM-x32\...\Run: [DivXUpdate] => C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1861968 2013-11-15] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [157480 2014-10-15] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [Google Update] => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-08-21] (Google Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [MobileDocuments] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: H - H:\virtuallyjenna-en.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545e5-c72a-11e3-b9a2-001d7da6420f} - H:\virtuallyjenna-en.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545ea-c72a-11e3-b9a2-001d7da6420f} - K:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f545f5-c72a-11e3-b9a2-001d7da6420f} - J:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {01f54604-c72a-11e3-b9a2-001d7da6420f} - L:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {09d7c289-0c19-11e4-8f46-001d7da6420f} - H:\LaunchU3.exe -a
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {1be2274b-c054-11e2-9cb2-806e6f6e6963} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {803984f0-0cc1-11e4-832f-001d7da6420f} - H:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {986a4d14-7c97-11e3-9eb2-001d7da6420f} - F:\autorun.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\MountPoints2: {fa311c55-52d6-11e3-957c-001d7da6420f} - H:\Startme.exe
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com?fr=fp-comodo
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
URLSearchHook: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Evernote extension -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default
FF Homepage: google.de
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_235.dll ()
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @divx.com/DivX Web Player Plug-In,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX Web Player\npdivx32.dll (DivX, LLC)
FF Plugin-x32: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.0.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @acestream.net/acestreamplugin,version=3.0.4 -> C:\Users\Tobias\AppData\Roaming\ACEStream\player\npace_plugin.dll (Innovative Digital Technologies)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/GoogleTalkPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/O1DPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npo1d.dll (Google)
FF SearchPlugin: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\searchplugins\pornmd.xml
FF Extension: ProxTube - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\ich@maltegoetz.de.xpi [2014-10-11]
FF Extension: PornMD - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\PornMD@PornMD.xpi [2015-01-08]
FF Extension: Adblock Edge - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2014-07-15]
FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt [2013-04-04]

Chrome:
=======
CHR HomePage: Default ->
CHR Plugin: (Shockwave Flash) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Google Talk Plugin) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
CHR Plugin: (Google Talk Plugin Video Accelerator) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll No File
CHR Plugin: (Google Talk Plugin Video Renderer) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
CHR Plugin: (DivX VOD Helper Plug-in) - C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
CHR Plugin: (DivX Plus Web Player) - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U13) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (iTunes Application Detector) - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR Plugin: (Google Update) - C:\Users\Tobias\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Java Deployment Toolkit 7.0.130.20) - C:\Windows\SysWOW64\npDeployJava1.dll No File
CHR Profile: C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Voice Search Hotword (Beta)) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-04]
CHR Extension: (IRC QuakeNet webchat) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhaphniflbbhhfailihfckiifpbgeokd [2014-03-18]
CHR Extension: (AdBlock) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-02-03]
CHR Extension: (ProxMate - Proxy on steroids!) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgjpnmnpjmabddgmjdiaggacbololbjm [2013-04-13]
CHR Extension: (Stealthy) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieaebnkibonmpbhdaanjkmedikadnoje [2014-05-15]
CHR Extension: (Google Wallet) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-26]
CHR HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx [Not Found]

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

Locked "BFE" service could not be unlocked. <===== ATTENTION

U2 BstHdAndroidSvc; C:\Program Files (x86)\BlueStacks\HD-Service.exe [409304 2014-10-08] (BlueStack Systems, Inc.)
U2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [388824 2014-10-08] (BlueStack Systems, Inc.)
U2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [782040 2014-10-08] (BlueStack Systems, Inc.)
U2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [7618952 2014-12-09] (COMODO)
U3 cmdvirth; C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe [2265304 2014-12-09] (COMODO)
U3 Disc Soft Bus Service; C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe [723192 2013-11-14] (Disc Soft Ltd)
U2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1701520 2015-01-09] (NVIDIA Corporation)
U2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [19823248 2015-01-09] (NVIDIA Corporation)
U2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1324104 2013-01-09] (pdfforge GbR)
U2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [795208 2013-01-09] (pdfforge GbR)
U2 RzOvlMon; C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe [32960 2014-04-18] (Razer, Inc.)
U3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [762320 2014-11-04] (Tunngle.net GmbH)
U2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1148560 2015-01-09] (NVIDIA Corporation)
U2 MAGIX StartUp Analyze Service; C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MXSAS.exe [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

U2 BstHdDrv; C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [122072 2014-10-08] (BlueStack Systems)
U1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO)
U1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO)
U1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO)
U3 dtscsibus; C:\Windows\System32\DRIVERS\dtscsibus.sys [29696 2014-04-18] (Disc Soft Ltd)
U1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO)
U5 MBAMSwissArmy; C:\Windows\System32\Drivers\MBAMSwissArmy.sys [129752 2015-01-09] (Malwarebytes Corporation)
U3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad64v.sys [38032 2015-01-09] (NVIDIA Corporation)
U3 RTL8023x64; C:\Windows\System32\DRIVERS\Rtnic64.sys [51712 2009-06-10] (Realtek Semiconductor Corporation                          )
U3 RzDxgk; C:\Windows\system32\drivers\RzDxgk.sys [129472 2014-04-10] (Razer, Inc.)
U1 RzFilter; C:\Windows\system32\drivers\RzFilter.sys [74432 2014-04-10] (Razer, Inc.)
U3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2014-01-13] ()
U3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)
U3 NvStreamKms; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [19600 2014-12-13] (NVIDIA Corporation)
U3 cpuz132; \??\C:\Users\Tobias\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [X]
U3 uwdiipod; \??\C:\Users\Tobias\AppData\Local\Temp\uwdiipod.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-10 09:51 - 2015-01-10 09:51 - 00852505 _____ () C:\Users\Tobias\Desktop\SecurityCheck.exe
2015-01-09 18:25 - 2015-01-09 18:26 - 02347384 _____ (ESET) C:\Users\Tobias\Desktop\esetsmartinstaller_deu.exe
2015-01-09 14:59 - 2015-01-09 14:59 - 00000000 ____D () C:\Program Files (x86)\AGEIA Technologies
2015-01-09 14:58 - 2015-01-09 14:58 - 00620176 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvStreaming.exe
2015-01-09 14:53 - 2015-01-09 14:58 - 01540240 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdagenco64.dll
2015-01-09 14:53 - 2015-01-09 14:58 - 00195728 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvhda64v.sys
2015-01-09 14:53 - 2015-01-09 14:58 - 00030536 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdap64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 25460552 _____ (NVIDIA Corporation) C:\Windows\system32\nvcompiler.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 13288360 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 10770120 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 10345280 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys
2015-01-09 14:53 - 2015-01-09 14:55 - 01895056 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6434709.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00994384 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshimx.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00968336 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00942400 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00928072 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00906560 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00876976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvumdshim.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00353224 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00306328 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 24764232 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 20465808 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcompiler.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 17264312 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dumx.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 13202520 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 10710160 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 03610440 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 03248968 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 01556624 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6434709.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 00178632 _____ (NVIDIA Corporation) C:\Windows\system32\nvinitx.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 00165760 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvinit.dll
2015-01-09 14:42 - 2014-12-13 01:12 - 01715224 _____ (NVIDIA Corporation) C:\Windows\system32\nvspbridge64.dll
2015-01-09 14:42 - 2014-12-13 01:12 - 01291464 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspbridge.dll
2015-01-09 14:41 - 2015-01-09 14:41 - 00038032 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad64v.sys
2015-01-09 14:41 - 2015-01-09 14:41 - 00032400 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvaudcap32v.dll
2015-01-09 12:26 - 2015-01-09 12:30 - 00030256 _____ () C:\Users\Tobias\Desktop\Addition.txt
2015-01-09 12:24 - 2015-01-10 10:01 - 00022176 _____ () C:\Users\Tobias\Desktop\FRST.txt
2015-01-09 12:18 - 2015-01-09 12:18 - 00000626 _____ () C:\Users\Tobias\Desktop\JRT.txt
2015-01-09 11:05 - 2015-01-09 11:05 - 00003790 _____ () C:\Users\Tobias\Desktop\AdwCleaner[S1].txt
2015-01-09 10:48 - 2015-01-09 10:48 - 00000000 ____D () C:\Windows\ERUNT
2015-01-09 10:45 - 2015-01-09 10:45 - 01707939 _____ (Thisisu) C:\Users\Tobias\Desktop\JRT.exe
2015-01-09 10:30 - 2015-01-09 10:31 - 02191360 _____ () C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe
2015-01-09 00:00 - 2015-01-09 00:30 - 00000000 ____D () C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2015-01-08 23:41 - 2015-01-09 00:30 - 00000000 ____D () C:\Users\Tobias\Desktop\mbar
2015-01-08 23:38 - 2015-01-08 23:38 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe
2015-01-08 23:26 - 2015-01-08 23:27 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe
2015-01-08 23:09 - 2015-01-08 23:09 - 04187592 _____ (Kaspersky Lab ZAO) C:\Users\Tobias\Desktop\tdsskiller.exe
2015-01-08 22:29 - 2015-01-08 22:39 - 00000000 ____D () C:\Users\Tobias\Desktop\RevoUninstallerPortable
2015-01-08 22:27 - 2015-01-08 22:28 - 02785665 _____ (PortableApps.com) C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe
2015-01-08 18:57 - 2015-01-08 18:58 - 00000000 ____D () C:\Users\Tobias\AppData\Local\doubleTwist Corporation
2015-01-08 18:56 - 2015-01-08 18:56 - 00002073 _____ () C:\Users\Public\Desktop\doubleTwist.lnk
2015-01-08 18:56 - 2015-01-08 18:56 - 00000000 ____D () C:\ProgramData\Package Cache
2015-01-08 18:56 - 2015-01-08 18:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\doubleTwist
2015-01-08 18:55 - 2015-01-08 18:56 - 00000000 ____D () C:\Program Files (x86)\doubleTwist
2015-01-08 18:54 - 2015-01-08 18:54 - 21754656 _____ () C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe
2015-01-08 16:59 - 2015-01-08 16:59 - 17927749 _____ () C:\Users\Tobias\Desktop\GMER.log
2015-01-08 15:13 - 2015-01-08 15:13 - 00000000 ____D () C:\ProgramData\Wondershare
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\HMYGSetting
2015-01-08 14:13 - 2015-01-08 14:13 - 00290808 _____ () C:\Windows\Minidump\010815-23400-01.dmp
2015-01-08 00:39 - 2015-01-08 00:39 - 00019039 _____ () C:\Users\Tobias\Downloads\Versuch-21.odt
2015-01-08 00:32 - 2015-01-08 00:32 - 15103931 _____ () C:\Users\Tobias\Desktop\gmer.txt
2015-01-07 18:37 - 2015-01-07 18:37 - 00380416 _____ () C:\Users\Tobias\Desktop\o5lw8g6g.exe
2015-01-07 18:36 - 2015-01-09 18:12 - 00000000 ____D () C:\FRST
2015-01-07 18:35 - 2015-01-07 18:35 - 02124288 _____ (Farbar) C:\Users\Tobias\Desktop\FRST64.exe
2015-01-07 18:34 - 2015-01-08 16:36 - 00000474 _____ () C:\Users\Tobias\Desktop\defogger_disable.log
2015-01-07 18:34 - 2015-01-07 18:34 - 00000000 _____ () C:\Users\Tobias\defogger_reenable
2015-01-07 18:16 - 2015-01-07 18:16 - 00050477 _____ () C:\Users\Tobias\Desktop\Defogger.exe
2015-01-07 17:57 - 2015-01-07 17:57 - 00001102 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-01-07 17:35 - 2015-01-07 17:35 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Wondershare
2015-01-07 17:35 - 2015-01-07 17:35 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Wondershare
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Users\Tobias\.android
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Program Files (x86)\Wondershare
2015-01-07 17:31 - 2015-01-07 17:32 - 39544000 _____ (Wondershare ) C:\Users\Tobias\Downloads\TunesGoforAndroid.exe
2015-01-07 17:15 - 2015-01-07 17:15 - 00000000 ____D () C:\ProgramData\Samsung
2015-01-07 17:10 - 2015-01-07 17:15 - 00000000 ____D () C:\Users\Tobias\Documents\samsung
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\Documents\SelfMV
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Public\Documents\NativeFus_Log
2015-01-07 17:03 - 2015-01-07 17:03 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Samsung
2015-01-07 17:03 - 2015-01-07 17:03 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung
2015-01-07 17:03 - 2014-05-07 17:42 - 00144664 _____ (MAPILab Ltd. & Add-in Express Ltd.) C:\Windows\SysWOW64\secman.dll
2015-01-07 17:02 - 2015-01-07 17:02 - 00000000 ____D () C:\Program Files (x86)\Samsung
2015-01-07 16:59 - 2015-01-07 16:59 - 42424368 _____ (Samsung Electronics Co., Ltd.) C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe
2015-01-04 10:55 - 2015-01-04 10:55 - 01052536 _____ () C:\Windows\Minidump\010415-30217-01.dmp
2015-01-04 10:54 - 2015-01-08 14:12 - 506874316 _____ () C:\Windows\MEMORY.DMP
2014-12-22 23:33 - 2014-12-26 23:30 - 00000000 ____D () C:\ProgramData\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\Users\Public\Documents\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle
2014-12-22 23:31 - 2014-12-22 23:31 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe
2014-12-22 23:30 - 2014-12-22 23:30 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe
2014-12-22 21:07 - 2014-12-22 23:34 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-12-21 09:48 - 2014-12-21 09:48 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-12-21 09:48 - 2014-12-21 09:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-12-21 00:56 - 2014-12-21 00:56 - 00000000 ____D () C:\Windows\system32\appraiser
2014-12-20 11:13 - 2014-12-20 11:13 - 00297226 _____ () C:\Windows\msxml4-KB954430-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00297222 _____ () C:\Windows\msxml4-KB973688-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00000000 ____D () C:\Program Files (x86)\MSXML 4.0
2014-12-20 11:11 - 2014-10-18 03:05 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2014-12-20 11:11 - 2014-10-18 02:33 - 03209728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 03:06 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 03:02 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2014-12-20 11:11 - 2014-07-07 02:40 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2014-12-20 11:11 - 2014-07-07 02:39 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 02:39 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 02:37 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2014-12-19 14:58 - 2014-12-19 15:02 - 00000000 ____D () C:\Users\Tobias\Downloads\D&D 5e books
2014-12-19 14:56 - 2014-12-19 14:56 - 00015892 _____ () C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent
2014-12-19 02:50 - 2014-12-26 18:17 - 00000000 ____D () C:\Windows\System32\Tasks\NCH Software
2014-12-19 02:50 - 2014-12-19 02:50 - 00001236 _____ () C:\Users\Public\Desktop\NCH Suite.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001122 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001110 _____ () C:\Users\Public\Desktop\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite
2014-12-16 21:53 - 2014-12-17 10:53 - 00001197 _____ () C:\Users\Tobias\Desktop\rap.txt
2014-12-15 01:33 - 2014-12-15 01:33 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\MAGIX
2014-12-15 01:14 - 2014-12-15 01:14 - 00002828 _____ () C:\Windows\System32\Tasks\PCCT - MAGIX AG
2014-12-15 01:14 - 2014-12-15 01:14 - 00000000 ____D () C:\Users\Tobias\Documents\MAGIX_MxTray
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Users\Tobias\Documents\OnDemandDump
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Users\Tobias\Documents\CrashLog
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAGIX
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\ProgramData\MAGIX
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Program Files (x86)\MAGIX
2014-12-15 01:11 - 2014-12-15 01:12 - 00000000 ____D () C:\134ccbc360e05d682fe482cb
2014-12-15 01:09 - 2014-12-15 01:09 - 41085024 _____ (MAGIX AG) C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe
2014-12-14 23:12 - 2014-12-14 23:15 - 00023362 _____ () C:\Users\Tobias\Desktop\SB2 AUFGABE3.odt
2014-12-12 11:08 - 2014-12-12 11:08 - 01764715 _____ () C:\Windows\WindowsUpdate.log
2014-12-11 02:36 - 2014-12-04 03:50 - 00830976 _____ (Microsoft Corporation) C:\Windows\system32\appraiser.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00741376 _____ (Microsoft Corporation) C:\Windows\system32\invagent.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00413184 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00396800 _____ (Microsoft Corporation) C:\Windows\system32\devinv.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00227328 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00192000 _____ (Microsoft Corporation) C:\Windows\system32\aepic.dll
2014-12-11 02:36 - 2014-12-04 03:44 - 01083392 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-12-11 02:36 - 2014-12-02 00:28 - 01232040 _____ (Microsoft Corporation) C:\Windows\system32\aitstatic.exe
2014-12-11 02:35 - 2014-11-27 02:43 - 00389296 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2014-12-11 02:35 - 2014-11-27 02:10 - 00342200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2014-12-11 02:35 - 2014-11-22 04:13 - 25059840 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-12-11 02:35 - 2014-11-22 04:06 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 04:06 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00580096 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 02885120 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:48 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:41 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 03:40 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-12-11 02:35 - 2014-11-22 03:37 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-12-11 02:35 - 2014-11-22 03:35 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-12-11 02:35 - 2014-11-22 03:34 - 06039552 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-12-11 02:35 - 2014-11-22 03:34 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 03:26 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-12-11 02:35 - 2014-11-22 03:22 - 19749376 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-12-11 02:35 - 2014-11-22 03:22 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 03:20 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 03:14 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 03:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-12-11 02:35 - 2014-11-22 03:08 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00501248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:06 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:01 - 02277888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-12-11 02:35 - 2014-11-22 02:59 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 02:58 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-12-11 02:35 - 2014-11-22 02:56 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-12-11 02:35 - 2014-11-22 02:54 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00718848 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-12-11 02:35 - 2014-11-22 02:47 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:46 - 02125312 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:45 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 02:43 - 14412800 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:40 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 02:36 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-12-11 02:35 - 2014-11-22 02:35 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 02:33 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 02:29 - 04299264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-12-11 02:35 - 2014-11-22 02:28 - 02358272 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-12-11 02:35 - 2014-11-22 02:23 - 00688640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:22 - 02052096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:21 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:15 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-12-11 02:35 - 2014-11-22 02:13 - 12836864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:03 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-12-11 02:35 - 2014-11-22 02:00 - 01888256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-12-11 02:35 - 2014-11-22 01:56 - 01307136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-12-11 02:35 - 2014-11-22 01:54 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2014-12-11 02:35 - 2014-11-11 04:09 - 01424384 _____ (Microsoft Corporation) C:\Windows\system32\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 03:44 - 01230336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 02:46 - 00119296 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdx.sys
2014-12-11 02:34 - 2014-11-08 04:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2014-12-11 02:34 - 2014-11-08 03:45 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2014-12-11 02:34 - 2014-10-30 03:03 - 00165888 _____ (Microsoft Corporation) C:\Windows\system32\charmap.exe
2014-12-11 02:34 - 2014-10-30 02:45 - 00155136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\charmap.exe
2014-12-11 02:34 - 2014-10-03 03:12 - 02020352 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00346624 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00181248 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 03:11 - 00266240 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2014-12-11 02:34 - 2014-10-03 02:45 - 01177088 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00248832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 02:44 - 00198656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2014-12-11 00:56 - 2014-12-11 00:57 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-10 09:53 - 2014-07-30 20:05 - 00952376 _____ () C:\Windows\system32\Drivers\fvstore.dat
2015-01-10 09:53 - 2012-08-21 02:32 - 01474832 _____ () C:\Windows\system32\Drivers\sfi.dat
2015-01-10 09:35 - 2012-08-21 00:32 - 00001124 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-10 09:27 - 2013-11-12 15:45 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-10 07:07 - 2012-08-21 03:02 - 00000932 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-10 04:07 - 2012-08-21 03:02 - 00000910 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-10 01:05 - 2012-08-21 00:32 - 00001072 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-10 00:54 - 2014-04-27 14:00 - 00041757 _____ () C:\Windows\setupact.log
2015-01-09 18:26 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-09 18:26 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-09 18:18 - 2012-11-07 19:17 - 00000000 ___RD () C:\Users\Tobias\Dropbox
2015-01-09 18:15 - 2012-11-07 19:14 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Dropbox
2015-01-09 18:13 - 2012-08-21 02:04 - 00204448 _____ () C:\Windows\PFRO.log
2015-01-09 18:13 - 2012-08-21 00:39 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-09 18:13 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-09 16:05 - 2012-08-21 00:22 - 00000000 ____D () C:\Users\Tobias
2015-01-09 15:00 - 2014-01-13 21:56 - 00000000 ____D () C:\Users\Tobias\AppData\Local\NVIDIA Corporation
2015-01-09 14:59 - 2012-08-21 00:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
2015-01-09 14:59 - 2012-08-21 00:28 - 00000000 ____D () C:\Program Files (x86)\NVIDIA Corporation
2015-01-09 14:56 - 2012-08-21 00:38 - 00935240 _____ (NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
2015-01-09 14:55 - 2013-02-25 23:32 - 18594432 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2umx.dll
2015-01-09 14:55 - 2013-02-25 23:32 - 03293136 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi64.dll
2015-01-09 14:55 - 2013-02-25 23:32 - 02897824 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvapi.dll
2015-01-09 14:55 - 2012-08-21 00:28 - 00000000 ____D () C:\Program Files\NVIDIA Corporation
2015-01-09 14:54 - 2014-02-19 14:19 - 16040184 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll
2015-01-09 14:54 - 2013-02-25 23:32 - 32099472 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll
2015-01-09 14:54 - 2013-02-25 23:32 - 14128496 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll
2015-01-09 14:49 - 2012-08-21 03:51 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Skype
2015-01-09 14:42 - 2012-08-21 00:28 - 00000000 ____D () C:\ProgramData\NVIDIA Corporation
2015-01-09 14:41 - 2014-01-13 21:43 - 00035472 _____ (NVIDIA Corporation) C:\Windows\system32\nvaudcap64v.dll
2015-01-09 10:38 - 2014-07-14 01:19 - 00000000 ____D () C:\AdwCleaner
2015-01-09 10:00 - 2014-07-14 01:19 - 00129752 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-09 00:00 - 2014-07-14 01:19 - 00096472 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-08 18:56 - 2012-11-06 01:20 - 00092624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfcm110u.dll
2015-01-08 18:56 - 2012-11-06 01:20 - 00073680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfc110esn.dll
2015-01-08 15:10 - 2014-10-20 19:21 - 00000000 ____D () C:\Program Files (x86)\iTunes
2015-01-08 14:13 - 2014-06-13 19:33 - 00000000 ____D () C:\Windows\Minidump
2015-01-07 23:52 - 2012-08-21 19:59 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\TS3Client
2015-01-07 22:29 - 2014-11-02 13:37 - 00020491 _____ () C:\Users\Tobias\Downloads\Bartholomäus.ods
2015-01-07 17:57 - 2014-07-14 01:19 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes Anti-Malware
2015-01-07 17:09 - 2012-08-24 18:39 - 00000000 ___HD () C:\Program Files (x86)\InstallShield Installation Information
2015-01-04 10:55 - 2009-07-14 05:45 - 00309736 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-01-04 10:54 - 2012-10-12 13:12 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-01 23:53 - 2014-04-08 12:53 - 00000000 ____D () C:\The KMPlayer
2014-12-26 22:22 - 2014-04-07 18:25 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Paint.NET
2014-12-26 18:34 - 2012-08-21 00:32 - 00067200 _____ () C:\Users\Tobias\AppData\Local\GDIPFONTCACHEV1.DAT
2014-12-26 11:27 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\rescache
2014-12-24 15:13 - 2012-08-21 03:52 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Thunderbird
2014-12-23 00:00 - 2012-09-26 22:32 - 00219136 ___SH () C:\Users\Tobias\Thumbs.db
2014-12-22 23:33 - 2014-03-26 23:04 - 00000000 ____D () C:\Program Files (x86)\Tunngle
2014-12-22 23:33 - 2014-03-25 17:45 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Tunngle
2014-12-22 23:20 - 2012-08-22 19:18 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\vlc
2014-12-21 01:26 - 2012-08-23 00:00 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Adobe
2014-12-21 01:17 - 2013-11-12 15:45 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-12-21 01:17 - 2013-02-09 22:21 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-12-21 01:17 - 2013-02-09 22:21 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-12-21 00:56 - 2014-06-14 07:38 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\PolicyDefinitions
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\AppCompat
2014-12-20 11:20 - 2013-08-15 00:57 - 00000000 ____D () C:\Windows\system32\MRT
2014-12-20 11:13 - 2012-08-21 15:18 - 112710672 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-12-19 20:35 - 2014-04-18 20:00 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\uTorrent
2014-12-19 14:56 - 2014-11-29 20:04 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\.ACEStream
2014-12-16 22:02 - 2014-11-29 20:06 - 00000000 ___HD () C:\_acestream_cache_
2014-12-13 20:44 - 2012-11-07 19:17 - 00001021 _____ () C:\Users\Tobias\Desktop\Dropbox.lnk
2014-12-13 20:44 - 2012-11-07 19:15 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
2014-12-13 11:08 - 2014-02-19 14:18 - 00027983 _____ () C:\Windows\system32\nvinfo.pb
2014-12-13 09:03 - 2012-08-21 00:38 - 06859408 _____ (NVIDIA Corporation) C:\Windows\system32\nvcpl.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 03513488 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvc64.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 02558608 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvcr.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 00386368 _____ (NVIDIA Corporation) C:\Windows\system32\nvmctray.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 00062608 _____ (NVIDIA Corporation) C:\Windows\system32\nvshext.dll
2014-12-13 01:12 - 2014-01-13 21:53 - 02824504 _____ (NVIDIA Corporation) C:\Windows\system32\nvspcap64.dll
2014-12-13 01:12 - 2014-01-13 21:53 - 02210040 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspcap.dll
2014-12-13 00:11 - 2012-08-21 00:38 - 04151176 _____ () C:\Windows\system32\nvcoproc.bin
2014-12-12 11:12 - 2014-05-15 12:25 - 00000000 ____D () C:\Windows\System32\Tasks\COMODO
2014-12-12 10:42 - 2009-07-14 18:58 - 00801286 _____ () C:\Windows\system32\perfh007.dat
2014-12-12 10:42 - 2009-07-14 18:58 - 00206086 _____ () C:\Windows\system32\perfc007.dat
2014-12-11 20:14 - 2014-09-22 10:14 - 00000000 ____D () C:\Users\Tobias\.maptool

Some content of TEMP:
====================
C:\Users\Tobias\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpzfnldo.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-04 11:50

==================== End Of Log ============================
--- --- ---

--- --- ---




Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-10 10:02:10
Running from C:\Users\Tobias\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)


==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

µTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\uTorrent) (Version: 3.4.2.35702 - BitTorrent Inc.)
Ace Stream Media 3.0.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\AceStream) (Version: 3.0.4 - Ace Stream Media)
Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)
Adobe Reader X (10.1.8) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.8 - Adobe Systems Incorporated)
A-PDF INFO Changer 2.0 (HKLM-x32\...\A-PDF INFO Changer_is1) (Version:  - A-PDF.com)
Apple Application Support (HKLM-x32\...\{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}) (Version: 3.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{BDD99690-3541-4619-9D2A-3CDDB3E15F9E}) (Version: 8.0.5.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Ashampoo Photo Optimizer 5 v.5.1.1 (HKLM-x32\...\Ashampoo Photo Optimizer 5_is1) (Version: 5.1.1 - Ashampoo GmbH & Co. KG)
BASE 5.5 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BASE 5.5) (Version:  - )
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
BitTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BitTorrent) (Version: 7.9.2.32692 - BitTorrent Inc.)
BlueStacks App Player (HKLM-x32\...\BlueStacks App Player) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
BlueStacks Notification Center (HKLM-x32\...\{8DCCC556-265B-478A-8B32-C12DA988BA74}) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
Bonjour (HKLM\...\{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}) (Version: 3.0.0.10 - Apple Inc.)
Codecs for Windows 7 Pack 4.0.5 (HKLM-x32\...\Codecs for Windows 7 Pack) (Version: 4.0.5 - Codecs for Windows 7 Pack)
COMODO Internet Security (HKLM\...\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}) (Version: 5.10.31649.2253 - COMODO Security Solutions Inc.)
CPUID CPU-Z 1.66.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
d20Pro (HKLM-x32\...\d20Pro) (Version:  - )
DAEMON Tools Ultra (HKLM-x32\...\DAEMON Tools Ultra) (Version: 2.1.0.0187 - Disc Soft Ltd)
DAoC Portal (HKLM-x32\...\{EC9359B3-2548-4DB1-B322-6D71A17501F9}) (Version: 2.8.2 - Dawn of Light)
DAOC-Charplan (HKLM-x32\...\DAOCCharplan) (Version:  - )
Dark Age of Camelot (HKLM-x32\...\Dark Age of Camelot) (Version:  - Electronic Arts)
Debut Video Capture Software (HKLM-x32\...\Debut) (Version: 2.05 - NCH Software)
DisplayFusion 4.1 (HKLM-x32\...\B076073A-5527-4f4f-B46B-B10692277DA2_is1) (Version: 4.1.0.0 - Binary Fortress Software)
DivX-Setup (HKLM-x32\...\DivX Setup) (Version: 2.6.1.90 - DivX, LLC)
doubleTwist Sync (HKLM-x32\...\doubleTwist) (Version: 4.0.4.19771 - doubleTwist Corporation)
Dropbox (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Dropbox) (Version: 3.0.3 - Dropbox, Inc.)
EroBottle 4.6  (HKLM-x32\...\EroBottle) (Version: 4.6 - Kai Ebersbach - www.erosoft.de)
EroBottle-Extensions-Editor Vers. 1.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\EroBottle-Extensions-Editor Vers. 1.4) (Version:  - )
Evernote v. 5.6.4 (HKLM-x32\...\{DFDF0BE2-2D71-11E4-9454-00163E98E7D6}) (Version: 5.6.4.4632 - Evernote Corp.)
Facebook Video Calling 1.2.0.287 (HKLM-x32\...\{B92C5909-1D37-4C51-8397-A28BB28E5DC3}) (Version: 1.2.287 - Skype Limited)
Fantasy Voice Pack (HKLM-x32\...\{86E06E3C-CAAD-4A11-B984-B05961FDA98A}) (Version: 1.3.3 - Screaming Bee)
Fraps (remove only) (HKLM-x32\...\Fraps) (Version:  - )
Genesis version Genesis Launcher 1.005 (HKLM-x32\...\{975e7799-c584-47f0-9c12-c1551f3e95f2}_is1) (Version: Genesis Launcher 1.005 - Pawel D. alias Laplume for Genesis.)
Google Chrome (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Google Chrome) (Version: 39.0.2171.95 - Google Inc.)
Google Talk Plugin (HKLM-x32\...\{0C5C1177-94C5-3EFB-A8BE-3F6AF1AF887F}) (Version: 5.38.6.0 - Google)
Hearthstone (HKLM-x32\...\Hearthstone) (Version:  - Blizzard Entertainment)
Hero Lab 4.1 (HKLM-x32\...\{760AA190-82DF-4A80-BE05-B9FEEC88946D}_is1) (Version: 4.1 - LWD Technology, Inc.)
iCloud (HKLM\...\{81E20D41-C277-4526-934D-F2380AF91B78}) (Version: 3.1.0.40 - Apple Inc.)
iTunes (HKLM\...\{2ABBBD91-91E5-4AD7-929A-FE15D1DC0576}) (Version: 12.0.1.26 - Apple Inc.)
Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.670 - Oracle)
JDownloader 0.9 (HKLM-x32\...\5513-1208-7298-9440) (Version: 0.9 - AppWork GmbH)
JMicron JMB36X Driver (HKLM-x32\...\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}) (Version: 1.17.65.11 - JMicron Technology Corp.)
Logitech Gaming Software 8.30 (HKLM\...\Logitech Gaming Software) (Version: 8.30.86 - Logitech Inc.)
LogMeIn Hamachi (HKLM-x32\...\LogMeIn Hamachi) (Version: 2.2.0.58 - LogMeIn, Inc.)
LogMeIn Hamachi (x32 Version: 2.2.0.58 - LogMeIn, Inc.) Hidden
MAGIX Screenshare (HKLM-x32\...\{B63DFA23-5C10-44B4-881D-45EFBF4A4761}) (Version: 4.3.6.1987 - MAGIX AG)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106 (HKLM-x32\...\{8e70e4e1-06d7-470b-9f74-a51bef21088e}) (Version: 11.0.51106.1 - Microsoft Corporation)
MiKTeX 2.9 (HKLM-x32\...\MiKTeX 2.9) (Version: 2.9 - MiKTeX.org)
Mora's Ausrüstungsplaner (HKLM-x32\...\{8A33CE67-80FB-4469-9ED1-E5D116391F68}_is1) (Version: 1.72 - Mora)
MorphVOX Junior (HKLM-x32\...\{E6C7380F-15DD-445E-BA02-B7A180BA0A5A}) (Version: 2.8.1 - Screaming Bee)
Mozilla Firefox 34.0.5 (x86 de) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 de)) (Version: 34.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mozilla Thunderbird 31.3.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 31.3.0 (x86 de)) (Version: 31.3.0 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
NEF Codec (HKLM-x32\...\{D6506521-0959-4FA3-875F-E2E28830B0D2}) (Version: 1.00.0000 - Nikon)
NSU (HKLM-x32\...\{323F7AD9-1F4D-49E1-973B-80E1B6F1623A}) (Version: 1.00.1000 - Medion AG)
NVIDIA 3D Vision Controller-Treiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 347.09 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 347.09 - NVIDIA Corporation)
NVIDIA GeForce Experience 2.1.5 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.5 - NVIDIA Corporation)
NVIDIA Grafiktreiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 347.09 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.33.0 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.33.0 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.14.0702 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.14.0702 - NVIDIA Corporation)
OpenOffice.org 3.4.1 (HKLM-x32\...\{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}) (Version: 3.41.9593 - Apache Software Foundation)
Paint.NET v3.5.11 (HKLM\...\{72EF03F5-0507-4861-9A44-D99FD4C41418}) (Version: 3.61.0 - dotPDN LLC)
Patch Origins version 1.0.11 (HKLM-x32\...\{75147b12-6219-448d-886b-0a9a02d1e648}_is1) (Version: 1.0.11 - Pawel D. alias Laplume pour Origins.)
PCGen6000 (HKLM-x32\...\PCGen6000) (Version:  - )
PDF Architect (HKLM-x32\...\{80A07844-CA64-4DE4-AB61-D37DDBE8074F}) (Version: 1.0.52.8917 - pdfforge)
PDFCreator (HKLM-x32\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 1.6.2 - pdfforge)
QuickTime (HKLM-x32\...\{7BE15435-2D3E-4B58-867F-9C75BED0208C}) (Version: 7.71.80.42 - Apple Inc.)
RarZilla Free Unrar (HKLM-x32\...\RarZilla Free Unrar) (Version: 4.80 - Philipp Winterberg)
Razer Core (HKLM-x32\...\Razer Core) (Version: 1.0.1.66 - Razer Inc)
Razer Synapse 2.0 (HKLM-x32\...\{0D78BEE2-F8FF-4498-AF1A-3FF81CED8AC6}) (Version: 1.17.22 - Razer Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7083 - Realtek Semiconductor Corp.)
Samsung Kies3 (HKLM-x32\...\InstallShield_{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.)
Samsung Kies3 (x32 Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.) Hidden
Scrabble3D (HKLM-x32\...\{E11BBF69-C686-45B3-9267-CE44603B47AE}) (Version: 3.1.0.29 - Heiko Tietze)
SHIELD Streaming (Version: 3.1.3000 - NVIDIA Corporation) Hidden
SHIELD Wireless Controller Driver (Version: 16.18.9 - NVIDIA Corporation) Hidden
Sid Meier's Civilization 4 - Beyond the Sword (HKLM-x32\...\{32E4F0D2-C135-475E-A841-1D59A0D22989}) (Version: 3.19 - Firaxis Games)
Sid Meier's Civilization 4 - Warlords (HKLM-x32\...\{3E4B349F-10B5-4586-9D99-489A90A8B228}) (Version: 2.13 - Firaxis Games)
Sid Meier's Civilization 4 (HKLM-x32\...\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}) (Version: 1.74 - Firaxis Games)
Sid Meier's Civilization 4 (x32 Version: 1.00.0000 - Firaxis Games) Hidden
Skype™ 6.21 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 6.21.104 - Skype Technologies S.A.)
SlimDrivers (HKLM-x32\...\{A5457401-D56A-43F2-9524-78E54A7FC07A}) (Version: 2.2.32705 - SlimWare Utilities, Inc.)
Steam (HKLM-x32\...\Steam) (Version:  - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
TeamViewer 9 (HKLM-x32\...\TeamViewer 9) (Version: 9.0.27339 - TeamViewer)
TeXstudio 2.6.6 (HKLM-x32\...\TeXstudio_is1) (Version: 2.6.6 - Benito van der Zander)
The Elder Scrolls V: Skyrim (HKLM-x32\...\Steam App 72850) (Version:  - Bethesda Game Studios)
The KMPlayer (HKLM-x32\...\The KMPlayer) (Version: 3.8.0.122 - PandoraTV)
ThrashIRC version 2.9 (HKLM-x32\...\{D3C0BE0C-9761-4AC1-8CEF-B53796FEDE44}) (Version: 2.9.0 - Anthony Thrash Durbin)
TuneUp Utilities Language Pack (de-DE) (x32 Version: 13.0.3000.132 - TuneUp Software) Hidden
Tunngle Version Tunngle (HKLM-x32\...\Tunngle_is1) (Version: Tunngle - Tunngle.net GmbH)
VC80CRTRedist - 8.0.50727.6195 (x32 Version: 1.2.0 - DivX, Inc) Hidden
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: 5.4.7.0 - Elaborate Bytes)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Wondershare TunesGo(Version 5.0.0) (HKLM-x32\...\{ADBA24FE-D6F6-4B21-97F3-D58A327422E4}_is1) (Version: 5.0.0 - Wondershare)
x264vfw - H.264/MPEG-4 AVC codec (remove only) (HKLM-x32\...\x264vfw) (Version:  - )
Zune (HKLM\...\Zune) (Version: 04.08.2345.00 - Microsoft Corporation)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

==================== Restore Points  =========================

Could not list restore points.
Check "winmgmt" service or repair WMI.


==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {0ACE5948-49B8-4051-B091-2D7731DAB0AF} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2014-12-09] (COMODO)
Task: {1F4CE6EE-F11B-4D45-BD80-648A7AE51668} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {2149ACB9-406A-4799-B03D-E464744C55B0} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {3278CC75-2A4F-42E5-9E45-0B23993A37FC} - System32\Tasks\PCCT - MAGIX AG => C:\Program Files (x86)\MAGIX\PC_Check_Tuning_Free_2011\MxTray.exe
Task: {435F4013-DAB5-42A2-8608-FE980F293497} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {4A6BB261-2823-48D6-B5FF-3605A1B5D549} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {6EC5EE04-6804-4582-9F1B-F1D9319F54BF} - System32\Tasks\{2C2811EC-68D2-4790-A416-DCB51A70191C} => pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000
Task: {70CE8F9B-36A7-4EE3-AB38-59EED8E2D903} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {C6B6DD74-7D6C-4DD0-93D8-4DBEECDA58C8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {CA52BB50-4FB5-409E-B7E4-46F3F176FCC1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {D16C173F-EEF5-4641-ACAD-F5D7A5DCAF4F} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {D1C7621B-5C1D-4484-B24A-2BBB99883037} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {FB26CFD0-7289-4703-9BBC-9DC6E4546010} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-21] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) =============

2012-08-21 00:38 - 2014-12-13 09:03 - 00117576 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2013-11-15 01:48 - 2013-11-15 01:48 - 01861968 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
2011-12-19 17:59 - 2013-04-15 18:39 - 00073424 _____ () C:\Program Files\COMODO\COMODO Internet Security\scanners\smart.cav
2014-01-20 13:17 - 2014-01-20 13:17 - 00073544 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
2014-10-11 12:05 - 2014-10-11 12:05 - 01044776 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
2013-09-14 01:51 - 2013-09-14 01:51 - 00087952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\zlib1.dll
2013-09-14 01:50 - 2013-09-14 01:50 - 01242952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\libxml2.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00750080 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libGLESv2.dll
2015-01-09 18:14 - 2015-01-09 18:14 - 00043008 _____ () c:\users\tobias\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpzfnldo.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00047616 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libEGL.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00863744 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00200704 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00436576 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00318304 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll
2012-08-10 15:51 - 2012-08-10 15:51 - 00985088 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll
2013-11-15 01:49 - 2013-11-15 01:49 - 00100688 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
2014-12-11 00:56 - 2014-12-11 00:57 - 03758192 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 01077064 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\libglesv2.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 00211272 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\libegl.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 09009480 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\pdf.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 01677128 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\ffmpegsumo.dll
2014-12-13 09:33 - 2014-12-06 02:50 - 14913352 _____ () C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.95\PepperFlash\pepflashplayer.dll
2014-12-21 01:17 - 2014-12-21 01:17 - 16843952 _____ () C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Windows\system32\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvapi64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvaudcap64v.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcompiler.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcuda.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcuvid.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvd3dumx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvdispco6434709.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvdispgenco6434709.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\NvFBC64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvhdagenco64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvhdap64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\NvIFR64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvinitx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvoglshim64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvoglv64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvopencl.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvumdshimx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvvsvc.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvwgf2umx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfc110esn.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfcm110u.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvapi.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvaudcap32v.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcompiler.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcuda.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcuvid.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvd3dum.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\NvFBC.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\NvIFR.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvinit.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvoglshim32.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvoglv32.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvopencl.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvStreaming.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvumdshim.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvwgf2um.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mbam.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mwac.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvhda64v.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvlddmkm.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvvad64v.sys:$CmdTcID
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
AlternateDataStreams: C:\Users\Tobias\Desktop\3+-+Kognitive+Aktivierung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Alpines - Cocoon - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Amanaemonesia - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Bruises - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\esetsmartinstaller_deu.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\FRST64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Grimes - Vanessa (Official Video) - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben 1.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben mit Lösungen.PDF:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\SecurityCheck.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Aufgaben_und_Loesungen_zu_Logarithmen.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DieWinterkoenigin-Spielerleitfaden_80ff (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DS-Battlefield.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Falkengrunds_letzte_Hoffnung_f2d3.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Fitch-Formelsammlung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS-Blob.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS_Schlangenmensch.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GT_Klosterkarte.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Spielleiterinformationen_Finstermond_Module_als_Kampagne_00f6.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\TunesGoforAndroid.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Versuch-21.odt:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent:$CmdZnID

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"

==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\startupreg: BlueStacks Agent => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
MSCONFIG\startupreg: DAEMON Tools Ultra Agent => "C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe" -autorun
MSCONFIG\startupreg: Hoolapp Android => "C:\Users\Tobias\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized
MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent
MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
MSCONFIG\startupreg: VirtualCloneDrive => "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
MSCONFIG\startupreg: Wondershare Helper Compact.exe => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
MSCONFIG\startupreg: Zune Launcher => "C:\Program Files\Zune\ZuneLauncher.exe"

========================= Accounts: ==========================

Administrator (S-1-5-21-2764848105-337601815-2700051401-500 - Administrator - Disabled)
Gast (S-1-5-21-2764848105-337601815-2700051401-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2764848105-337601815-2700051401-1014 - Limited - Enabled)
Tobias (S-1-5-21-2764848105-337601815-2700051401-1000 - Administrator - Enabled) => C:\Users\Tobias

==================== Faulty Device Manager Devices =============

Could not list Devices. Check "winmgmt" service or repair WMI.


==================== Event log errors: =========================

Could not start eventlog service, could not read events.

Systemfehler 123 aufgetreten.

Die Syntax f�r den Dateinamen, Verzeichnisnamen oder die Datentr�gerbezeichnung ist falsch.


==================== Memory info ===========================

Processor: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Percentage of memory in use: 60%
Total physical RAM: 6142.49 MB
Available physical RAM: 2443.61 MB
Total Pagefile: 12283.16 MB
Available Pagefile: 6834.45 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:596.07 GB) (Free:147.72 GB) NTFS
Drive d: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive e: () (Fixed) (Total:465.75 GB) (Free:37.81 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (NAS-SERVER) (CDROM) (Total:0.24 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596.2 GB) (Disk ID: 7E967411)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=596.1 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 115D115D)
Partition 1: (Active) - (Size=465.8 GB) - (Type=07 NTFS)

==================== End Of Log ============================






So, das war die letzte Log!

Ich werde jetzt den Tag über mal beobachten, wie der Rechner sich so verhält. Vielen, vielen Dank, schrauber, an dieser Stelle schon mal für die überragende Hilfe!


LG Wilfried

schrauber 10.01.2015 13:08
Java und Adobe updaten.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\SoftonicDownloader_fuer_screenshot-captor.exe

C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\zipper.exe

E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\zcvnyu9n.default\extensions\{6c3a1de1-94ca-4ad6-acdf-c1324adc487b}\chrome\isohunt-vuze.jar

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-6e0e8719

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\7bb99554-6ba0ff51

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\7adbb65d-36358016

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-5418919a

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\42441975-201eda3b

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\1f62c23a-1db7778c

E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\dtp435.rar

E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\loaristrojanremover.exe

E:\Dokumente und Einstellungen\Tobias\Eigene Dateien\Datensicherung\Programme zum Systemstart\JDownloader_0.87.EXE

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup-tbff-8.0.5.5.cab

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\ConduitEngine\ConduitEngine.dll

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2281460751461722175.tmp

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2295504349341295268.tmp

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\uninstall.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ToolbarUpdater_1293102164\autoUpdater.exe

E:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL

E:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

E:\Programme\Conduit\Community Alerts\Alert.dll

E:\Programme\Conduit\Community Alerts\Alert0.dll

E:\Programme\ConduitEngine\ConduitEngin0.dll

E:\Programme\ConduitEngine\ConduitEngine.dll

E:\Programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

E:\Programme\Trend Micro\HijackThis\backups\backup-20081206-203251-325.dll

E:\Programme\Trend Micro\HijackThis\backups\backup-20090325-183448-187.dll

E:\Programme\Vuze\.install4j\i4j_extf_10_5p83tu.exe

E:\Programme\Vuze\.install4j\i4j_extf_8_5p83tu.xpi

E:\Programme\Vuze\.install4j\i4j_extf_9_5p83tu.xpi

E:\Programme\Vuze_Remote\tbVuz0.dll

E:\Programme\Vuze_Remote\tbVuz1.dll

E:\Programme\Vuze_Remote\tbVuz2.dll

E:\Programme\Vuze_Remote\tbVuze.dll

E:\WINDOWS\Installer\eb9db.msi

E:\WINDOWS\system32\mkaadktt.ini

E:\WINDOWS\system32\ndsbfgdf.ini

E:\WINDOWS\system32\VvxbIRqr.ini

E:\WINDOWS\system32\VvxbIRqr.ini2

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Wilfried49 10.01.2015 15:10
Adobe lässt sich nicht updaten:

"Update-Fehler

Zugriff verweigert

Fehler: 5"


Hier die Fixlog:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-10 15:05:18 Run:2
Running from C:\Users\Tobias\Desktop
Loaded Profile: Tobias (Available profiles: Tobias)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\SoftonicDownloader_fuer_screenshot-captor.exe

C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\zipper.exe

E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\zcvnyu9n.default\extensions\{6c3a1de1-94ca-4ad6-acdf-c1324adc487b}\chrome\isohunt-vuze.jar

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-6e0e8719

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\7bb99554-6ba0ff51

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\7adbb65d-36358016

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-5418919a

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\42441975-201eda3b

E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\1f62c23a-1db7778c

E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\dtp435.rar

E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\loaristrojanremover.exe

E:\Dokumente und Einstellungen\Tobias\Eigene Dateien\Datensicherung\Programme zum Systemstart\JDownloader_0.87.EXE

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup-tbff-8.0.5.5.cab

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\ConduitEngine\ConduitEngine.dll

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2281460751461722175.tmp

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2295504349341295268.tmp

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\uninstall.exe

E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ToolbarUpdater_1293102164\autoUpdater.exe

E:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL

E:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

E:\Programme\Conduit\Community Alerts\Alert.dll

E:\Programme\Conduit\Community Alerts\Alert0.dll

E:\Programme\ConduitEngine\ConduitEngin0.dll

E:\Programme\ConduitEngine\ConduitEngine.dll

E:\Programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

E:\Programme\Trend Micro\HijackThis\backups\backup-20081206-203251-325.dll

E:\Programme\Trend Micro\HijackThis\backups\backup-20090325-183448-187.dll

E:\Programme\Vuze\.install4j\i4j_extf_10_5p83tu.exe

E:\Programme\Vuze\.install4j\i4j_extf_8_5p83tu.xpi

E:\Programme\Vuze\.install4j\i4j_extf_9_5p83tu.xpi

E:\Programme\Vuze_Remote\tbVuz0.dll

E:\Programme\Vuze_Remote\tbVuz1.dll

E:\Programme\Vuze_Remote\tbVuz2.dll

E:\Programme\Vuze_Remote\tbVuze.dll

E:\WINDOWS\Installer\eb9db.msi

E:\WINDOWS\system32\mkaadktt.ini

E:\WINDOWS\system32\ndsbfgdf.ini

E:\WINDOWS\system32\VvxbIRqr.ini

E:\WINDOWS\system32\VvxbIRqr.ini2
       
*****************

C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\SoftonicDownloader_fuer_screenshot-captor.exe => Moved successfully.
C:\Users\Tobias\Dropbox\RuK\Alter PC\Alte Downloads\zipper.exe => Moved successfully.
E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll => Moved successfully.
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\zcvnyu9n.default\extensions\{6c3a1de1-94ca-4ad6-acdf-c1324adc487b}\chrome\isohunt-vuze.jar => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-6e0e8719 => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\7bb99554-6ba0ff51 => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\7adbb65d-36358016 => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-5418919a => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\42441975-201eda3b => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\1f62c23a-1db7778c => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\dtp435.rar => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Desktop\Downloads\loaristrojanremover.exe => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Eigene Dateien\Datensicherung\Programme zum Systemstart\JDownloader_0.87.EXE => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup-tbff-8.0.5.5.cab => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Babylon\Setup\Setup.exe => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\ConduitEngine\ConduitEngine.dll => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote\tbVuz2.dll => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2281460751461722175.tmp => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache2295504349341295268.tmp => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\uninstall.exe => Moved successfully.
E:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ToolbarUpdater_1293102164\autoUpdater.exe => Moved successfully.
E:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL => Moved successfully.
E:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL => Moved successfully.
E:\Programme\Conduit\Community Alerts\Alert.dll => Moved successfully.
E:\Programme\Conduit\Community Alerts\Alert0.dll => Moved successfully.
E:\Programme\ConduitEngine\ConduitEngin0.dll => Moved successfully.
E:\Programme\ConduitEngine\ConduitEngine.dll => Moved successfully.
E:\Programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll => Moved successfully.
E:\Programme\Trend Micro\HijackThis\backups\backup-20081206-203251-325.dll => Moved successfully.
E:\Programme\Trend Micro\HijackThis\backups\backup-20090325-183448-187.dll => Moved successfully.
E:\Programme\Vuze\.install4j\i4j_extf_10_5p83tu.exe => Moved successfully.
E:\Programme\Vuze\.install4j\i4j_extf_8_5p83tu.xpi => Moved successfully.
E:\Programme\Vuze\.install4j\i4j_extf_9_5p83tu.xpi => Moved successfully.
E:\Programme\Vuze_Remote\tbVuz0.dll => Moved successfully.
E:\Programme\Vuze_Remote\tbVuz1.dll => Moved successfully.
E:\Programme\Vuze_Remote\tbVuz2.dll => Moved successfully.
E:\Programme\Vuze_Remote\tbVuze.dll => Moved successfully.
E:\WINDOWS\Installer\eb9db.msi => Moved successfully.
E:\WINDOWS\system32\mkaadktt.ini => Moved successfully.
E:\WINDOWS\system32\ndsbfgdf.ini => Moved successfully.
E:\WINDOWS\system32\VvxbIRqr.ini => Moved successfully.
E:\WINDOWS\system32\VvxbIRqr.ini2 => Moved successfully.

==== End of Fixlog 15:05:34 ====



Combofix folgt!


und kannst Du mir eventuell sagen, wie ich das mit den Tastatur-Treibern mache? Mein erster Versuch über den Gerätemanager ist fehlgeschlagenen.


LG Wilfried

schrauber 10.01.2015 16:04
Adobe deinstallieren, dann neu installieren.
Ich denke die Tastatur geht wieder?

Wilfried49 10.01.2015 19:27
Mh, gerade wirkt es, als sei es ein Glücksspiel, ob die Tastatur nach einem Neustart ihren Dienst erfüllt.


Combofix ist durchgelaufen, aber ich kann bei bestem Willen nirgends eine Log-Datei finden, weder in C noch sonst wo. Habe ich eventuell etwas falsch gemacht?

Übrigens kamen beim Start von Combofix und einmal mittendrin ~15 Fehlermeldungen, alle etwa so:

"Error saving file
C:\Windows\erdnt\Hiv-backup....

Continue with next file?

RegCreateKeyEx: 5 (Zugriff verweigert)"



Hat das irgendwas mit dem Fehler bei Adobe zu tun? Immerhin auch hier die "5" und "Zugriff verweigert" oder hat das damit nichts zu tun?




PS: Gerade funktioniert die Tastatur (eine Logitech G110) überhaupt nicht mehr. Allerdings ist die Beleuchtung aktiv (das war die ersten Male als sie nicht ging anders) und die zugehörige Software erkennt das Gerät.

schrauber 10.01.2015 20:34
</title> <meta content="" name="Search_category" /> <meta content="" name="Search_title" /> </head> <script> $( document ).ready(function() { if(false){ $(".full-specification-btn").click(); } }); </script> <head> <meta HTTP-EQUIV="PRAGMA" CONTENT="N
Hier den passenden Treiber für das Keyboard laden. Wenn das nicht klappt mal ein normales Keyboard anklemmen.

Und poste bitte ein frisches FRST log.

Wilfried49 10.01.2015 20:45
Genau den Treiber habe ich installiert. Danach ging die Beleuchtung der Tastatur wieder und sie wurde dort auch angezeigt. Nur die Tasten gehen einfach nicht.

Werde morgen meine alte Tastatur testen.



hier FRST-Logs:


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-01-2015
Ran by Tobias (administrator) on TOBIAS-PC on 10-01-2015 20:36:46
Running from C:\Users\Tobias\Desktop
Loaded Profile: Tobias (Available profiles: Tobias)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
(BlueStack Systems, Inc.) C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\HelperService.exe
(pdfforge GbR) C:\Program Files (x86)\PDF Architect\ConversionService.exe
(Razer, Inc.) C:\Program Files (x86)\Razer\Core\64bit\RzOvlMon.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
(Logitech Inc.) C:\Program Files\Logitech Gaming Software\LCore.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
(Dropbox, Inc.) C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(Razer Inc.) C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
() C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
(Apple Inc.) C:\Program Files (x86)\iTunes\iTunesHelper.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Internet Services\APSDaemon.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\System32\osk.exe
(COMODO) C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\SysWOW64\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [combofix] => C:\ComboFix\Combobatch.bat [8272 2015-01-10] ()
HKLM\...\Run: [Launch LCore] => C:\Program Files\Logitech Gaming Software\LCore.exe [12697368 2015-01-10] (Logitech Inc.)
HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297112 2014-12-09] (COMODO)
HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2531472 2015-01-09] (NVIDIA Corporation)
HKLM\...\Run: [ShadowPlay] => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2000-01-01] (Realtek Semiconductor)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2014-10-11] (Apple Inc.)
HKLM-x32\...\Run: [Razer Synapse] => C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe [444760 2014-03-07] (Razer Inc.)
HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe [43608 2000-01-01] ()
HKLM-x32\...\Run: [DivXUpdate] => C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1861968 2013-11-15] ()
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [157480 2014-10-15] (Apple Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation)
HKLM\...\RunOnce: [combofix] => C:\ComboFix\CF30071.3XE /c C:\ComboFixCombobatch.bat
HKLM\...\runonceex: [flags] => 
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [MobileDocuments] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [59720 2013-11-20] (Apple Inc.)
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Run: [ApplePhotoStreams] => C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-11-20] (Apple Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2764848105-337601815-2700051401-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com?fr=fp-comodo
URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
URLSearchHook: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2764848105-337601815-2700051401-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_25\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_25\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
BHO-x32: Evernote extension -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default
FF Homepage: google.de
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_235.dll ()
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin-x32: @divx.com/DivX Web Player Plug-In,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX Web Player\npdivx32.dll (DivX, LLC)
FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin-x32: @videolan.org/vlc,version=2.0.8 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @acestream.net/acestreamplugin,version=3.0.4 -> C:\Users\Tobias\AppData\Roaming\ACEStream\player\npace_plugin.dll (Innovative Digital Technologies)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/GoogleTalkPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @talk.google.com/O1DPlugin -> C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-2764848105-337601815-2700051401-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npgoogletalk.dll (Google)
FF Plugin ProgramFiles/Appdata: C:\Users\Tobias\AppData\Roaming\mozilla\plugins\npo1d.dll (Google)
FF SearchPlugin: C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\searchplugins\pornmd.xml
FF Extension: ProxTube - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\ich@maltegoetz.de.xpi [2014-10-11]
FF Extension: PornMD - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\PornMD@PornMD.xpi [2015-01-08]
FF Extension: Adblock Edge - C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\qgrdidvi.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2014-07-15]
FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt [2013-04-04]

Chrome:
=======
CHR HomePage: Default ->
CHR Plugin: (Shockwave Flash) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Tobias\AppData\Local\Google\Chrome\Application\39.0.2171.71\pdf.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll No File
CHR Plugin: (Google Talk Plugin) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
CHR Plugin: (Google Talk Plugin Video Accelerator) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll No File
CHR Plugin: (Google Talk Plugin Video Renderer) - C:\Users\Tobias\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
CHR Plugin: (DivX VOD Helper Plug-in) - C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
CHR Plugin: (DivX Plus Web Player) - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U13) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File
CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
CHR Plugin: (iTunes Application Detector) - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR Plugin: (Google Update) - C:\Users\Tobias\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll No File
CHR Plugin: (Java Deployment Toolkit 7.0.130.20) - C:\Windows\SysWOW64\npDeployJava1.dll No File
CHR Profile: C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Voice Search Hotword (Beta)) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-04]
CHR Extension: (IRC QuakeNet webchat) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhaphniflbbhhfailihfckiifpbgeokd [2014-03-18]
CHR Extension: (AdBlock) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-02-03]
CHR Extension: (ProxMate - Proxy on steroids!) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgjpnmnpjmabddgmjdiaggacbololbjm [2013-04-13]
CHR Extension: (Stealthy) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieaebnkibonmpbhdaanjkmedikadnoje [2014-05-15]
CHR Extension: (Google Wallet) - C:\Users\Tobias\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-26]
CHR HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx [Not Found]

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

Locked "BFE" service could not be unlocked. <===== ATTENTION

U2 BstHdAndroidSvc; C:\Program Files (x86)\BlueStacks\HD-Service.exe [409304 2014-10-08] (BlueStack Systems, Inc.)
U2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [388824 2014-10-08] (BlueStack Systems, Inc.)
U2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [782040 2014-10-08] (BlueStack Systems, Inc.)
U2 cmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [7618952 2014-12-09] (COMODO)
U3 cmdvirth; C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe [2265304 2014-12-09] (COMODO)
U3 Disc Soft Bus Service; C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe [723192 2013-11-14] (Disc Soft Ltd)
U2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1701520 2015-01-09] (NVIDIA Corporation)
U2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [19823248 2015-01-09] (NVIDIA Corporation)
U2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1324104 2013-01-09] (pdfforge GbR)
U2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [795208 2013-01-09] (pdfforge GbR)
U2 RzOvlMon; C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe [32960 2014-04-18] (Razer, Inc.)
U3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [762320 2014-11-04] (Tunngle.net GmbH)
U2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1148560 2015-01-09] (NVIDIA Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

U2 BstHdDrv; C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [122072 2014-10-08] (BlueStack Systems)
U1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO)
U1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO)
U1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO)
U3 dtscsibus; C:\Windows\System32\DRIVERS\dtscsibus.sys [29696 2014-04-18] (Disc Soft Ltd)
U1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO)
U5 MBAMSwissArmy; C:\Windows\System32\Drivers\MBAMSwissArmy.sys [129752 2015-01-09] (Malwarebytes Corporation)
U3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad64v.sys [38032 2015-01-09] (NVIDIA Corporation)
U3 RTL8023x64; C:\Windows\System32\DRIVERS\Rtnic64.sys [51712 2009-06-10] (Realtek Semiconductor Corporation                          )
U3 RzDxgk; C:\Windows\system32\drivers\RzDxgk.sys [129472 2014-04-10] (Razer, Inc.)
U1 RzFilter; C:\Windows\system32\drivers\RzFilter.sys [74432 2014-04-10] (Razer, Inc.)
U3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2014-01-13] ()
U3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)
U3 NvStreamKms; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [19600 2014-12-13] (NVIDIA Corporation)
U3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 uwdiipod; \??\C:\Users\Tobias\AppData\Local\Temp\uwdiipod.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-10 20:19 - 2015-01-10 20:19 - 00003886 _____ () C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2015-01-10 19:34 - 2015-01-10 20:13 - 00000000 ___SD () C:\ComboFix
2015-01-10 19:13 - 2015-01-10 19:13 - 00002441 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk
2015-01-10 19:13 - 2015-01-10 19:13 - 00002019 _____ () C:\Users\Public\Desktop\Adobe Reader XI.lnk
2015-01-10 19:13 - 2015-01-10 19:13 - 00000000 ____D () C:\Program Files (x86)\Adobe
2015-01-10 19:07 - 2015-01-10 19:07 - 67350808 _____ (Logitech Inc.) C:\Users\Tobias\Downloads\LGS_8.57.145_x64_Logitech.exe
2015-01-10 15:22 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-01-10 15:22 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-01-10 15:22 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-01-10 15:22 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-01-10 15:22 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-01-10 15:22 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-01-10 15:22 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-01-10 15:22 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
2015-01-10 15:20 - 2015-01-10 15:58 - 00000000 ____D () C:\Qoobox
2015-01-10 15:16 - 2015-01-10 19:39 - 00000000 ____D () C:\Windows\erdnt
2015-01-10 15:10 - 2015-01-10 15:10 - 05609736 ___RN (Swearware) C:\Users\Tobias\Desktop\ComboFix.exe
2015-01-10 15:07 - 2015-01-10 15:07 - 00111016 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge-64.dll
2015-01-10 15:07 - 2015-01-10 15:07 - 00000000 ____D () C:\Program Files\Java
2015-01-10 14:52 - 2015-01-10 14:55 - 92658088 _____ (Oracle Corporation) C:\Users\Tobias\Downloads\jre-8u25-windows-x64.exe
2015-01-10 14:52 - 2015-01-10 14:54 - 92658088 _____ (Oracle Corporation) C:\Users\Tobias\Downloads\jre-8u25-windows-x64(1).exe
2015-01-10 14:38 - 2015-01-10 14:38 - 01117584 _____ () C:\Windows\Minidump\011015-23056-01.dmp
2015-01-10 09:51 - 2015-01-10 09:51 - 00852505 _____ () C:\Users\Tobias\Desktop\SecurityCheck.exe
2015-01-09 18:25 - 2015-01-09 18:26 - 02347384 _____ (ESET) C:\Users\Tobias\Desktop\esetsmartinstaller_deu.exe
2015-01-09 14:59 - 2015-01-09 14:59 - 00000000 ____D () C:\Program Files (x86)\AGEIA Technologies
2015-01-09 14:58 - 2015-01-09 14:58 - 00620176 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvStreaming.exe
2015-01-09 14:53 - 2015-01-09 14:58 - 01540240 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdagenco64.dll
2015-01-09 14:53 - 2015-01-09 14:58 - 00195728 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvhda64v.sys
2015-01-09 14:53 - 2015-01-09 14:58 - 00030536 _____ (NVIDIA Corporation) C:\Windows\system32\nvhdap64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 25460552 _____ (NVIDIA Corporation) C:\Windows\system32\nvcompiler.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 13288360 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 10770120 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 10345280 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys
2015-01-09 14:53 - 2015-01-09 14:55 - 01895056 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6434709.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00994384 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshimx.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00968336 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00942400 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00928072 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00906560 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00876976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvumdshim.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00353224 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll
2015-01-09 14:53 - 2015-01-09 14:55 - 00306328 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 24764232 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 20465808 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcompiler.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 17264312 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dumx.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 13202520 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 10710160 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 03610440 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 03248968 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 01556624 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6434709.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 00178632 _____ (NVIDIA Corporation) C:\Windows\system32\nvinitx.dll
2015-01-09 14:53 - 2015-01-09 14:54 - 00165760 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvinit.dll
2015-01-09 14:42 - 2014-12-13 01:12 - 01715224 _____ (NVIDIA Corporation) C:\Windows\system32\nvspbridge64.dll
2015-01-09 14:42 - 2014-12-13 01:12 - 01291464 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspbridge.dll
2015-01-09 14:41 - 2015-01-09 14:41 - 00038032 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad64v.sys
2015-01-09 14:41 - 2015-01-09 14:41 - 00032400 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvaudcap32v.dll
2015-01-09 12:26 - 2015-01-10 10:03 - 00033421 _____ () C:\Users\Tobias\Desktop\Addition.txt
2015-01-09 12:24 - 2015-01-10 20:38 - 00020069 _____ () C:\Users\Tobias\Desktop\FRST.txt
2015-01-09 12:18 - 2015-01-09 12:18 - 00000626 _____ () C:\Users\Tobias\Desktop\JRT.txt
2015-01-09 11:05 - 2015-01-09 11:05 - 00003790 _____ () C:\Users\Tobias\Desktop\AdwCleaner[S1].txt
2015-01-09 10:48 - 2015-01-09 10:48 - 00000000 ____D () C:\Windows\ERUNT
2015-01-09 10:45 - 2015-01-09 10:45 - 01707939 _____ (Thisisu) C:\Users\Tobias\Desktop\JRT.exe
2015-01-09 10:30 - 2015-01-09 10:31 - 02191360 _____ () C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe
2015-01-09 00:00 - 2015-01-09 00:30 - 00000000 ____D () C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2015-01-08 23:41 - 2015-01-09 00:30 - 00000000 ____D () C:\Users\Tobias\Desktop\mbar
2015-01-08 23:38 - 2015-01-08 23:38 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe
2015-01-08 23:26 - 2015-01-08 23:27 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe
2015-01-08 23:09 - 2015-01-08 23:09 - 04187592 _____ (Kaspersky Lab ZAO) C:\Users\Tobias\Desktop\tdsskiller.exe
2015-01-08 22:29 - 2015-01-08 22:39 - 00000000 ____D () C:\Users\Tobias\Desktop\RevoUninstallerPortable
2015-01-08 22:27 - 2015-01-08 22:28 - 02785665 _____ (PortableApps.com) C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe
2015-01-08 18:57 - 2015-01-08 18:58 - 00000000 ____D () C:\Users\Tobias\AppData\Local\doubleTwist Corporation
2015-01-08 18:56 - 2015-01-10 19:10 - 00000000 ____D () C:\ProgramData\Package Cache
2015-01-08 18:56 - 2015-01-08 18:56 - 00002073 _____ () C:\Users\Public\Desktop\doubleTwist.lnk
2015-01-08 18:56 - 2015-01-08 18:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\doubleTwist
2015-01-08 18:55 - 2015-01-08 18:56 - 00000000 ____D () C:\Program Files (x86)\doubleTwist
2015-01-08 18:54 - 2015-01-08 18:54 - 21754656 _____ () C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe
2015-01-08 16:59 - 2015-01-08 16:59 - 17927749 _____ () C:\Users\Tobias\Desktop\GMER.log
2015-01-08 15:13 - 2015-01-08 15:13 - 00000000 ____D () C:\ProgramData\Wondershare
2015-01-08 15:10 - 2015-01-08 15:10 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\HMYGSetting
2015-01-08 14:13 - 2015-01-08 14:13 - 00290808 _____ () C:\Windows\Minidump\010815-23400-01.dmp
2015-01-08 00:39 - 2015-01-08 00:39 - 00019039 _____ () C:\Users\Tobias\Downloads\Versuch-21.odt
2015-01-08 00:32 - 2015-01-08 00:32 - 15103931 _____ () C:\Users\Tobias\Desktop\gmer.txt
2015-01-07 18:37 - 2015-01-07 18:37 - 00380416 _____ () C:\Users\Tobias\Desktop\o5lw8g6g.exe
2015-01-07 18:36 - 2015-01-09 18:12 - 00000000 ____D () C:\FRST
2015-01-07 18:35 - 2015-01-07 18:35 - 02124288 _____ (Farbar) C:\Users\Tobias\Desktop\FRST64.exe
2015-01-07 18:34 - 2015-01-08 16:36 - 00000474 _____ () C:\Users\Tobias\Desktop\defogger_disable.log
2015-01-07 18:34 - 2015-01-07 18:34 - 00000000 _____ () C:\Users\Tobias\defogger_reenable
2015-01-07 18:16 - 2015-01-07 18:16 - 00050477 _____ () C:\Users\Tobias\Desktop\Defogger.exe
2015-01-07 17:57 - 2015-01-07 17:57 - 00001102 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-01-07 17:35 - 2015-01-07 17:35 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Wondershare
2015-01-07 17:35 - 2015-01-07 17:35 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Wondershare
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Users\Tobias\.android
2015-01-07 17:34 - 2015-01-07 17:34 - 00000000 ____D () C:\Program Files (x86)\Wondershare
2015-01-07 17:31 - 2015-01-07 17:32 - 39544000 _____ (Wondershare ) C:\Users\Tobias\Downloads\TunesGoforAndroid.exe
2015-01-07 17:15 - 2015-01-07 17:15 - 00000000 ____D () C:\ProgramData\Samsung
2015-01-07 17:10 - 2015-01-07 17:15 - 00000000 ____D () C:\Users\Tobias\Documents\samsung
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Tobias\Documents\SelfMV
2015-01-07 17:10 - 2015-01-07 17:10 - 00000000 ____D () C:\Users\Public\Documents\NativeFus_Log
2015-01-07 17:03 - 2015-01-07 17:03 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Samsung
2015-01-07 17:03 - 2015-01-07 17:03 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung
2015-01-07 17:03 - 2014-05-07 17:42 - 00144664 _____ (MAPILab Ltd. & Add-in Express Ltd.) C:\Windows\SysWOW64\secman.dll
2015-01-07 17:02 - 2015-01-07 17:02 - 00000000 ____D () C:\Program Files (x86)\Samsung
2015-01-07 16:59 - 2015-01-07 16:59 - 42424368 _____ (Samsung Electronics Co., Ltd.) C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe
2015-01-04 10:55 - 2015-01-04 10:55 - 01052536 _____ () C:\Windows\Minidump\010415-30217-01.dmp
2015-01-04 10:54 - 2015-01-10 14:38 - 585620172 _____ () C:\Windows\MEMORY.DMP
2014-12-22 23:33 - 2014-12-26 23:30 - 00000000 ____D () C:\ProgramData\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\Users\Public\Documents\Tunngle
2014-12-22 23:33 - 2014-12-22 23:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle
2014-12-22 23:31 - 2014-12-22 23:31 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe
2014-12-22 23:30 - 2014-12-22 23:30 - 04501720 _____ (Tunngle.net GmbH ) C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe
2014-12-22 21:07 - 2014-12-22 23:34 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-12-21 09:48 - 2014-12-21 09:48 - 00144384 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-12-21 09:48 - 2014-12-21 09:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2014-12-21 00:56 - 2014-12-21 00:56 - 00000000 ____D () C:\Windows\system32\appraiser
2014-12-20 11:13 - 2014-12-20 11:13 - 00297226 _____ () C:\Windows\msxml4-KB954430-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00297222 _____ () C:\Windows\msxml4-KB973688-enu.LOG
2014-12-20 11:13 - 2014-12-20 11:13 - 00000000 ____D () C:\Program Files (x86)\MSXML 4.0
2014-12-20 11:11 - 2014-10-18 03:05 - 04121600 _____ (Microsoft Corporation) C:\Windows\system32\mf.dll
2014-12-20 11:11 - 2014-10-18 02:33 - 03209728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mf.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\mfps.dll
2014-12-20 11:11 - 2014-07-07 03:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 03:06 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 03:02 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\mferror.dll
2014-12-20 11:11 - 2014-07-07 02:40 - 00103424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfps.dll
2014-12-20 11:11 - 2014-07-07 02:39 - 00050176 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rrinstaller.exe
2014-12-20 11:11 - 2014-07-07 02:39 - 00023040 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfpmp.exe
2014-12-20 11:11 - 2014-07-07 02:37 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mferror.dll
2014-12-19 14:58 - 2014-12-19 15:02 - 00000000 ____D () C:\Users\Tobias\Downloads\D&D 5e books
2014-12-19 14:56 - 2014-12-19 14:56 - 00015892 _____ () C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent
2014-12-19 02:50 - 2014-12-26 18:17 - 00000000 ____D () C:\Windows\System32\Tasks\NCH Software
2014-12-19 02:50 - 2014-12-19 02:50 - 00001236 _____ () C:\Users\Public\Desktop\NCH Suite.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001122 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00001110 _____ () C:\Users\Public\Desktop\Debut Video Capture Software.lnk
2014-12-19 02:50 - 2014-12-19 02:50 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite
2014-12-16 21:53 - 2014-12-17 10:53 - 00001197 _____ () C:\Users\Tobias\Desktop\rap.txt
2014-12-15 01:33 - 2014-12-15 01:33 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\MAGIX
2014-12-15 01:14 - 2015-01-10 15:14 - 00000000 ____D () C:\Users\Tobias\Documents\MAGIX_MxTray
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Users\Tobias\Documents\OnDemandDump
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Users\Tobias\Documents\CrashLog
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MAGIX
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\ProgramData\MAGIX
2014-12-15 01:12 - 2014-12-15 01:12 - 00000000 ____D () C:\Program Files (x86)\MAGIX
2014-12-15 01:11 - 2014-12-15 01:12 - 00000000 ____D () C:\134ccbc360e05d682fe482cb
2014-12-15 01:09 - 2014-12-15 01:09 - 41085024 _____ (MAGIX AG) C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe
2014-12-14 23:12 - 2014-12-14 23:15 - 00023362 _____ () C:\Users\Tobias\Desktop\SB2 AUFGABE3.odt
2014-12-12 11:08 - 2014-12-12 11:08 - 01764715 _____ () C:\Windows\WindowsUpdate.log
2014-12-11 02:36 - 2014-12-04 03:50 - 00830976 _____ (Microsoft Corporation) C:\Windows\system32\appraiser.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00741376 _____ (Microsoft Corporation) C:\Windows\system32\invagent.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00413184 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00396800 _____ (Microsoft Corporation) C:\Windows\system32\devinv.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00227328 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-12-11 02:36 - 2014-12-04 03:50 - 00192000 _____ (Microsoft Corporation) C:\Windows\system32\aepic.dll
2014-12-11 02:36 - 2014-12-04 03:44 - 01083392 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-12-11 02:36 - 2014-12-02 00:28 - 01232040 _____ (Microsoft Corporation) C:\Windows\system32\aitstatic.exe
2014-12-11 02:35 - 2014-11-27 02:43 - 00389296 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2014-12-11 02:35 - 2014-11-27 02:10 - 00342200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2014-12-11 02:35 - 2014-11-22 04:13 - 25059840 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-12-11 02:35 - 2014-11-22 04:06 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 04:06 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00580096 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:50 - 00066560 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 02885120 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-12-11 02:35 - 2014-11-22 03:49 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:48 - 00088064 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:41 - 00054784 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 03:40 - 00034304 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-12-11 02:35 - 2014-11-22 03:37 - 00633856 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-12-11 02:35 - 2014-11-22 03:35 - 00114688 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-12-11 02:35 - 2014-11-22 03:34 - 06039552 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-12-11 02:35 - 2014-11-22 03:34 - 00814080 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 03:26 - 00968704 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-12-11 02:35 - 2014-11-22 03:22 - 19749376 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2014-12-11 02:35 - 2014-11-22 03:22 - 00490496 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 03:20 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2014-12-11 02:35 - 2014-11-22 03:14 - 00077824 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 03:09 - 00199680 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-12-11 02:35 - 2014-11-22 03:08 - 00092160 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00501248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2014-12-11 02:35 - 2014-11-22 03:07 - 00062464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2014-12-11 02:35 - 2014-11-22 03:06 - 00047616 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieetwproxystub.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00316928 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 03:05 - 00064000 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MshtmlDac.dll
2014-12-11 02:35 - 2014-11-22 03:01 - 02277888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2014-12-11 02:35 - 2014-11-22 02:59 - 00047104 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2014-12-11 02:35 - 2014-11-22 02:58 - 00030720 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2014-12-11 02:35 - 2014-11-22 02:56 - 00478208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2014-12-11 02:35 - 2014-11-22 02:54 - 00620032 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:49 - 00718848 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-12-11 02:35 - 2014-11-22 02:47 - 01359360 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:46 - 02125312 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:45 - 00418304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtmsft.dll
2014-12-11 02:35 - 2014-11-22 02:43 - 14412800 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:40 - 00060416 _____ (Microsoft Corporation) C:\Windows\SysWOW64\JavaScriptCollectionAgent.dll
2014-12-11 02:35 - 2014-11-22 02:36 - 00168960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msrating.dll
2014-12-11 02:35 - 2014-11-22 02:35 - 00076288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2014-12-11 02:35 - 2014-11-22 02:33 - 00285696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dxtrans.dll
2014-12-11 02:35 - 2014-11-22 02:29 - 04299264 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2014-12-11 02:35 - 2014-11-22 02:28 - 02358272 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-12-11 02:35 - 2014-11-22 02:23 - 00688640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2014-12-11 02:35 - 2014-11-22 02:22 - 02052096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2014-12-11 02:35 - 2014-11-22 02:21 - 01155072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmlmedia.dll
2014-12-11 02:35 - 2014-11-22 02:15 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-12-11 02:35 - 2014-11-22 02:13 - 12836864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2014-12-11 02:35 - 2014-11-22 02:03 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-12-11 02:35 - 2014-11-22 02:00 - 01888256 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2014-12-11 02:35 - 2014-11-22 01:56 - 01307136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2014-12-11 02:35 - 2014-11-22 01:54 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2014-12-11 02:35 - 2014-11-11 04:09 - 01424384 _____ (Microsoft Corporation) C:\Windows\system32\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 03:44 - 01230336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2014-12-11 02:35 - 2014-11-11 02:46 - 00119296 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tdx.sys
2014-12-11 02:34 - 2014-11-08 04:16 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2014-12-11 02:34 - 2014-11-08 03:45 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2014-12-11 02:34 - 2014-10-30 03:03 - 00165888 _____ (Microsoft Corporation) C:\Windows\system32\charmap.exe
2014-12-11 02:34 - 2014-10-30 02:45 - 00155136 _____ (Microsoft Corporation) C:\Windows\SysWOW64\charmap.exe
2014-12-11 02:34 - 2014-10-03 03:12 - 02020352 _____ (Microsoft Corporation) C:\Windows\system32\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00346624 _____ (Microsoft Corporation) C:\Windows\system32\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 03:12 - 00181248 _____ (Microsoft Corporation) C:\Windows\system32\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 03:11 - 00266240 _____ (Microsoft Corporation) C:\Windows\system32\WSManHTTPConfig.exe
2014-12-11 02:34 - 2014-10-03 02:45 - 01177088 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmSvc.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00248832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManMigrationPlugin.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00214016 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmWmiPl.dll
2014-12-11 02:34 - 2014-10-03 02:45 - 00145920 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WsmAuto.dll
2014-12-11 02:34 - 2014-10-03 02:44 - 00198656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WSManHTTPConfig.exe
2014-12-11 00:56 - 2014-12-11 00:57 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-10 20:36 - 2014-07-30 20:05 - 01356696 _____ () C:\Windows\system32\Drivers\fvstore.dat
2015-01-10 20:35 - 2012-08-21 00:32 - 00001124 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-10 20:34 - 2012-08-21 02:32 - 01474832 _____ () C:\Windows\system32\Drivers\sfi.dat
2015-01-10 20:27 - 2013-11-12 15:45 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-10 20:27 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-10 20:27 - 2009-07-14 05:45 - 00027888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-10 20:20 - 2012-11-07 19:17 - 00000000 ___RD () C:\Users\Tobias\Dropbox
2015-01-10 20:17 - 2012-11-07 19:14 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Dropbox
2015-01-10 20:15 - 2014-04-27 14:00 - 00042687 _____ () C:\Windows\setupact.log
2015-01-10 20:15 - 2012-08-21 00:39 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-10 20:15 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-10 19:22 - 2012-08-23 00:00 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Adobe
2015-01-10 19:13 - 2012-08-21 02:49 - 00000000 ____D () C:\ProgramData\Adobe
2015-01-10 19:13 - 2012-08-21 02:15 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Logitech
2015-01-10 19:13 - 2012-08-21 01:22 - 00000000 ____D () C:\Program Files\Logitech Gaming Software
2015-01-10 19:09 - 2012-08-21 01:21 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Logishrd
2015-01-10 19:07 - 2012-08-21 03:02 - 00000932 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job
2015-01-10 18:52 - 2012-08-21 02:04 - 00206056 _____ () C:\Windows\PFRO.log
2015-01-10 18:10 - 2014-04-07 18:25 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Paint.NET
2015-01-10 18:05 - 2012-09-26 22:32 - 00219136 ___SH () C:\Users\Tobias\Thumbs.db
2015-01-10 15:07 - 2014-08-07 09:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-01-10 15:07 - 2014-04-17 06:57 - 00000000 ____D () C:\ProgramData\Oracle
2015-01-10 14:38 - 2014-06-13 19:33 - 00000000 ____D () C:\Windows\Minidump
2015-01-10 11:12 - 2012-08-21 03:51 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Skype
2015-01-10 04:07 - 2012-08-21 03:02 - 00000910 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-10 01:05 - 2012-08-21 00:32 - 00001072 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job
2015-01-09 16:05 - 2012-08-21 00:22 - 00000000 ____D () C:\Users\Tobias
2015-01-09 15:00 - 2014-01-13 21:56 - 00000000 ____D () C:\Users\Tobias\AppData\Local\NVIDIA Corporation
2015-01-09 14:59 - 2012-08-21 00:42 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
2015-01-09 14:59 - 2012-08-21 00:28 - 00000000 ____D () C:\Program Files (x86)\NVIDIA Corporation
2015-01-09 14:56 - 2012-08-21 00:38 - 00935240 _____ (NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
2015-01-09 14:55 - 2013-02-25 23:32 - 18594432 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2umx.dll
2015-01-09 14:55 - 2013-02-25 23:32 - 03293136 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi64.dll
2015-01-09 14:55 - 2013-02-25 23:32 - 02897824 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvapi.dll
2015-01-09 14:55 - 2012-08-21 00:28 - 00000000 ____D () C:\Program Files\NVIDIA Corporation
2015-01-09 14:54 - 2014-02-19 14:19 - 16040184 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll
2015-01-09 14:54 - 2013-02-25 23:32 - 32099472 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll
2015-01-09 14:54 - 2013-02-25 23:32 - 14128496 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll
2015-01-09 14:42 - 2012-08-21 00:28 - 00000000 ____D () C:\ProgramData\NVIDIA Corporation
2015-01-09 14:41 - 2014-01-13 21:43 - 00035472 _____ (NVIDIA Corporation) C:\Windows\system32\nvaudcap64v.dll
2015-01-09 10:38 - 2014-07-14 01:19 - 00000000 ____D () C:\AdwCleaner
2015-01-09 10:00 - 2014-07-14 01:19 - 00129752 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-09 00:00 - 2014-07-14 01:19 - 00096472 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-08 18:56 - 2012-11-06 01:20 - 00092624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfcm110u.dll
2015-01-08 18:56 - 2012-11-06 01:20 - 00073680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mfc110esn.dll
2015-01-08 15:10 - 2014-10-20 19:21 - 00000000 ____D () C:\Program Files (x86)\iTunes
2015-01-07 23:52 - 2012-08-21 19:59 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\TS3Client
2015-01-07 22:29 - 2014-11-02 13:37 - 00020491 _____ () C:\Users\Tobias\Downloads\Bartholomäus.ods
2015-01-07 17:57 - 2014-07-14 01:19 - 00063704 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00025816 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-01-07 17:57 - 2014-07-14 01:19 - 00000000 ____D () C:\Program Files (x86)\Malwarebytes Anti-Malware
2015-01-07 17:09 - 2012-08-24 18:39 - 00000000 ___HD () C:\Program Files (x86)\InstallShield Installation Information
2015-01-04 10:55 - 2009-07-14 05:45 - 00309736 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-01-04 10:54 - 2012-10-12 13:12 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-01 23:53 - 2014-04-08 12:53 - 00000000 ____D () C:\The KMPlayer
2014-12-26 18:34 - 2012-08-21 00:32 - 00067200 _____ () C:\Users\Tobias\AppData\Local\GDIPFONTCACHEV1.DAT
2014-12-26 11:27 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\rescache
2014-12-24 15:13 - 2012-08-21 03:52 - 00000000 ____D () C:\Users\Tobias\AppData\Local\Thunderbird
2014-12-22 23:33 - 2014-03-26 23:04 - 00000000 ____D () C:\Program Files (x86)\Tunngle
2014-12-22 23:33 - 2014-03-25 17:45 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Tunngle
2014-12-22 23:20 - 2012-08-22 19:18 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\vlc
2014-12-21 01:17 - 2013-11-12 15:45 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-12-21 01:17 - 2013-02-09 22:21 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-12-21 01:17 - 2013-02-09 22:21 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-12-21 00:56 - 2014-06-14 07:38 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\PolicyDefinitions
2014-12-21 00:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\AppCompat
2014-12-20 11:20 - 2013-08-15 00:57 - 00000000 ____D () C:\Windows\system32\MRT
2014-12-20 11:13 - 2012-08-21 15:18 - 112710672 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-12-19 20:35 - 2014-04-18 20:00 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\uTorrent
2014-12-19 14:56 - 2014-11-29 20:04 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\.ACEStream
2014-12-16 22:02 - 2014-11-29 20:06 - 00000000 ___HD () C:\_acestream_cache_
2014-12-13 20:44 - 2012-11-07 19:17 - 00001021 _____ () C:\Users\Tobias\Desktop\Dropbox.lnk
2014-12-13 20:44 - 2012-11-07 19:15 - 00000000 ____D () C:\Users\Tobias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
2014-12-13 11:08 - 2014-02-19 14:18 - 00027983 _____ () C:\Windows\system32\nvinfo.pb
2014-12-13 09:03 - 2012-08-21 00:38 - 06859408 _____ (NVIDIA Corporation) C:\Windows\system32\nvcpl.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 03513488 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvc64.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 02558608 _____ (NVIDIA Corporation) C:\Windows\system32\nvsvcr.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 00386368 _____ (NVIDIA Corporation) C:\Windows\system32\nvmctray.dll
2014-12-13 09:03 - 2012-08-21 00:38 - 00062608 _____ (NVIDIA Corporation) C:\Windows\system32\nvshext.dll
2014-12-13 01:12 - 2014-01-13 21:53 - 02824504 _____ (NVIDIA Corporation) C:\Windows\system32\nvspcap64.dll
2014-12-13 01:12 - 2014-01-13 21:53 - 02210040 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspcap.dll
2014-12-13 00:11 - 2012-08-21 00:38 - 04151176 _____ () C:\Windows\system32\nvcoproc.bin
2014-12-12 11:12 - 2014-05-15 12:25 - 00000000 ____D () C:\Windows\System32\Tasks\COMODO
2014-12-12 10:42 - 2009-07-14 18:58 - 00801286 _____ () C:\Windows\system32\perfh007.dat
2014-12-12 10:42 - 2009-07-14 18:58 - 00206086 _____ () C:\Windows\system32\perfc007.dat
2014-12-11 20:14 - 2014-09-22 10:14 - 00000000 ____D () C:\Users\Tobias\.maptool

Some content of TEMP:
====================
C:\Users\Tobias\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp4uct5y.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-04 11:50

==================== End Of Log ============================
--- --- ---



Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 07-01-2015
Ran by Tobias at 2015-01-10 20:38:54
Running from C:\Users\Tobias\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)


==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

µTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\uTorrent) (Version: 3.4.2.35702 - BitTorrent Inc.)
Ace Stream Media 3.0.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\AceStream) (Version: 3.0.4 - Ace Stream Media)
Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.10) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated)
A-PDF INFO Changer 2.0 (HKLM-x32\...\A-PDF INFO Changer_is1) (Version:  - A-PDF.com)
Apple Application Support (HKLM-x32\...\{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}) (Version: 3.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{BDD99690-3541-4619-9D2A-3CDDB3E15F9E}) (Version: 8.0.5.6 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Ashampoo Photo Optimizer 5 v.5.1.1 (HKLM-x32\...\Ashampoo Photo Optimizer 5_is1) (Version: 5.1.1 - Ashampoo GmbH & Co. KG)
BASE 5.5 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BASE 5.5) (Version:  - )
Battle.net (HKLM-x32\...\Battle.net) (Version:  - Blizzard Entertainment)
BitTorrent (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\BitTorrent) (Version: 7.9.2.32692 - BitTorrent Inc.)
BlueStacks App Player (HKLM-x32\...\BlueStacks App Player) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
BlueStacks Notification Center (HKLM-x32\...\{8DCCC556-265B-478A-8B32-C12DA988BA74}) (Version: 0.9.4.4079 - BlueStack Systems, Inc.)
Bonjour (HKLM\...\{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}) (Version: 3.0.0.10 - Apple Inc.)
Codecs for Windows 7 Pack 4.0.5 (HKLM-x32\...\Codecs for Windows 7 Pack) (Version: 4.0.5 - Codecs for Windows 7 Pack)
COMODO Internet Security (HKLM\...\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}) (Version: 5.10.31649.2253 - COMODO Security Solutions Inc.)
CPUID CPU-Z 1.66.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
d20Pro (HKLM-x32\...\d20Pro) (Version:  - )
DAEMON Tools Ultra (HKLM-x32\...\DAEMON Tools Ultra) (Version: 2.1.0.0187 - Disc Soft Ltd)
DAoC Portal (HKLM-x32\...\{EC9359B3-2548-4DB1-B322-6D71A17501F9}) (Version: 2.8.2 - Dawn of Light)
DAOC-Charplan (HKLM-x32\...\DAOCCharplan) (Version:  - )
Dark Age of Camelot (HKLM-x32\...\Dark Age of Camelot) (Version:  - Electronic Arts)
Debut Video Capture Software (HKLM-x32\...\Debut) (Version: 2.05 - NCH Software)
DisplayFusion 4.1 (HKLM-x32\...\B076073A-5527-4f4f-B46B-B10692277DA2_is1) (Version: 4.1.0.0 - Binary Fortress Software)
DivX-Setup (HKLM-x32\...\DivX Setup) (Version: 2.6.1.90 - DivX, LLC)
doubleTwist Sync (HKLM-x32\...\doubleTwist) (Version: 4.0.4.19771 - doubleTwist Corporation)
Dropbox (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Dropbox) (Version: 3.0.3 - Dropbox, Inc.)
EroBottle 4.6  (HKLM-x32\...\EroBottle) (Version: 4.6 - Kai Ebersbach - www.erosoft.de)
EroBottle-Extensions-Editor Vers. 1.4 (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\EroBottle-Extensions-Editor Vers. 1.4) (Version:  - )
Evernote v. 5.6.4 (HKLM-x32\...\{DFDF0BE2-2D71-11E4-9454-00163E98E7D6}) (Version: 5.6.4.4632 - Evernote Corp.)
Facebook Video Calling 1.2.0.287 (HKLM-x32\...\{B92C5909-1D37-4C51-8397-A28BB28E5DC3}) (Version: 1.2.287 - Skype Limited)
Fantasy Voice Pack (HKLM-x32\...\{86E06E3C-CAAD-4A11-B984-B05961FDA98A}) (Version: 1.3.3 - Screaming Bee)
Fraps (remove only) (HKLM-x32\...\Fraps) (Version:  - )
Genesis version Genesis Launcher 1.005 (HKLM-x32\...\{975e7799-c584-47f0-9c12-c1551f3e95f2}_is1) (Version: Genesis Launcher 1.005 - Pawel D. alias Laplume for Genesis.)
Google Chrome (HKU\S-1-5-21-2764848105-337601815-2700051401-1000\...\Google Chrome) (Version: 39.0.2171.95 - Google Inc.)
Google Talk Plugin (HKLM-x32\...\{0C5C1177-94C5-3EFB-A8BE-3F6AF1AF887F}) (Version: 5.38.6.0 - Google)
Hearthstone (HKLM-x32\...\Hearthstone) (Version:  - Blizzard Entertainment)
Hero Lab 4.1 (HKLM-x32\...\{760AA190-82DF-4A80-BE05-B9FEEC88946D}_is1) (Version: 4.1 - LWD Technology, Inc.)
iCloud (HKLM\...\{81E20D41-C277-4526-934D-F2380AF91B78}) (Version: 3.1.0.40 - Apple Inc.)
iTunes (HKLM\...\{2ABBBD91-91E5-4AD7-929A-FE15D1DC0576}) (Version: 12.0.1.26 - Apple Inc.)
Java 8 Update 25 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86418025F0}) (Version: 8.0.250 - Oracle Corporation)
JDownloader 0.9 (HKLM-x32\...\5513-1208-7298-9440) (Version: 0.9 - AppWork GmbH)
JMicron JMB36X Driver (HKLM-x32\...\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}) (Version: 1.17.65.11 - JMicron Technology Corp.)
Logitech Gaming Software 8.57 (HKLM\...\Logitech Gaming Software) (Version: 8.57.145 - Logitech Inc.)
LogMeIn Hamachi (HKLM-x32\...\LogMeIn Hamachi) (Version: 2.2.0.58 - LogMeIn, Inc.)
LogMeIn Hamachi (x32 Version: 2.2.0.58 - LogMeIn, Inc.) Hidden
MAGIX Screenshare (HKLM-x32\...\{B63DFA23-5C10-44B4-881D-45EFBF4A4761}) (Version: 4.3.6.1987 - MAGIX AG)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106 (HKLM-x32\...\{8e70e4e1-06d7-470b-9f74-a51bef21088e}) (Version: 11.0.51106.1 - Microsoft Corporation)
MiKTeX 2.9 (HKLM-x32\...\MiKTeX 2.9) (Version: 2.9 - MiKTeX.org)
Mora's Ausrüstungsplaner (HKLM-x32\...\{8A33CE67-80FB-4469-9ED1-E5D116391F68}_is1) (Version: 1.72 - Mora)
MorphVOX Junior (HKLM-x32\...\{E6C7380F-15DD-445E-BA02-B7A180BA0A5A}) (Version: 2.8.1 - Screaming Bee)
Mozilla Firefox 34.0.5 (x86 de) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 de)) (Version: 34.0.5 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mozilla Thunderbird 31.3.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 31.3.0 (x86 de)) (Version: 31.3.0 - Mozilla)
MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
NEF Codec (HKLM-x32\...\{D6506521-0959-4FA3-875F-E2E28830B0D2}) (Version: 1.00.0000 - Nikon)
NSU (HKLM-x32\...\{323F7AD9-1F4D-49E1-973B-80E1B6F1623A}) (Version: 1.00.1000 - Medion AG)
NVIDIA 3D Vision Controller-Treiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB) (Version: 347.09 - NVIDIA Corporation)
NVIDIA 3D Vision Treiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 347.09 - NVIDIA Corporation)
NVIDIA GeForce Experience 2.1.5 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.5 - NVIDIA Corporation)
NVIDIA Grafiktreiber 347.09 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 347.09 - NVIDIA Corporation)
NVIDIA HD-Audiotreiber 1.3.33.0 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver) (Version: 1.3.33.0 - NVIDIA Corporation)
NVIDIA PhysX-Systemsoftware 9.14.0702 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX) (Version: 9.14.0702 - NVIDIA Corporation)
OpenOffice.org 3.4.1 (HKLM-x32\...\{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}) (Version: 3.41.9593 - Apache Software Foundation)
Paint.NET v3.5.11 (HKLM\...\{72EF03F5-0507-4861-9A44-D99FD4C41418}) (Version: 3.61.0 - dotPDN LLC)
Patch Origins version 1.0.11 (HKLM-x32\...\{75147b12-6219-448d-886b-0a9a02d1e648}_is1) (Version: 1.0.11 - Pawel D. alias Laplume pour Origins.)
PCGen6000 (HKLM-x32\...\PCGen6000) (Version:  - )
PDF Architect (HKLM-x32\...\{80A07844-CA64-4DE4-AB61-D37DDBE8074F}) (Version: 1.0.52.8917 - pdfforge)
PDFCreator (HKLM-x32\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 1.6.2 - pdfforge)
QuickTime (HKLM-x32\...\{7BE15435-2D3E-4B58-867F-9C75BED0208C}) (Version: 7.71.80.42 - Apple Inc.)
RarZilla Free Unrar (HKLM-x32\...\RarZilla Free Unrar) (Version: 4.80 - Philipp Winterberg)
Razer Core (HKLM-x32\...\Razer Core) (Version: 1.0.1.66 - Razer Inc)
Razer Synapse 2.0 (HKLM-x32\...\{0D78BEE2-F8FF-4498-AF1A-3FF81CED8AC6}) (Version: 1.17.22 - Razer Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7083 - Realtek Semiconductor Corp.)
Samsung Kies3 (HKLM-x32\...\InstallShield_{88547073-C566-4895-9005-EBE98EA3F7C7}) (Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.)
Samsung Kies3 (x32 Version: 3.2.14113.3 - Samsung Electronics Co., Ltd.) Hidden
Scrabble3D (HKLM-x32\...\{E11BBF69-C686-45B3-9267-CE44603B47AE}) (Version: 3.1.0.29 - Heiko Tietze)
SHIELD Streaming (Version: 3.1.3000 - NVIDIA Corporation) Hidden
SHIELD Wireless Controller Driver (Version: 16.18.9 - NVIDIA Corporation) Hidden
Sid Meier's Civilization 4 - Beyond the Sword (HKLM-x32\...\{32E4F0D2-C135-475E-A841-1D59A0D22989}) (Version: 3.19 - Firaxis Games)
Sid Meier's Civilization 4 - Warlords (HKLM-x32\...\{3E4B349F-10B5-4586-9D99-489A90A8B228}) (Version: 2.13 - Firaxis Games)
Sid Meier's Civilization 4 (HKLM-x32\...\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}) (Version: 1.74 - Firaxis Games)
Sid Meier's Civilization 4 (x32 Version: 1.00.0000 - Firaxis Games) Hidden
Skype™ 6.21 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 6.21.104 - Skype Technologies S.A.)
SlimDrivers (HKLM-x32\...\{A5457401-D56A-43F2-9524-78E54A7FC07A}) (Version: 2.2.32705 - SlimWare Utilities, Inc.)
Steam (HKLM-x32\...\Steam) (Version:  - Valve Corporation)
TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
TeamViewer 9 (HKLM-x32\...\TeamViewer 9) (Version: 9.0.27339 - TeamViewer)
TeXstudio 2.6.6 (HKLM-x32\...\TeXstudio_is1) (Version: 2.6.6 - Benito van der Zander)
The Elder Scrolls V: Skyrim (HKLM-x32\...\Steam App 72850) (Version:  - Bethesda Game Studios)
The KMPlayer (HKLM-x32\...\The KMPlayer) (Version: 3.8.0.122 - PandoraTV)
ThrashIRC version 2.9 (HKLM-x32\...\{D3C0BE0C-9761-4AC1-8CEF-B53796FEDE44}) (Version: 2.9.0 - Anthony Thrash Durbin)
TuneUp Utilities Language Pack (de-DE) (x32 Version: 13.0.3000.132 - TuneUp Software) Hidden
Tunngle Version Tunngle (HKLM-x32\...\Tunngle_is1) (Version: Tunngle - Tunngle.net GmbH)
VC80CRTRedist - 8.0.50727.6195 (x32 Version: 1.2.0 - DivX, Inc) Hidden
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: 5.4.7.0 - Elaborate Bytes)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Wondershare TunesGo(Version 5.0.0) (HKLM-x32\...\{ADBA24FE-D6F6-4B21-97F3-D58A327422E4}_is1) (Version: 5.0.0 - Wondershare)
x264vfw - H.264/MPEG-4 AVC codec (remove only) (HKLM-x32\...\x264vfw) (Version:  - )
Zune (HKLM\...\Zune) (Version: 04.08.2345.00 - Microsoft Corporation)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Tobias\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll (Dropbox, Inc.)
CustomCLSID: HKU\S-1-5-21-2764848105-337601815-2700051401-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Tobias\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

==================== Restore Points  =========================

Could not list restore points.
Check "winmgmt" service or repair WMI.


==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {079E9101-891E-400C-9EB7-68E86D3C67B0} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {0ACE5948-49B8-4051-B091-2D7731DAB0AF} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2014-12-09] (COMODO)
Task: {1F4CE6EE-F11B-4D45-BD80-648A7AE51668} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {2149ACB9-406A-4799-B03D-E464744C55B0} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {435F4013-DAB5-42A2-8608-FE980F293497} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {4A6BB261-2823-48D6-B5FF-3605A1B5D549} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {6EC5EE04-6804-4582-9F1B-F1D9319F54BF} - System32\Tasks\{2C2811EC-68D2-4790-A416-DCB51A70191C} => pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\InstallHook.exe" -d "C:\Program Files\TeamSpeak 3 Client\plugins\ts3overlay\" -c ts3overlay_hook_win32.dll 10000
Task: {70CE8F9B-36A7-4EE3-AB38-59EED8E2D903} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {C6B6DD74-7D6C-4DD0-93D8-4DBEECDA58C8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2012-08-21] (Google Inc.)
Task: {CA52BB50-4FB5-409E-B7E4-46F3F176FCC1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {D16C173F-EEF5-4641-ACAD-F5D7A5DCAF4F} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {D1C7621B-5C1D-4484-B24A-2BBB99883037} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2014-12-09] (COMODO)
Task: {FB26CFD0-7289-4703-9BBC-9DC6E4546010} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-21] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000Core.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764848105-337601815-2700051401-1000UA.job => C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) =============

2012-08-21 00:38 - 2014-12-13 09:03 - 00117576 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll
2014-09-18 08:23 - 2014-09-18 08:23 - 00866584 _____ () C:\Program Files\Logitech Gaming Software\libGLESv2.dll
2014-10-14 19:51 - 2014-10-14 19:51 - 01050904 _____ () C:\Program Files\Logitech Gaming Software\platforms\qwindows.dll
2014-09-18 08:23 - 2014-09-18 08:23 - 00059160 _____ () C:\Program Files\Logitech Gaming Software\libEGL.dll
2014-10-14 19:51 - 2014-10-14 19:51 - 00242456 _____ () C:\Program Files\Logitech Gaming Software\imageformats\qjpeg.dll
2013-11-15 01:48 - 2013-11-15 01:48 - 01861968 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
2011-12-19 17:59 - 2013-04-15 18:39 - 00073424 _____ () C:\Program Files\COMODO\COMODO Internet Security\scanners\smart.cav
2014-01-20 13:17 - 2014-01-20 13:17 - 00073544 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
2014-10-11 12:05 - 2014-10-11 12:05 - 01044776 _____ () C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
2013-09-14 01:51 - 2013-09-14 01:51 - 00087952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\zlib1.dll
2013-09-14 01:50 - 2013-09-14 01:50 - 01242952 _____ () C:\Program Files (x86)\Common Files\Apple\Internet Services\libxml2.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00750080 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libGLESv2.dll
2015-01-10 20:16 - 2015-01-10 20:16 - 00043008 _____ () c:\users\tobias\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp4uct5y.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00047616 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\libEGL.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00863744 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\platforms\qwindows.dll
2014-10-22 01:22 - 2014-10-22 01:22 - 00200704 _____ () C:\Users\Tobias\AppData\Roaming\Dropbox\bin\plugins\imageformats\qjpeg.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00436576 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2014-08-26 15:47 - 2014-08-26 15:47 - 00318304 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll
2012-08-10 15:51 - 2012-08-10 15:51 - 00985088 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll
2013-11-15 01:49 - 2013-11-15 01:49 - 00100688 _____ () C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
2014-12-11 00:56 - 2014-12-11 00:57 - 03758192 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2014-12-21 01:17 - 2014-12-21 01:17 - 16843952 _____ () C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_235.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Windows\system32\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvapi64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvaudcap64v.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcompiler.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcuda.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvcuvid.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvd3dumx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvdispco6434709.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvdispgenco6434709.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\NvFBC64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvhdagenco64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvhdap64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\NvIFR64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvinitx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvoglshim64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvoglv64.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvopencl.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvumdshimx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvvsvc.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\nvwgf2umx.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\FlashPlayerApp.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\ieUnatt.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfc110esn.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\mfcm110u.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvapi.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvaudcap32v.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcompiler.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcuda.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvcuvid.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvd3dum.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\NvFBC.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\NvIFR.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvinit.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvoglshim32.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvoglv32.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvopencl.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvStreaming.exe:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvumdshim.dll:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\nvwgf2um.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mbam.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mwac.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvhda64v.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvlddmkm.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\nvvad64v.sys:$CmdTcID
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF
AlternateDataStreams: C:\Users\Tobias\Desktop\3+-+Kognitive+Aktivierung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Alpines - Cocoon - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Amanaemonesia - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Chairlift - Bruises - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\ComboFix.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\Defogger.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\esetsmartinstaller_deu.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\FRST64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Grimes - Vanessa (Official Video) - from YouTube.mp3:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben 1.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\Logarithmusaufgaben mit Lösungen.PDF:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\mbar-1.08.2.1001.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\o5lw8g6g.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\SecurityCheck.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Desktop\tdsskiller.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\AdwCleaner_4.107.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Aufgaben_und_Loesungen_zu_Logarithmen.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Charakter_N'Tser Hreshzar Lodokain.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DieWinterkoenigin-Spielerleitfaden_80ff (1).pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\doubleTwistSetupFull.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\DS-Battlefield.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Falkengrunds_letzte_Hoffnung_f2d3.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Fitch-Formelsammlung.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS-Blob.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GS_Schlangenmensch.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\GT_Klosterkarte.jpg:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\jre-8u25-windows-x64(1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\jre-8u25-windows-x64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Kies_3.2.14113_3.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\LGS_8.57.145_x64_Logitech.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdTcID
AlternateDataStreams: C:\Users\Tobias\Downloads\mbar-1.08.2.1001(1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\setup_pc_check_tuning.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Spielleiterinformationen_Finstermond_Module_als_Kampagne_00f6.pdf:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\TunesGoforAndroid.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0 (1).exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Tunngle_Setup_v5.0.exe:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\Versuch-21.odt:$CmdZnID
AlternateDataStreams: C:\Users\Tobias\Downloads\[kickass.so]d.d.5e.player.s.handbook.monster.manual.adventure.lost.mine.of.phandelver.torrent:$CmdZnID

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\startupreg: BlueStacks Agent => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
MSCONFIG\startupreg: DAEMON Tools Ultra Agent => "C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe" -autorun
MSCONFIG\startupreg: Hoolapp Android => "C:\Users\Tobias\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized
MSCONFIG\startupreg: LogMeIn Hamachi Ui => "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent
MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
MSCONFIG\startupreg: VirtualCloneDrive => "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
MSCONFIG\startupreg: Wondershare Helper Compact.exe => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
MSCONFIG\startupreg: Zune Launcher => "C:\Program Files\Zune\ZuneLauncher.exe"

========================= Accounts: ==========================

Administrator (S-1-5-21-2764848105-337601815-2700051401-500 - Administrator - Disabled)
Gast (S-1-5-21-2764848105-337601815-2700051401-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-2764848105-337601815-2700051401-1014 - Limited - Enabled)
Tobias (S-1-5-21-2764848105-337601815-2700051401-1000 - Administrator - Enabled) => C:\Users\Tobias

==================== Faulty Device Manager Devices =============

Could not list Devices. Check "winmgmt" service or repair WMI.


==================== Event log errors: =========================

Could not start eventlog service, could not read events.

Systemfehler 123 aufgetreten.

Die Syntax f�r den Dateinamen, Verzeichnisnamen oder die Datentr�gerbezeichnung ist falsch.


==================== Memory info ===========================

Processor: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Percentage of memory in use: 37%
Total physical RAM: 6142.49 MB
Available physical RAM: 3838.89 MB
Total Pagefile: 12283.16 MB
Available Pagefile: 9590.38 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:596.07 GB) (Free:148.44 GB) NTFS
Drive d: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive e: () (Fixed) (Total:465.75 GB) (Free:37.81 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (NAS-SERVER) (CDROM) (Total:0.24 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596.2 GB) (Disk ID: 7E967411)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=596.1 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 115D115D)
Partition 1: (Active) - (Size=465.8 GB) - (Type=07 NTFS)

==================== End Of Log ============================


Combofix hat auch im 2. Versuch keine Log-Datei erstellt.

schrauber 10.01.2015 22:54
Combofix löschen und neu laden.(Auf den Desktop, wichtig!!!)
AV Programm abschalten.

Windows Taste + R, schreibe

"%userprofile%\Desktop\Combofix.exe" /KillAll

Wilfried49 11.01.2015 01:31
Wieder die gleichen Fehlermeldungen und keine Log-File.

Combofix neu auf den Desktop geladen und alle Deine angegebenen Schritte so ausgeführt. Dafür geht die Tastatur gerade wieder - versteh' das einer!

Sorry auch, dass ich nur so knapp geschrieben habe, das mit der Bildschirmtatstatur ist echt eine Katastrophe!

schrauber 11.01.2015 08:32
intressant:

Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Wilfried49 11.01.2015 10:40
Übrigens, ich hatte ja erwähnt, dass der PC im Ruhemodus ("Energie sparen") manchmal aus geht. Ab und an produziert das ~5min nach Auswahl des Buttons, wenn der Bildschirm schon schwarz ist, einen Bluescreen. Ich glaube, das hatte ich noch nicht erwähnt.

Beide Scanner konnten keine Bedrohungen finden.



Code:
10:07:59.0722 0x141c  TDSS rootkit removing tool 3.0.0.42 Dec 12 2014 00:35:20
10:08:20.0112 0x141c  ============================================================
10:08:20.0112 0x141c  Current date / time: 2015/01/11 10:08:20.0112
10:08:20.0112 0x141c  SystemInfo:
10:08:20.0112 0x141c 
10:08:20.0112 0x141c  OS Version: 6.1.7601 ServicePack: 1.0
10:08:20.0112 0x141c  Product type: Workstation
10:08:20.0112 0x141c  ComputerName: TOBIAS-PC
10:08:20.0112 0x141c  UserName: Tobias
10:08:20.0112 0x141c  Windows directory: C:\Windows
10:08:20.0112 0x141c  System windows directory: C:\Windows
10:08:20.0112 0x141c  Running under WOW64
10:08:20.0112 0x141c  Processor architecture: Intel x64
10:08:20.0112 0x141c  Number of processors: 2
10:08:20.0112 0x141c  Page size: 0x1000
10:08:20.0112 0x141c  Boot type: Normal boot
10:08:20.0112 0x141c  ============================================================
10:08:23.0032 0x141c  KLMD registered as C:\Windows\system32\drivers\47117638.sys
10:08:23.0621 0x141c  System UUID: {DCCCF1B6-EB8B-84C2-B339-5DA717FE1A5F}
10:08:24.0696 0x141c  Drive \Device\Harddisk0\DR0 - Size: 0x7470AFDE00 ( 465.76 Gb ), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
10:08:24.0706 0x141c  Drive \Device\Harddisk1\DR1 - Size: 0x950AF4DE00 ( 596.17 Gb ), SectorSize: 0x200, Cylinders: 0x14301, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xF0, Type 'K0', Flags 0x00000040
10:08:24.0711 0x141c  ============================================================
10:08:24.0711 0x141c  \Device\Harddisk0\DR0:
10:08:24.0711 0x141c  MBR partitions:
10:08:24.0711 0x141c  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x3A380D41
10:08:24.0711 0x141c  \Device\Harddisk1\DR1:
10:08:24.0712 0x141c  MBR partitions:
10:08:24.0712 0x141c  \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
10:08:24.0712 0x141c  \Device\Harddisk1\DR1\Partition2: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x4A824800
10:08:24.0712 0x141c  ============================================================
10:08:24.0733 0x141c  C: <-> \Device\Harddisk1\DR1\Partition2
10:08:24.0737 0x141c  D: <-> \Device\Harddisk1\DR1\Partition1
10:08:24.0764 0x141c  E: <-> \Device\Harddisk0\DR0\Partition1
10:08:24.0764 0x141c  ============================================================
10:08:24.0765 0x141c  Initialize success
10:08:24.0765 0x141c  ============================================================
10:08:49.0292 0x122c  ============================================================
10:08:49.0292 0x122c  Scan started
10:08:49.0292 0x122c  Mode: Manual; SigCheck; TDLFS;
10:08:49.0292 0x122c  ============================================================
10:08:49.0292 0x122c  KSN ping started
10:08:51.0719 0x122c  KSN ping finished: true
10:08:52.0646 0x122c  ================ Scan system memory ========================
10:08:52.0646 0x122c  System memory - ok
10:08:52.0647 0x122c  ================ Scan services =============================
10:08:52.0766 0x122c  [ A87D604AEA360176311474C87A63BB88, B1507868C382CD5D2DBC0D62114FCFBF7A780904A2E3CA7C7C1DD0844ADA9A8F ] 1394ohci        C:\Windows\system32\drivers\1394ohci.sys
10:08:52.0910 0x122c  1394ohci - ok
10:08:52.0948 0x122c  [ D81D9E70B8A6DD14D42D7B4EFA65D5F2, FDAAB7E23012B4D31537C5BDEF245BB0A12FA060A072C250E21C68E18B22E002 ] ACPI            C:\Windows\system32\drivers\ACPI.sys
10:08:52.0970 0x122c  ACPI - ok
10:08:52.0986 0x122c  [ 99F8E788246D495CE3794D7E7821D2CA, F91615463270AD2601F882CAED43B88E7EDA115B9FD03FC56320E48119F15F76 ] AcpiPmi        C:\Windows\system32\drivers\acpipmi.sys
10:08:53.0061 0x122c  AcpiPmi - ok
10:08:53.0165 0x122c  [ FC5B75CA6A1DA31EDD4F8D53F5540B98, CDC445F2790ADFC4C5568C40D4DA8BB95CD71991665B38AEC3D84571C99C3520 ] AdobeARMservice C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
10:08:53.0180 0x122c  AdobeARMservice - ok
10:08:53.0302 0x122c  [ 4E48A7DF7ECACB38C686B2BEBAA687A3, D4DEE6BD464855B24A6D40BC6A9279B2041099615C6A319D869DA113AD896EA3 ] AdobeFlashPlayerUpdateSvc C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
10:08:53.0320 0x122c  AdobeFlashPlayerUpdateSvc - ok
10:08:53.0372 0x122c  [ 2F6B34B83843F0C5118B63AC634F5BF4, 43E3F5FBFB5D33981AC503DEE476868EC029815D459E7C36C4ABC2D2F75B5735 ] adp94xx        C:\Windows\system32\DRIVERS\adp94xx.sys
10:08:53.0400 0x122c  adp94xx - ok
10:08:53.0422 0x122c  [ 597F78224EE9224EA1A13D6350CED962, DA7FD99BE5E3B7B98605BF5C13BF3F1A286C0DE1240617570B46FE4605E59BDC ] adpahci        C:\Windows\system32\DRIVERS\adpahci.sys
10:08:53.0447 0x122c  adpahci - ok
10:08:53.0473 0x122c  [ E109549C90F62FB570B9540C4B148E54, E804563735153EA00A00641814244BC8A347B578E7D63A16F43FB17566EE5559 ] adpu320        C:\Windows\system32\DRIVERS\adpu320.sys
10:08:53.0491 0x122c  adpu320 - ok
10:08:53.0527 0x122c  [ 4B78B431F225FD8624C5655CB1DE7B61, 198A5AF2125C7C41F531A652D200C083A55A97DC541E3C0B5B253C7329949156 ] AeLookupSvc    C:\Windows\System32\aelupsvc.dll
10:08:53.0655 0x122c  AeLookupSvc - ok
10:08:53.0740 0x122c  [ FA886682CFC5D36718D3E436AACF10B9, F80AB4F91AA6B5C7ECCB000D8E1BC2CF776DC3D69B3D9EBC2558C19035A6B3AB ] AFD            C:\Windows\system32\drivers\afd.sys
10:08:53.0805 0x122c  AFD - ok
10:08:53.0821 0x122c  [ 608C14DBA7299D8CB6ED035A68A15799, 45360F89640BF1127C82A32393BD76205E4FA067889C40C491602F370C09282A ] agp440          C:\Windows\system32\drivers\agp440.sys
10:08:53.0837 0x122c  agp440 - ok
10:08:53.0849 0x122c  [ 3290D6946B5E30E70414990574883DDB, 0E9294E1991572256B3CDA6B031DB9F39CA601385515EE59F1F601725B889663 ] ALG            C:\Windows\System32\alg.exe
10:08:53.0887 0x122c  ALG - ok
10:08:53.0910 0x122c  [ 5812713A477A3AD7363C7438CA2EE038, A7316299470D2E57A11499C752A711BF4A71EB11C9CBA731ED0945FF6A966721 ] aliide          C:\Windows\system32\drivers\aliide.sys
10:08:53.0924 0x122c  aliide - ok
10:08:53.0955 0x122c  [ 1FF8B4431C353CE385C875F194924C0C, 3EA3A7F426B0FFC2461EDF4FDB4B58ACC9D0730EDA5B728D1EA1346EA0A02720 ] amdide          C:\Windows\system32\drivers\amdide.sys
10:08:53.0970 0x122c  amdide - ok
10:08:53.0981 0x122c  [ 7024F087CFF1833A806193EF9D22CDA9, E7F27E488C38338388103D3B7EEDD61D05E14FB140992AEE6F492FFC821BF529 ] AmdK8          C:\Windows\system32\DRIVERS\amdk8.sys
10:08:54.0018 0x122c  AmdK8 - ok
10:08:54.0038 0x122c  [ 1E56388B3FE0D031C44144EB8C4D6217, E88CA76FD47BA0EB427D59CB9BE040DE133D89D4E62D03A8D622624531D27487 ] AmdPPM          C:\Windows\system32\DRIVERS\amdppm.sys
10:08:54.0089 0x122c  AmdPPM - ok
10:08:54.0143 0x122c  [ D4121AE6D0C0E7E13AA221AA57EF2D49, 626F43C099BD197BE56648C367B711143C2BCCE96496BBDEF19F391D52FA01D0 ] amdsata        C:\Windows\system32\drivers\amdsata.sys
10:08:54.0160 0x122c  amdsata - ok
10:08:54.0194 0x122c  [ F67F933E79241ED32FF46A4F29B5120B, D6EF539058F159CC4DD14CA9B1FD924998FEAC9D325C823C7A2DD21FEF1DC1A8 ] amdsbs          C:\Windows\system32\DRIVERS\amdsbs.sys
10:08:54.0213 0x122c  amdsbs - ok
10:08:54.0229 0x122c  [ 540DAF1CEA6094886D72126FD7C33048, 296578572A93F5B74E1AD443E000B79DC99D1CBD25082E02704800F886A3065F ] amdxata        C:\Windows\system32\drivers\amdxata.sys
10:08:54.0244 0x122c  amdxata - ok
10:08:54.0275 0x122c  [ 89A69C3F2F319B43379399547526D952, 8ABDB4B8E106F96EBBA0D4D04C4F432296516E107E7BA5644ED2E50CF9BB491A ] AppID          C:\Windows\system32\drivers\appid.sys
10:08:54.0390 0x122c  AppID - ok
10:08:54.0409 0x122c  [ 0BC381A15355A3982216F7172F545DE1, C33AF13CB218F7BF52E967452573DF2ADD20A95C6BF99229794FEF07C4BBE725 ] AppIDSvc        C:\Windows\System32\appidsvc.dll
10:08:54.0469 0x122c  AppIDSvc - ok
10:08:54.0501 0x122c  [ 9D2A2369AB4B08A4905FE72DB104498F, D6FA1705018BABABFA2362E05691A0D6408D14DE7B76129B16D0A1DAD6378E58 ] Appinfo        C:\Windows\System32\appinfo.dll
10:08:54.0547 0x122c  Appinfo - ok
10:08:54.0637 0x122c  [ 650D03E40F93FAE323CB841F80368E5C, F67B97CFDCE2EE9294977725268EFDB0DD724BD16E7ED5BFCA45375AA8EBA5BB ] Apple Mobile Device C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
10:08:54.0651 0x122c  Apple Mobile Device - ok
10:08:54.0697 0x122c  [ 4ABA3E75A76195A3E38ED2766C962899, E2001ACD44DA270B8289DA362D26416676301773AB22616C211F31CF2E7869AA ] AppMgmt        C:\Windows\System32\appmgmts.dll
10:08:54.0733 0x122c  AppMgmt - ok
10:08:54.0748 0x122c  [ C484F8CEB1717C540242531DB7845C4E, C507CE26716EB923B864ED85E8FA0B24591E2784A2F4F0E78AEED7E9953311F6 ] arc            C:\Windows\system32\DRIVERS\arc.sys
10:08:54.0765 0x122c  arc - ok
10:08:54.0828 0x122c  [ 019AF6924AEFE7839F61C830227FE79C, 5926B9DDFC9198043CDD6EA0B384C83B001EC225A8125628C4A45A3E6C42C72A ] arcsas          C:\Windows\system32\DRIVERS\arcsas.sys
10:08:54.0845 0x122c  arcsas - ok
10:08:54.0951 0x122c  [ 9A262EDD17F8473B91B333D6B031A901, 05DFBD3A7D83FDE1D062EA719ACA9EC48CB7FD42D17DDD88B82E5D25469ADD23 ] aspnet_state    C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe
10:08:54.0969 0x122c  aspnet_state - ok
10:08:55.0004 0x122c  [ 769765CE2CC62867468CEA93969B2242, 0D8F19D49869DF93A3876B4C2E249D12E83F9CE11DAE8917D368E292043D4D26 ] AsyncMac        C:\Windows\system32\DRIVERS\asyncmac.sys
10:08:55.0055 0x122c  AsyncMac - ok
10:08:55.0096 0x122c  [ 02062C0B390B7729EDC9E69C680A6F3C, 0261683C6DC2706DCE491A1CDC954AC9C9E649376EC30760BB4E225E18DC5273 ] atapi          C:\Windows\system32\drivers\atapi.sys
10:08:55.0111 0x122c  atapi - ok
10:08:55.0155 0x122c  [ DE3E38431B00C2EA247C53675DCF01A0, 8965192096C94203A1F16689DCDA45FE0EDF3A6FB75B70FC378C2008E8E71C9B ] AudioEndpointBuilder C:\Windows\System32\Audiosrv.dll
10:08:55.0222 0x122c  AudioEndpointBuilder - ok
10:08:55.0255 0x122c  [ DE3E38431B00C2EA247C53675DCF01A0, 8965192096C94203A1F16689DCDA45FE0EDF3A6FB75B70FC378C2008E8E71C9B ] AudioSrv        C:\Windows\System32\Audiosrv.dll
10:08:55.0287 0x122c  AudioSrv - ok
10:08:55.0339 0x122c  [ A6BF31A71B409DFA8CAC83159E1E2AFF, CBB83F73FFD3C3FB4F96605067739F8F7A4A40B2B05417FA49E575E95628753F ] AxInstSV        C:\Windows\System32\AxInstSV.dll
10:08:55.0379 0x122c  AxInstSV - ok
10:08:55.0414 0x122c  [ 3E5B191307609F7514148C6832BB0842, DE011CB7AA4A2405FAF21575182E0793A1D83DFFC44E9A7864D59F3D51D8D580 ] b06bdrv        C:\Windows\system32\DRIVERS\bxvbda.sys
10:08:55.0455 0x122c  b06bdrv - ok
10:08:55.0495 0x122c  [ B5ACE6968304A3900EEB1EBFD9622DF2, 1DAA118D8CA3F97B34DF3D3CDA1C78EAB2ED225699FEABE89D331AE0CB7679FA ] b57nd60a        C:\Windows\system32\DRIVERS\b57nd60a.sys
10:08:55.0520 0x122c  b57nd60a - ok
10:08:55.0536 0x122c  [ FDE360167101B4E45A96F939F388AEB0, 8D1457E866BBD645C4B9710DFBFF93405CC1193BF9AE42326F2382500B713B82 ] BDESVC          C:\Windows\System32\bdesvc.dll
10:08:55.0556 0x122c  BDESVC - ok
10:08:55.0567 0x122c  [ 16A47CE2DECC9B099349A5F840654746, 77C008AEDB07FAC66413841D65C952DDB56FE7DCA5E9EF9C8F4130336B838024 ] Beep            C:\Windows\system32\drivers\Beep.sys
10:08:55.0622 0x122c  Beep - ok
10:08:55.0691 0x122c  [ 82974D6A2FD19445CC5171FC378668A4, 075D25F47C0D2277E40AF8615571DAA5EB16B1824563632A9A7EC62505C29A4A ] BFE            C:\Windows\System32\bfe.dll
10:08:55.0727 0x122c  BFE - ok
10:08:55.0778 0x122c  [ 1EA7969E3271CBC59E1730697DC74682, D511A34D63A6E0E6E7D1879068E2CD3D87ABEAF4936B2EA8CDDAD9F79D60FA04 ] BITS            C:\Windows\System32\qmgr.dll
10:08:55.0853 0x122c  BITS - ok
10:08:55.0876 0x122c  [ 61583EE3C3A17003C4ACD0475646B4D3, 17E4BECC309C450E7E44F59A9C0BBC24D21BDC66DFBA65B8F198A00BB47A9811 ] blbdrive        C:\Windows\system32\DRIVERS\blbdrive.sys
10:08:55.0907 0x122c  blbdrive - ok
10:08:55.0973 0x122c  [ EBBCD5DFBB1DE70E8F4AF8FA59E401FD, 17BFFC5DF609CE3B2F0CAB4BD6C118608C66A3AD86116A47E90B2BB7D8954122 ] Bonjour Service C:\Program Files\Bonjour\mDNSResponder.exe
10:08:55.0997 0x122c  Bonjour Service - ok
10:08:56.0036 0x122c  [ 6C02A83164F5CC0A262F4199F0871CF5, AD4632A6A203CB40970D848315D8ADB9C898349E20D8DF4107C2AE2703A2CF28 ] bowser          C:\Windows\system32\DRIVERS\bowser.sys
10:08:56.0081 0x122c  bowser - ok
10:08:56.0093 0x122c  [ F09EEE9EDC320B5E1501F749FDE686C8, 66691114C42E12F4CC6DC4078D4D2FA4029759ACDAF1B59D17383487180E84E3 ] BrFiltLo        C:\Windows\system32\DRIVERS\BrFiltLo.sys
10:08:56.0151 0x122c  BrFiltLo - ok
10:08:56.0165 0x122c  [ B114D3098E9BDB8BEA8B053685831BE6, 0ED23C1897F35FA00B9C2848DE4ED200E18688AA7825674888054BBC3A3EB92C ] BrFiltUp        C:\Windows\system32\DRIVERS\BrFiltUp.sys
10:08:56.0183 0x122c  BrFiltUp - ok
10:08:56.0225 0x122c  [ 5C2F352A4E961D72518261257AAE204B, 9EE1001E1D46A414A7A86FE1DBBE232203E26F54D9EF43ED31ED8EACD4D09853 ] BridgeMP        C:\Windows\system32\DRIVERS\bridge.sys
10:08:56.0263 0x122c  BridgeMP - ok
10:08:56.0303 0x122c  [ 05F5A0D14A2EE1D8255C2AA0E9E8E694, 40011138869F5496A3E78D38C9900B466B6F3877526AC22952DCD528173F4645 ] Browser        C:\Windows\System32\browser.dll
10:08:56.0335 0x122c  Browser - ok
10:08:56.0362 0x122c  [ 43BEA8D483BF1870F018E2D02E06A5BD, 4E6F5A5FD8C796A110B0DC9FF29E31EA78C04518FC1C840EF61BABD58AB10272 ] Brserid        C:\Windows\System32\Drivers\Brserid.sys
10:08:56.0403 0x122c  Brserid - ok
10:08:56.0422 0x122c  [ A6ECA2151B08A09CACECA35C07F05B42, E2875BB7768ABAF38C3377007AA0A3C281503474D1831E396FB6599721586B0C ] BrSerWdm        C:\Windows\System32\Drivers\BrSerWdm.sys
10:08:56.0454 0x122c  BrSerWdm - ok
10:08:56.0490 0x122c  [ B79968002C277E869CF38BD22CD61524, 50631836502237AF4893ECDCEA43B9031C3DE97433F594D46AF7C3C77F331983 ] BrUsbMdm        C:\Windows\System32\Drivers\BrUsbMdm.sys
10:08:56.0518 0x122c  BrUsbMdm - ok
10:08:56.0532 0x122c  [ A87528880231C54E75EA7A44943B38BF, 4C8BBB29FDA76A96840AA47A8613C15D4466F9273A13941C19507008629709C9 ] BrUsbSer        C:\Windows\System32\Drivers\BrUsbSer.sys
10:08:56.0560 0x122c  BrUsbSer - ok
10:08:56.0647 0x122c  [ FE2EB0B2A4128251E0B8E3DAA86267B5, C666AD4D7A77BAD9BB6461A0FF099F07F404467901B1532F7734BD904B5BC992 ] BstHdAndroidSvc C:\Program Files (x86)\BlueStacks\HD-Service.exe
10:08:56.0676 0x122c  BstHdAndroidSvc - ok
10:08:56.0728 0x122c  [ DD275B81B72C41DA26BECCBFB131B17B, DFCB2A1246EFF6186F8D1D88D25390DA310EC3AC021EE6AE5551C8D684022CF6 ] BstHdDrv        C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys
10:08:56.0744 0x122c  BstHdDrv - ok
10:08:56.0789 0x122c  [ 721B05BF298C2F96BDDEA8DD2CCF66A4, 2AA3528B1E22654A41EE8659D1802B962BF5F80C4993F902DF4BD79C7F7B0FE9 ] BstHdLogRotatorSvc C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
10:08:56.0809 0x122c  BstHdLogRotatorSvc - ok
10:08:56.0862 0x122c  [ E5CC74B9B4369DF42D3895D45B0EC062, C870736A85EA9F170163C8DABB7335CADEA525302CAF2C4575BD659B462D34B6 ] BstHdUpdaterSvc C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe
10:08:56.0891 0x122c  BstHdUpdaterSvc - ok
10:08:56.0910 0x122c  [ 9DA669F11D1F894AB4EB69BF546A42E8, B498B8B6CEF957B73179D1ADAF084BBB57BB3735D810F9BE2C7B1D58A4FD25A4 ] BTHMODEM        C:\Windows\system32\DRIVERS\bthmodem.sys
10:08:56.0946 0x122c  BTHMODEM - ok
10:08:56.0967 0x122c  [ 95F9C2976059462CBBF227F7AAB10DE9, 2797AE919FF7606B070FB039CECDB0707CD2131DCAC09C5DF14F443D881C9F34 ] bthserv        C:\Windows\system32\bthserv.dll
10:08:57.0014 0x122c  bthserv - ok
10:08:57.0039 0x122c  [ B8BD2BB284668C84865658C77574381A, 6C55BA288B626DF172FDFEA0BD7027FAEBA1F44EF20AB55160D7C7DC6E717D65 ] cdfs            C:\Windows\system32\DRIVERS\cdfs.sys
10:08:57.0093 0x122c  cdfs - ok
10:08:57.0130 0x122c  [ F036CE71586E93D94DAB220D7BDF4416, BD07AAD9E20CEAF9FC84E4977C55EA2C45604A2C682AC70B9B9A2199B6713D5B ] cdrom          C:\Windows\system32\DRIVERS\cdrom.sys
10:08:57.0164 0x122c  cdrom - ok
10:08:57.0207 0x122c  [ F17D1D393BBC69C5322FBFAFACA28C7F, 62A1A92B3C52ADFD0B808D7F69DD50238B5F202421F1786F7EAEAA63F274B3E8 ] CertPropSvc    C:\Windows\System32\certprop.dll
10:08:57.0243 0x122c  CertPropSvc - ok
10:08:57.0279 0x122c  [ D7CD5C4E1B71FA62050515314CFB52CF, 513B5A849899F379F0BC6AB3A8A05C3493C2393C95F036612B96EC6E252E1C64 ] circlass        C:\Windows\system32\DRIVERS\circlass.sys
10:08:57.0312 0x122c  circlass - ok
10:08:57.0336 0x122c  [ FE1EC06F2253F691FE36217C592A0206, B9F122DB5E665ECDF29A5CB8BB6B531236F31A54A95769D6C5C1924C87FE70CE ] CLFS            C:\Windows\system32\CLFS.sys
10:08:57.0361 0x122c  CLFS - ok
10:08:57.0417 0x122c  [ F13EC8A783E0CB0D6DC26A3CA848B7B8, 0809E3B71709F1343086EEB6C820543C1A7119E74EEF8AC1AEE1F81093ABEC66 ] clr_optimization_v2.0.50727_32 C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
10:08:57.0545 0x122c  clr_optimization_v2.0.50727_32 - ok
10:08:57.0585 0x122c  [ B4D73F04E9BC076F7CDAC4327DF636BB, 1ADED20D5A0D0A76E2F85CB778FD06BAB814868D35F8532E17D67045FF4770C2 ] clr_optimization_v2.0.50727_64 C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe
10:08:57.0607 0x122c  clr_optimization_v2.0.50727_64 - ok
10:08:57.0682 0x122c  [ E87213F37A13E2B54391E40934F071D0, 7EB221127EFB5BF158FB03D18EFDA2C55FB6CE3D1A1FE69C01D70DBED02C87E5 ] clr_optimization_v4.0.30319_32 C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
10:08:57.0700 0x122c  clr_optimization_v4.0.30319_32 - ok
10:08:57.0751 0x122c  [ 4AEDAB50F83580D0B4D6CF78191F92AA, D113C47013B018B45161911B96E93AF96A2F3B34FA47061BF6E7A71FBA03194A ] clr_optimization_v4.0.30319_64 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
10:08:57.0770 0x122c  clr_optimization_v4.0.30319_64 - ok
10:08:57.0803 0x122c  [ 0840155D0BDDF1190F84A663C284BD33, 696039FA63CFEB33487FAA8FD7BBDB220141E9C6E529355D768DFC87999A9C3A ] CmBatt          C:\Windows\system32\DRIVERS\CmBatt.sys
10:08:57.0820 0x122c  CmBatt - ok
10:08:58.0065 0x122c  [ 0F28CFF8610425DF96FBB29794707959, 3FA8D13C29C79FA34A65D9E4502F09817F79DF57AF172FFDE48C147934FBBBCF ] cmdAgent        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
10:08:58.0248 0x122c  cmdAgent - ok
10:08:58.0307 0x122c  [ A337FA59FFA4786E4603CC8A440BBB49, 5298238B8894AB2112DCA5872A4C7EF9F8AAEE226D7C2957C840DC38A730D68D ] cmderd          C:\Windows\system32\DRIVERS\cmderd.sys
10:08:58.0319 0x122c  cmderd - ok
10:08:58.0353 0x122c  [ C49B3C7F469C6F1AEAE90653D340B9FA, BBA2107D4817702E2E7F9185D2065EAE35562A4C8CA5A8A7EDF340F4EC700891 ] cmdGuard        C:\Windows\system32\DRIVERS\cmdguard.sys
10:08:58.0392 0x122c  cmdGuard - ok
10:08:58.0404 0x122c  [ 85FD7C0057DEA753A93FDC783119541B, 3AFBD15EFF46DAA2FE315073CA3B885DF0BDA2D5BD8D234609C9BBFD841D119A ] cmdHlp          C:\Windows\system32\DRIVERS\cmdhlp.sys
10:08:58.0417 0x122c  cmdHlp - ok
10:08:58.0438 0x122c  [ E19D3F095812725D88F9001985B94EDD, 46243C5CCC4981CAC6FA6452FFCEC33329BF172448F1852D52592C9342E0E18B ] cmdide          C:\Windows\system32\drivers\cmdide.sys
10:08:58.0453 0x122c  cmdide - ok
10:08:58.0553 0x122c  [ AB6513248071D4EA9736D504AAFD78FE, 02ECD1D8C2637004E3FD1C999CFEA3D6C07269C4F1D5C593DE58DE987554E40A ] cmdvirth        C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
10:08:58.0613 0x122c  cmdvirth - ok
10:08:58.0675 0x122c  [ EBF28856F69CF094A902F884CF989706, AD6C9F0BC20AA49EEE5478DA0F856F0EA2B414B63208C5FFB03C9D7F5B59765F ] CNG            C:\Windows\system32\Drivers\cng.sys
10:08:58.0732 0x122c  CNG - ok
10:08:58.0749 0x122c  [ 102DE219C3F61415F964C88E9085AD14, CD74CB703381F1382C32CF892FF2F908F4C9412E1BC77234F8FEA5D4666E1BF1 ] Compbatt        C:\Windows\system32\DRIVERS\compbatt.sys
10:08:58.0764 0x122c  Compbatt - ok
10:08:58.0805 0x122c  [ 03EDB043586CCEBA243D689BDDA370A8, 0E4523AA332E242D5C2C61C5717DBA5AB6E42DADB5A7E512505FC2B6CC224959 ] CompositeBus    C:\Windows\system32\drivers\CompositeBus.sys
10:08:58.0848 0x122c  CompositeBus - ok
10:08:58.0851 0x122c  COMSysApp - ok
10:08:58.0902 0x122c  [ 1C827878A998C18847245FE1F34EE597, 41EF7443D8B2733AA35CAC64B4F5F74FAC8BB0DA7D3936B69EC38E2DC3972E60 ] crcdisk        C:\Windows\system32\DRIVERS\crcdisk.sys
10:08:58.0917 0x122c  crcdisk - ok
10:08:58.0966 0x122c  [ 6B400F211BEE880A37A1ED0368776BF4, 2F27C6FA96A1C8CBDA467846DA57E63949A7EA37DB094B13397DDD30114295BD ] CryptSvc        C:\Windows\system32\cryptsvc.dll
10:08:58.0996 0x122c  CryptSvc - ok
10:08:59.0052 0x122c  [ 54DA3DFD29ED9F1619B6F53F3CE55E49, 9177C6907A983296BF188892A894B668A09FFA058FD56B50FE12940D54B0FA5E ] CSC            C:\Windows\system32\drivers\csc.sys
10:08:59.0109 0x122c  CSC - ok
10:08:59.0165 0x122c  [ 3AB183AB4D2C79DCF459CD2C1266B043, 72B0187EBA9DC74E61EC5CB3DC24058DDB768843E865801894AAEAA211610C56 ] CscService      C:\Windows\System32\cscsvc.dll
10:08:59.0216 0x122c  CscService - ok
10:08:59.0263 0x122c  [ 5C627D1B1138676C0A7AB2C2C190D123, C5003F2C912C5CA990E634818D3B4FD72F871900AF2948BD6C4D6400B354B401 ] DcomLaunch      C:\Windows\system32\rpcss.dll
10:08:59.0322 0x122c  DcomLaunch - ok
10:08:59.0355 0x122c  [ 3CEC7631A84943677AA8FA8EE5B6B43D, 32061DAC9ED6C1EBA3B367B18D0E965AEEC2DF635DCF794EC39D086D32503AC5 ] defragsvc      C:\Windows\System32\defragsvc.dll
10:08:59.0415 0x122c  defragsvc - ok
10:08:59.0445 0x122c  [ 9BB2EF44EAA163B29C4A4587887A0FE4, 03667BC3EA5003F4236929C10F23D8F108AFCB29DB5559E751FB26DFB318636F ] DfsC            C:\Windows\system32\Drivers\dfsc.sys
10:08:59.0490 0x122c  DfsC - ok
10:08:59.0528 0x122c  [ 43D808F5D9E1A18E5EEB5EBC83969E4E, C10D1155D71EABE4ED44C656A8F13078A8A4E850C4A8FBB92D52D173430972B8 ] Dhcp            C:\Windows\system32\dhcpcore.dll
10:08:59.0571 0x122c  Dhcp - ok
10:08:59.0656 0x122c  [ AFDF32206A8CBBE20A40DEF13462C95E, BA4896D0B6D133105F5B0BC2E648943890F816D7466C0C93A0966321AF9F831C ] Disc Soft Bus Service C:\Program Files (x86)\DAEMON Tools Ultra\DiscSoftBusService.exe
10:08:59.0692 0x122c  Disc Soft Bus Service - ok
10:08:59.0731 0x122c  [ 13096B05847EC78F0977F2C0F79E9AB3, 1E44981B684F3E56F5D2439BB7FA78BD1BC876BB2265AE089AEC68F241B05B26 ] discache        C:\Windows\system32\drivers\discache.sys
10:08:59.0779 0x122c  discache - ok
10:08:59.0834 0x122c  [ 9819EEE8B5EA3784EC4AF3B137A5244C, 571BC886E87C888DA96282E381A746D273B58B9074E84D4CA91275E26056D427 ] Disk            C:\Windows\system32\DRIVERS\disk.sys
10:08:59.0850 0x122c  Disk - ok
10:08:59.0898 0x122c  [ 16835866AAA693C7D7FCEBA8FFF706E4, 15891558F7C1F2BB57A98769601D447ED0D952354A8BB347312D034DC03E0242 ] Dnscache        C:\Windows\System32\dnsrslvr.dll
10:08:59.0933 0x122c  Dnscache - ok
10:08:59.0971 0x122c  [ B1FB3DDCA0FDF408750D5843591AFBC6, AB6AD9C5E7BA2E3646D0115B67C4800D1CB43B4B12716397657C7ADEEE807304 ] dot3svc        C:\Windows\System32\dot3svc.dll
10:09:00.0023 0x122c  dot3svc - ok
10:09:00.0064 0x122c  [ B26F4F737E8F9DF4F31AF6CF31D05820, 394BBBED4EC7FAD4110F62A43BFE0801D4AC56FFAC6C741C69407B26402311C7 ] DPS            C:\Windows\system32\dps.dll
10:09:00.0117 0x122c  DPS - ok
10:09:00.0172 0x122c  [ 9B19F34400D24DF84C858A421C205754, 967AF267B4124BADA8F507CEBF25F2192D146A4D63BE71B45BFC03C5DA7F21A7 ] drmkaud        C:\Windows\system32\drivers\drmkaud.sys
10:09:00.0217 0x122c  drmkaud - ok
10:09:00.0250 0x122c  [ C9914A74045A6D23DB7252FA3985DE25, 0CB2655DDE564810B4F1449B0CB1C2AD18544197F7D061447399BBA98A40D3DF ] dtscsibus      C:\Windows\system32\DRIVERS\dtscsibus.sys
10:09:00.0264 0x122c  dtscsibus - ok
10:09:00.0321 0x122c  [ 87CE5C8965E101CCCED1F4675557E868, 077D98F0F130B2FC710208BA34016EF2B2506EE2BD71740B228145E34A3046F1 ] DXGKrnl        C:\Windows\System32\drivers\dxgkrnl.sys
10:09:00.0365 0x122c  DXGKrnl - ok
10:09:00.0406 0x122c  [ E2DDA8726DA9CB5B2C4000C9018A9633, 0C967DBC3636A76A696997192A158AA92A1AF19F01E3C66D5BF91818A8FAEA76 ] EapHost        C:\Windows\System32\eapsvc.dll
10:09:00.0446 0x122c  EapHost - ok
10:09:00.0559 0x122c  [ DC5D737F51BE844D8C82C695EB17372F, 6D4022D9A46EDE89CEF0FAEADCC94C903234DFC460C0180D24FF9E38E8853017 ] ebdrv          C:\Windows\system32\DRIVERS\evbda.sys
10:09:00.0721 0x122c  ebdrv - ok
10:09:00.0762 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] EFS            C:\Windows\System32\lsass.exe
10:09:00.0802 0x122c  EFS - ok
10:09:00.0847 0x122c  [ C4002B6B41975F057D98C439030CEA07, 3D2484FBB832EFB90504DD406ED1CF3065139B1FE1646471811F3A5679EF75F1 ] ehRecvr        C:\Windows\ehome\ehRecvr.exe
10:09:00.0895 0x122c  ehRecvr - ok
10:09:00.0924 0x122c  [ 4705E8EF9934482C5BB488CE28AFC681, 359E9EC5693CE0BE89082E1D5D8F5C5439A5B985010FF0CB45C11E3CFE30637D ] ehSched        C:\Windows\ehome\ehsched.exe
10:09:00.0960 0x122c  ehSched - ok
10:09:00.0995 0x122c  [ BE2902E13CA69383F449B6BF927844FB, F092785E305D8E1FE795AF98A7A7B7B4548A0D6687060568C9E078FFA8D65C1C ] ElbyCDIO        C:\Windows\system32\Drivers\ElbyCDIO.sys
10:09:01.0009 0x122c  ElbyCDIO - ok
10:09:01.0065 0x122c  [ 0E5DA5369A0FCAEA12456DD852545184, 9A64AC5396F978C3B92794EDCE84DCA938E4662868250F8C18FA7C2C172233F8 ] elxstor        C:\Windows\system32\DRIVERS\elxstor.sys
10:09:01.0093 0x122c  elxstor - ok
10:09:01.0118 0x122c  [ 34A3C54752046E79A126E15C51DB409B, 7D5B5E150C7C73666F99CBAFF759029716C86F16B927E0078D77F8A696616D75 ] ErrDev          C:\Windows\system32\drivers\errdev.sys
10:09:01.0151 0x122c  ErrDev - ok
10:09:01.0201 0x122c  [ 4166F82BE4D24938977DD1746BE9B8A0, 24121751B7306225AD1C808442D7B030DEF377E9316AA0A3C5C7460E87317881 ] EventSystem    C:\Windows\system32\es.dll
10:09:01.0258 0x122c  EventSystem - ok
10:09:01.0276 0x122c  [ A510C654EC00C1E9BDD91EEB3A59823B, 76CD277730F7B08D375770CD373D786160F34D1481AF0536BA1A5D2727E255F5 ] exfat          C:\Windows\system32\drivers\exfat.sys
10:09:01.0316 0x122c  exfat - ok
10:09:01.0331 0x122c  [ 0ADC83218B66A6DB380C330836F3E36D, 798D6F83B5DBCC1656595E0A96CF12087FCCBE19D1982890D0CE5F629B328B29 ] fastfat        C:\Windows\system32\drivers\fastfat.sys
10:09:01.0382 0x122c  fastfat - ok
10:09:01.0435 0x122c  [ DBEFD454F8318A0EF691FDD2EAAB44EB, 7F52AE222FF28503B6FC4A5852BD0CAEAF187BE69AF4B577D3DE474C24366099 ] Fax            C:\Windows\system32\fxssvc.exe
10:09:01.0473 0x122c  Fax - ok
10:09:01.0483 0x122c  [ D765D19CD8EF61F650C384F62FAC00AB, 9F0A483A043D3BA873232AD3BA5F7BF9173832550A27AF3E8BD433905BD2A0EE ] fdc            C:\Windows\system32\DRIVERS\fdc.sys
10:09:01.0500 0x122c  fdc - ok
10:09:01.0532 0x122c  [ 0438CAB2E03F4FB61455A7956026FE86, 6D4DDC2973DB25CE0C7646BC85EFBCC004EBE35EA683F62162AE317C6F1D8DFE ] fdPHost        C:\Windows\system32\fdPHost.dll
10:09:01.0584 0x122c  fdPHost - ok
10:09:01.0604 0x122c  [ 802496CB59A30349F9A6DD22D6947644, 52D59D3D628D5661F83F090F33F744F6916E0CC1F76E5A33983E06EB66AE19F8 ] FDResPub        C:\Windows\system32\fdrespub.dll
10:09:01.0646 0x122c  FDResPub - ok
10:09:01.0669 0x122c  [ 655661BE46B5F5F3FD454E2C3095B930, 549C8E2A2A37757E560D55FFA6BFDD838205F17E40561E67F0124C934272CD1A ] FileInfo        C:\Windows\system32\drivers\fileinfo.sys
10:09:01.0685 0x122c  FileInfo - ok
10:09:01.0702 0x122c  [ 5F671AB5BC87EEA04EC38A6CD5962A47, 6B61D3363FF3F9C439BD51102C284972EAE96ACC0683B9DC7E12D25D0ADC51B6 ] Filetrace      C:\Windows\system32\drivers\filetrace.sys
10:09:01.0750 0x122c  Filetrace - ok
10:09:01.0794 0x122c  [ C172A0F53008EAEB8EA33FE10E177AF5, 9175A95B323696D1B35C9EFEB7790DD64E6EE0B7021E6C18E2F81009B169D77B ] flpydisk        C:\Windows\system32\DRIVERS\flpydisk.sys
10:09:01.0812 0x122c  flpydisk - ok
10:09:01.0869 0x122c  [ DA6B67270FD9DB3697B20FCE94950741, F621A4462C9F2904063578C427FAF22D7D66AE9967605C11C798099817CE5331 ] FltMgr          C:\Windows\system32\drivers\fltmgr.sys
10:09:01.0891 0x122c  FltMgr - ok
10:09:01.0963 0x122c  [ C4C183E6551084039EC862DA1C945E3D, 0874A2ACDD24D64965AA9A76E9C818E216880AE4C9A2E07ED932EE404585CEE6 ] FontCache      C:\Windows\system32\FntCache.dll
10:09:02.0021 0x122c  FontCache - ok
10:09:02.0077 0x122c  [ A8B7F3818AB65695E3A0BB3279F6DCE6, 89FCF10F599767E67A1E011753E34DA44EAA311F105DBF69549009ED932A60F0 ] FontCache3.0.0.0 C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
10:09:02.0199 0x122c  FontCache3.0.0.0 - ok
10:09:02.0208 0x122c  [ D43703496149971890703B4B1B723EAC, F06397B2EDCA61629249D2EF1CBB7827A8BEAB8488246BD85EF6AE1363C0DA6E ] FsDepends      C:\Windows\system32\drivers\FsDepends.sys
10:09:02.0223 0x122c  FsDepends - ok
10:09:02.0244 0x122c  [ 6BD9295CC032DD3077C671FCCF579A7B, 83622FBB0CB923798E7E584BF53CAAF75B8C016E3FF7F0FA35880FF34D1DFE33 ] Fs_Rec          C:\Windows\system32\drivers\Fs_Rec.sys
10:09:02.0258 0x122c  Fs_Rec - ok
10:09:02.0316 0x122c  [ 8F6322049018354F45F05A2FD2D4E5E0, 73BF0FB4EBD7887E992DDEBB79E906958D6678F8D1107E8C368F5A0514D80359 ] fvevol          C:\Windows\system32\DRIVERS\fvevol.sys
10:09:02.0339 0x122c  fvevol - ok
10:09:02.0355 0x122c  [ 8C778D335C9D272CFD3298AB02ABE3B6, 85F0B13926B0F693FA9E70AA58DE47100E4B6F893772EBE4300C37D9A36E6005 ] gagp30kx        C:\Windows\system32\DRIVERS\gagp30kx.sys
10:09:02.0371 0x122c  gagp30kx - ok
10:09:02.0413 0x122c  [ 8E98D21EE06192492A5671A6144D092F, B8F656B34D361EA5AFB47F3A67AB2221580DADA59C8CD0CB83181E4AD8B562B4 ] GEARAspiWDM    C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
10:09:02.0427 0x122c  GEARAspiWDM - ok
10:09:02.0531 0x122c  [ 0C52567F023D0F05F4EFC26F607D415B, 168D2AAB2F9CF8DE4A894DE3B2A5C67F1DAD758DBEC95FCFF4D752645BB37C38 ] GfExperienceService C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
10:09:02.0567 0x122c  GfExperienceService - ok
10:09:02.0620 0x122c  [ 277BBC7E1AA1EE957F573A10ECA7EF3A, 2EE60B924E583E847CC24E78B401EF95C69DB777A5B74E1EC963E18D47B94D24 ] gpsvc          C:\Windows\System32\gpsvc.dll
10:09:02.0726 0x122c  gpsvc - ok
10:09:02.0774 0x122c  [ 1E6438D4EA6E1174A3B3B1EDC4DE660B, F9995CFEC7BBFE10B06EEE04CA6B49658275C43096E57747BFF9C2C31A0F9011 ] hamachi        C:\Windows\system32\DRIVERS\hamachi.sys
10:09:02.0787 0x122c  hamachi - ok
10:09:02.0910 0x122c  [ 1908A2C4593905FC16400A5AD30AC9F5, 261CA6FC8EEEDC8EB4DE94EF78261D89A2670B7BED0B5F7BB21756FB529F43FD ] Hamachi2Svc    C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
10:09:03.0002 0x122c  Hamachi2Svc - ok
10:09:03.0021 0x122c  [ F2523EF6460FC42405B12248338AB2F0, B2F3DE8DE1F512D871BC2BC2E8D0E33AB03335BFBC07627C5F88B65024928E19 ] hcw85cir        C:\Windows\system32\drivers\hcw85cir.sys
10:09:03.0058 0x122c  hcw85cir - ok
10:09:03.0109 0x122c  [ 975761C778E33CD22498059B91E7373A, 8304E15FBE6876BE57263A03621365DA8C88005EAC532A770303C06799D915D9 ] HdAudAddService C:\Windows\system32\drivers\HdAudio.sys
10:09:03.0149 0x122c  HdAudAddService - ok
10:09:03.0183 0x122c  [ 97BFED39B6B79EB12CDDBFEED51F56BB, 3CF981D668FB2381E52AF2E51E296C6CFB47B0D62249645278479D0111A47955 ] HDAudBus        C:\Windows\system32\drivers\HDAudBus.sys
10:09:03.0214 0x122c  HDAudBus - ok
10:09:03.0231 0x122c  [ 78E86380454A7B10A5EB255DC44A355F, 11F3ED7ACFFA3024B9BD504F81AC39F5B4CED5A8A425E8BADF7132EFEDB9BD64 ] HidBatt        C:\Windows\system32\DRIVERS\HidBatt.sys
10:09:03.0267 0x122c  HidBatt - ok
10:09:03.0278 0x122c  [ 7FD2A313F7AFE5C4DAB14798C48DD104, 94CBFD4506CBDE4162CEB3367BAB042D19ACA6785954DC0B554D4164B9FCD0D4 ] HidBth          C:\Windows\system32\DRIVERS\hidbth.sys
10:09:03.0300 0x122c  HidBth - ok
10:09:03.0314 0x122c  [ 0A77D29F311B88CFAE3B13F9C1A73825, 8615DC6CEFB591505CE16E054A71A4F371B827DDFD5E980777AB4233DCFDA01D ] HidIr          C:\Windows\system32\DRIVERS\hidir.sys
10:09:03.0344 0x122c  HidIr - ok
10:09:03.0363 0x122c  [ BD9EB3958F213F96B97B1D897DEE006D, 4D01CBF898B528B3A4E5A683DF2177300AFABD7D4CB51F1A7891B1B545499631 ] hidserv        C:\Windows\System32\hidserv.dll
10:09:03.0417 0x122c  hidserv - ok
10:09:03.0459 0x122c  [ 9592090A7E2B61CD582B612B6DF70536, FD11D5E02C32D658B28FCC35688AB66CCB5D3A0A0D74C82AE0F0B6C67B568A0F ] HidUsb          C:\Windows\system32\DRIVERS\hidusb.sys
10:09:03.0477 0x122c  HidUsb - ok
10:09:03.0512 0x122c  [ 387E72E739E15E3D37907A86D9FF98E2, 9935BE2E58788E79328293AF2F202CB0F6042441B176F75ACC5AEA93C8E05531 ] hkmsvc          C:\Windows\system32\kmsvc.dll
10:09:03.0562 0x122c  hkmsvc - ok
10:09:03.0591 0x122c  [ EFDFB3DD38A4376F93E7985173813ABD, 70402FA73A5A2A8BB557AAC8F531E373077D28DE5F40A1F3F14B940BE01CD2E1 ] HomeGroupListener C:\Windows\system32\ListSvc.dll
10:09:03.0624 0x122c  HomeGroupListener - ok
10:09:03.0651 0x122c  [ 908ACB1F594274965A53926B10C81E89, 7D34A742AC486294D82676F8465A3EF26C8AC3317C32B63F62031CB007CFC208 ] HomeGroupProvider C:\Windows\system32\provsvc.dll
10:09:03.0689 0x122c  HomeGroupProvider - ok
10:09:03.0706 0x122c  [ 39D2ABCD392F3D8A6DCE7B60AE7B8EFC, E9E6A1665740CFBC2DD321010007EF42ABA2102AEB9772EE8AA3354664B1E205 ] HpSAMD          C:\Windows\system32\drivers\HpSAMD.sys
10:09:03.0722 0x122c  HpSAMD - ok
10:09:03.0775 0x122c  [ 0EA7DE1ACB728DD5A369FD742D6EEE28, 21C489412EB33A12B22290EB701C19BA57006E8702E76F730954F0784DDE9779 ] HTTP            C:\Windows\system32\drivers\HTTP.sys
10:09:03.0890 0x122c  HTTP - ok
10:09:03.0922 0x122c  [ A5462BD6884960C9DC85ED49D34FF392, 53E65841AF5B06A2844D0BB6FC4DD3923A323FFA0E4BFC89B3B5CAFB592A3D53 ] hwpolicy        C:\Windows\system32\drivers\hwpolicy.sys
10:09:03.0937 0x122c  hwpolicy - ok
10:09:03.0984 0x122c  [ FA55C73D4AFFA7EE23AC4BE53B4592D3, 65CDDC62B89A60E942C5642C9D8B539EFB69DA8069B4A2E54978154B314531CD ] i8042prt        C:\Windows\system32\drivers\i8042prt.sys
10:09:04.0004 0x122c  i8042prt - ok
10:09:04.0032 0x122c  [ AAAF44DB3BD0B9D1FB6969B23ECC8366, 805AA4A9464002D1AB3832E4106B2AAA1331F4281367E75956062AAE99699385 ] iaStorV        C:\Windows\system32\drivers\iaStorV.sys
10:09:04.0056 0x122c  iaStorV - ok
10:09:04.0121 0x122c  [ C98A5B9D932430AD8EEBD3EF73756EF7, DF7E1D391A0F3345AD61154363922C27BD557DEEACE395A6A8A8A16BFD1BB9A8 ] idsvc          C:\Windows\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\infocard.exe
10:09:04.0165 0x122c  idsvc - ok
10:09:04.0170 0x122c  IEEtwCollectorService - ok
10:09:04.0188 0x122c  [ 5C18831C61933628F5BB0EA2675B9D21, 5CD9DE2F8C0256623A417B5C55BF55BB2562BD7AB2C3C83BB3D9886C2FBDA4E4 ] iirsp          C:\Windows\system32\DRIVERS\iirsp.sys
10:09:04.0204 0x122c  iirsp - ok
10:09:04.0250 0x122c  [ 344789398EC3EE5A4E00C52B31847946, 3DA5F08E4B46F4E63456AA588D49E39A6A09A97D0509880C00F327623DB6122D ] IKEEXT          C:\Windows\System32\ikeext.dll
10:09:04.0307 0x122c  IKEEXT - ok
10:09:04.0346 0x122c  [ 6BC36E24396DB59AF5BF6F872F298435, BF6FCA894219840FDFF4655D2E1551B89CD39F731A339FD0C052E0F7733CF9D3 ] inspect        C:\Windows\system32\DRIVERS\inspect.sys
10:09:04.0362 0x122c  inspect - ok
10:09:04.0494 0x122c  [ FA2B7507CD49908B2260949E52F8B9FE, 0EA0B3B25A3B668CA18313E34138DADA5C9835E476A1BFC56588B946DF0A92E0 ] IntcAzAudAddService C:\Windows\system32\drivers\RTKVHD64.sys
10:09:04.0614 0x122c  IntcAzAudAddService - ok
10:09:04.0661 0x122c  [ F00F20E70C6EC3AA366910083A0518AA, E2F3E9FFD82C802C8BAC309893A3664ACF16A279959C0FDECCA64C3D3C60FD22 ] intelide        C:\Windows\system32\drivers\intelide.sys
10:09:04.0675 0x122c  intelide - ok
10:09:04.0706 0x122c  [ ADA036632C664CAA754079041CF1F8C1, F2386CC09AC6DE4C54189154F7D91C1DB7AA120B13FAE8BA5B579ACF99FCC610 ] intelppm        C:\Windows\system32\DRIVERS\intelppm.sys
10:09:04.0740 0x122c  intelppm - ok
10:09:04.0811 0x122c  [ 098A91C54546A3B878DAD6A7E90A455B, 044CCE2A0DF56EBE1EFD99B4F6F0A5B9EE12498CA358CF4B2E3A1CFD872823AA ] IPBusEnum      C:\Windows\system32\ipbusenum.dll
10:09:04.0862 0x122c  IPBusEnum - ok
10:09:04.0889 0x122c  [ C9F0E1BD74365A8771590E9008D22AB6, 728BC5A6AAE499FDC50EB01577AF16D83C2A9F3B09936DD2A89C01E074BA8E51 ] IpFilterDriver  C:\Windows\system32\DRIVERS\ipfltdrv.sys
10:09:04.0924 0x122c  IpFilterDriver - ok
10:09:04.0952 0x122c  [ 08C2957BB30058E663720C5606885653, E13EDF6701512E2A9977A531454932CA5023087CB50E1D2F416B8BCDD92B67BE ] iphlpsvc        C:\Windows\System32\iphlpsvc.dll
10:09:05.0010 0x122c  iphlpsvc - ok
10:09:05.0034 0x122c  [ 0FC1AEA580957AA8817B8F305D18CA3A, 7161E4DE91AAFC3FA8BF24FAE4636390C2627DB931505247C0D52C75A31473D9 ] IPMIDRV        C:\Windows\system32\drivers\IPMIDrv.sys
10:09:05.0052 0x122c  IPMIDRV - ok
10:09:05.0062 0x122c  [ AF9B39A7E7B6CAA203B3862582E9F2D0, 67128BE7EADBE6BD0205B050F96E268948E8660C4BAB259FB0BE03935153D04E ] IPNAT          C:\Windows\system32\drivers\ipnat.sys
10:09:05.0110 0x122c  IPNAT - ok
10:09:05.0178 0x122c  [ 7FAE5B6CDB18B0B2E81F32869F595022, D873A7EE94749E1700E8F6B8BB7B485AE1B0B83388D63BE06335720498D4794F ] iPod Service    C:\Program Files\iPod\bin\iPodService.exe
10:09:05.0203 0x122c  iPod Service - ok
10:09:05.0236 0x122c  [ 3ABF5E7213EB28966D55D58B515D5CE9, A352BCC5B6B9A28805B15CAFB235676F1FAFF0D2394F88C03089EB157D6188AE ] IRENUM          C:\Windows\system32\drivers\irenum.sys
10:09:05.0299 0x122c  IRENUM - ok
10:09:05.0310 0x122c  [ 2F7B28DC3E1183E5EB418DF55C204F38, D40410A760965925D6F10959B2043F7BD4F68EAFCF5E743AF11AD860BD136548 ] isapnp          C:\Windows\system32\drivers\isapnp.sys
10:09:05.0325 0x122c  isapnp - ok
10:09:05.0345 0x122c  [ 96BB922A0981BC7432C8CF52B5410FE6, 236C05509B1040059B15021CBBDBDAF3B9C0F00910142BE5887B2C7561BAAFBA ] iScsiPrt        C:\Windows\system32\drivers\msiscsi.sys
10:09:05.0366 0x122c  iScsiPrt - ok
10:09:05.0414 0x122c  [ 73A968D4A85BB2552DDCF72CB15F06D2, 9614AA873F761206D725327499C63A6D83FF4FF1740D046C483A2676E35A2280 ] JRAID          C:\Windows\system32\DRIVERS\jraid.sys
10:09:05.0431 0x122c  JRAID - ok
10:09:05.0470 0x122c  [ BC02336F1CBA7DCC7D1213BB588A68A5, 450C5BAD54CCE2AFCDFF1B6E7F8E1A8446D9D3255DF9D36C29A8F848048AAD93 ] kbdclass        C:\Windows\system32\DRIVERS\kbdclass.sys
10:09:05.0486 0x122c  kbdclass - ok
10:09:05.0525 0x122c  [ 0705EFF5B42A9DB58548EEC3B26BB484, 86C6824ED7ED6FA8F306DB6319A0FD688AA91295AE571262F9D8E96A32225E99 ] kbdhid          C:\Windows\system32\DRIVERS\kbdhid.sys
10:09:05.0542 0x122c  kbdhid - ok
10:09:05.0553 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] KeyIso          C:\Windows\system32\lsass.exe
10:09:05.0570 0x122c  KeyIso - ok
10:09:05.0606 0x122c  [ 353009DEDF918B2A51414F330CF72DEC, BF157D6E329F26E02FA16271B751B421396040DBB1D7BF9B2E0A21BC569672E2 ] KSecDD          C:\Windows\system32\Drivers\ksecdd.sys
10:09:05.0623 0x122c  KSecDD - ok
10:09:05.0661 0x122c  [ 41774FF331F609EF442B7398EE6202B1, AD67DA06A74895C384F4A1F1CF47050DAEE9C6CE8AD12F1A116FC977B6C3A864 ] KSecPkg        C:\Windows\system32\Drivers\ksecpkg.sys
10:09:05.0680 0x122c  KSecPkg - ok
10:09:05.0743 0x122c  [ 6869281E78CB31A43E969F06B57347C4, 866A23E69B32A78D378D6CB3B3DA3695FFDFF0FEC3C9F68C8C3F988DF417044B ] ksthunk        C:\Windows\system32\drivers\ksthunk.sys
10:09:05.0791 0x122c  ksthunk - ok
10:09:05.0826 0x122c  [ 6AB66E16AA859232F64DEB66887A8C9C, 5F2B579BEA8098A2994B0DECECDAE7B396E7B5DC5F09645737B9F28BEEA77FFF ] KtmRm          C:\Windows\system32\msdtckrm.dll
10:09:05.0874 0x122c  KtmRm - ok
10:09:05.0920 0x122c  [ D9F42719019740BAA6D1C6D536CBDAA6, 8757599D0AE5302C4CE50861BEBA3A8DD14D7B0DBD916FD5404133688CDFCC40 ] LanmanServer    C:\Windows\System32\srvsvc.dll
10:09:05.0974 0x122c  LanmanServer - ok
10:09:06.0001 0x122c  [ 851A1382EED3E3A7476DB004F4EE3E1A, B1C67F47DD594D092E6E258F01DF5E7150227CE3131A908A244DEE9F8A1FABF9 ] LanmanWorkstation C:\Windows\System32\wkssvc.dll
10:09:06.0051 0x122c  LanmanWorkstation - ok
10:09:06.0089 0x122c  [ FA529FB35694C24BF98A9EF67C1CD9D0, 7B3C587C38CF13D514140F0A55E58997D6071D1DEFD97E274E3F490660AC6075 ] LGBusEnum      C:\Windows\system32\drivers\LGBusEnum.sys
10:09:06.0102 0x122c  LGBusEnum - ok
10:09:06.0135 0x122c  [ 94B29CE153765E768F004FB3440BE2B0, E74C01CEBDA589CDDE35CBCBAA18700E3742DD3B48A90DB3630992467FFC5024 ] LGVirHid        C:\Windows\system32\drivers\LGVirHid.sys
10:09:06.0147 0x122c  LGVirHid - ok
10:09:06.0183 0x122c  [ 1538831CF8AD2979A04C423779465827, E1729B0CC4CEEE494A0B8817A8E98FF232E3A32FB023566EF0BC71A090262C0C ] lltdio          C:\Windows\system32\DRIVERS\lltdio.sys
10:09:06.0235 0x122c  lltdio - ok
10:09:06.0268 0x122c  [ C1185803384AB3FEED115F79F109427F, 0414FE73532DCAB17E906438A14711E928CECCD5F579255410C62984DD652700 ] lltdsvc        C:\Windows\System32\lltdsvc.dll
10:09:06.0326 0x122c  lltdsvc - ok
10:09:06.0346 0x122c  [ F993A32249B66C9D622EA5592A8B76B8, EE64672A990C6145DC5601E2B8CDBE089272A72732F59AF9865DCBA8B1717E70 ] lmhosts        C:\Windows\System32\lmhsvc.dll
10:09:06.0382 0x122c  lmhosts - ok
10:09:06.0424 0x122c  [ 1A93E54EB0ECE102495A51266DCDB6A6, DB6AA86AA36C3A7988BE96E87B5D3251BE7617C54EE8F894D9DC2E267FE3255B ] LSI_FC          C:\Windows\system32\DRIVERS\lsi_fc.sys
10:09:06.0442 0x122c  LSI_FC - ok
10:09:06.0456 0x122c  [ 1047184A9FDC8BDBFF857175875EE810, F2251EDB7736A26D388A0C5CC2FE5FB9C5E109CBB1E3800993554CB21D81AE4B ] LSI_SAS        C:\Windows\system32\DRIVERS\lsi_sas.sys
10:09:06.0473 0x122c  LSI_SAS - ok
10:09:06.0487 0x122c  [ 30F5C0DE1EE8B5BC9306C1F0E4A75F93, 88D5740A4E9CC3FA80FA18035DAB441BDC5A039622D666BFDAA525CC9686BD06 ] LSI_SAS2        C:\Windows\system32\DRIVERS\lsi_sas2.sys
10:09:06.0503 0x122c  LSI_SAS2 - ok
10:09:06.0517 0x122c  [ 0504EACAFF0D3C8AED161C4B0D369D4A, 4D272237C189646F5C80822FD3CBA7C2728E482E2DAAF7A09C8AEF811C89C54D ] LSI_SCSI        C:\Windows\system32\DRIVERS\lsi_scsi.sys
10:09:06.0534 0x122c  LSI_SCSI - ok
10:09:06.0550 0x122c  [ 43D0F98E1D56CCDDB0D5254CFF7B356E, 5BA498183B5C4996C694CB0A9A6B66CE6C7A460F6C91BEB9F305486FCC3B7B22 ] luafv          C:\Windows\system32\drivers\luafv.sys
10:09:06.0602 0x122c  luafv - ok
10:09:06.0632 0x122c  [ 0BE09CD858ABF9DF6ED259D57A1A1663, 2FD28889B93C8E801F74C1D0769673A461671E0189D0A22C94509E3F0EEB7428 ] Mcx2Svc        C:\Windows\system32\Mcx2Svc.dll
10:09:06.0673 0x122c  Mcx2Svc - ok
10:09:06.0688 0x122c  [ A55805F747C6EDB6A9080D7C633BD0F4, 2DA0E83BF3C8ADEF6F551B6CC1C0A3F6149CDBE6EC60413BA1767C4DE425A728 ] megasas        C:\Windows\system32\DRIVERS\megasas.sys
10:09:06.0703 0x122c  megasas - ok
10:09:06.0723 0x122c  [ BAF74CE0072480C3B6B7C13B2A94D6B3, 85CBB4949C090A904464F79713A3418338753D20D7FB811E68F287FDAC1DD834 ] MegaSR          C:\Windows\system32\DRIVERS\MegaSR.sys
10:09:06.0745 0x122c  MegaSR - ok
10:09:06.0823 0x122c  [ E40E80D0304A73E8D269F7141D77250B, 0DB4AC13A264F19A84DC0BCED54E8E404014CC09C993B172002B1561EC7E265A ] MMCSS          C:\Windows\system32\mmcss.dll
10:09:06.0860 0x122c  MMCSS - ok
10:09:06.0876 0x122c  [ 800BA92F7010378B09F9ED9270F07137, 94F9AF9E1BE80AE6AC39A2A74EF9FAB115DCAACC011D07DFA8D6A1DDC8A93342 ] Modem          C:\Windows\system32\drivers\modem.sys
10:09:06.0912 0x122c  Modem - ok
10:09:06.0947 0x122c  [ B03D591DC7DA45ECE20B3B467E6AADAA, 701FB0CAD8138C58507BE28845D3E24CE269A040737C29885944A0D851238732 ] monitor        C:\Windows\system32\DRIVERS\monitor.sys
10:09:06.0978 0x122c  monitor - ok
10:09:07.0003 0x122c  [ 7D27EA49F3C1F687D357E77A470AEA99, 7FE7CAF95959F127C6D932C01D539C06D80273C49A09761F6E8331C05B1A7EE7 ] mouclass        C:\Windows\system32\DRIVERS\mouclass.sys
10:09:07.0018 0x122c  mouclass - ok
10:09:07.0053 0x122c  [ D3BF052C40B0C4166D9FD86A4288C1E6, 5E65264354CD94E844BF1838CA1B8E49080EFA34605A32CF2F6A47A2B97FC183 ] mouhid          C:\Windows\system32\DRIVERS\mouhid.sys
10:09:07.0087 0x122c  mouhid - ok
10:09:07.0102 0x122c  [ 32E7A3D591D671A6DF2DB515A5CBE0FA, 47CED0B9067AE8BF5EEF60B17ADEE5906BEDCC56E4CB460B7BFBC12BB9A69E63 ] mountmgr        C:\Windows\system32\drivers\mountmgr.sys
10:09:07.0118 0x122c  mountmgr - ok
10:09:07.0195 0x122c  [ B4E9C7383A705628AD491CF0F87D901F, 5C0CD7133D4F5B1E0466CDB2A2210ECA57206A8BC41F37BC6324120AE5501C70 ] MozillaMaintenance C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
10:09:07.0212 0x122c  MozillaMaintenance - ok
10:09:07.0235 0x122c  [ A44B420D30BD56E145D6A2BC8768EC58, B1E4DCA5A1008FA7A0492DC091FB2B820406AE13FD3D44F124E89B1037AF09B8 ] mpio            C:\Windows\system32\drivers\mpio.sys
10:09:07.0254 0x122c  mpio - ok
10:09:07.0294 0x122c  [ 6C38C9E45AE0EA2FA5E551F2ED5E978F, 5A3FA2F110029CB4CC4384998EDB59203FDD65EC45E01B897FB684F8956EAD20 ] mpsdrv          C:\Windows\system32\drivers\mpsdrv.sys
10:09:07.0331 0x122c  mpsdrv - ok
10:09:07.0397 0x122c  [ 54FFC9C8898113ACE189D4AA7199D2C1, 65F585C87F3F710FD5793FDFA96B740AD8D4317B0C120F4435CCF777300EA4F2 ] MpsSvc          C:\Windows\system32\mpssvc.dll
10:09:07.0479 0x122c  MpsSvc - ok
10:09:07.0516 0x122c  [ 1A4F75E63C9FB84B85DFFC6B63FD5404, 01AFA6DBB4CDE55FE4EA05BBE8F753A4266F8D072EA1EE01DB79F5126780C21F ] MRxDAV          C:\Windows\system32\drivers\mrxdav.sys
10:09:07.0544 0x122c  MRxDAV - ok
10:09:07.0581 0x122c  [ A5D9106A73DC88564C825D317CAC68AC, 0457B2AEA4E05A91D0E43F317894A614434D8CEBE35020785387F307E231FBE4 ] mrxsmb          C:\Windows\system32\DRIVERS\mrxsmb.sys
10:09:07.0626 0x122c  mrxsmb - ok
10:09:07.0651 0x122c  [ D711B3C1D5F42C0C2415687BE09FC163, 9B3013AC60BD2D0FF52086658BA5FF486ADE15954A552D7DD590580E8BAE3EFF ] mrxsmb10        C:\Windows\system32\DRIVERS\mrxsmb10.sys
10:09:07.0679 0x122c  mrxsmb10 - ok
10:09:07.0725 0x122c  [ 9423E9D355C8D303E76B8CFBD8A5C30C, 220B33F120C2DD937FE4D5664F4B581DC0ACF78D62EB56B7720888F67B9644CC ] mrxsmb20        C:\Windows\system32\DRIVERS\mrxsmb20.sys
10:09:07.0744 0x122c  mrxsmb20 - ok
10:09:07.0775 0x122c  [ C25F0BAFA182CBCA2DD3C851C2E75796, 643E158A0948DF331807AEAA391F23960362E46C0A0CF6D22A99020EAE7B10F8 ] msahci          C:\Windows\system32\drivers\msahci.sys
10:09:07.0790 0x122c  msahci - ok
10:09:07.0804 0x122c  [ DB801A638D011B9633829EB6F663C900, B34FD33A215ACCF2905F4B7D061686CDB1CB9C652147AF56AE14686C1F6E3C74 ] msdsm          C:\Windows\system32\drivers\msdsm.sys
10:09:07.0824 0x122c  msdsm - ok
10:09:07.0840 0x122c  [ DE0ECE52236CFA3ED2DBFC03F28253A8, 2FBBEC4CACB5161F68D7C2935852A5888945CA0F107CF8A1C01F4528CE407DE3 ] MSDTC          C:\Windows\System32\msdtc.exe
10:09:07.0863 0x122c  MSDTC - ok
10:09:07.0876 0x122c  [ AA3FB40E17CE1388FA1BEDAB50EA8F96, 69F93E15536644C8FD679A20190CFE577F4985D3B1B4A4AA250A168615AE1E99 ] Msfs            C:\Windows\system32\drivers\Msfs.sys
10:09:07.0911 0x122c  Msfs - ok
10:09:07.0922 0x122c  [ F9D215A46A8B9753F61767FA72A20326, 6F76642B45E0A7EF6BCAB8B37D55CCE2EAA310ED07B76D43FCB88987C2174141 ] mshidkmdf      C:\Windows\System32\drivers\mshidkmdf.sys
10:09:07.0967 0x122c  mshidkmdf - ok
10:09:07.0988 0x122c  [ D916874BBD4F8B07BFB7FA9B3CCAE29D, B229DA150713DEDBC4F05386C9D9DC3BC095A74F44F3081E88311AB73BC992A1 ] msisadrv        C:\Windows\system32\drivers\msisadrv.sys
10:09:08.0002 0x122c  msisadrv - ok
10:09:08.0059 0x122c  [ 808E98FF49B155C522E6400953177B08, F873F5BFF0984C5165DF67E92874D3F6EB8D86F9B5AD17013A0091CA33A1A3D5 ] MSiSCSI        C:\Windows\system32\iscsiexe.dll
10:09:08.0117 0x122c  MSiSCSI - ok
10:09:08.0121 0x122c  msiserver - ok
10:09:08.0156 0x122c  [ 49CCF2C4FEA34FFAD8B1B59D49439366, E5752EA57C7BDAD5F53E3BC441A415E909AC602CAE56234684FB8789A20396C7 ] MSKSSRV        C:\Windows\system32\drivers\MSKSSRV.sys
10:09:08.0191 0x122c  MSKSSRV - ok
10:09:08.0200 0x122c  [ BDD71ACE35A232104DDD349EE70E1AB3, 27464A66868513BE6A01B75D7FC5B0D6B71842E4E20CE3F76B15C071A0618BBB ] MSPCLOCK        C:\Windows\system32\drivers\MSPCLOCK.sys
10:09:08.0235 0x122c  MSPCLOCK - ok
10:09:08.0262 0x122c  [ 4ED981241DB27C3383D72092B618A1D0, E12F121E641249DB3491141851B59E1496F4413EDF58E863388F1C229838DFCC ] MSPQM          C:\Windows\system32\drivers\MSPQM.sys
10:09:08.0312 0x122c  MSPQM - ok
10:09:08.0352 0x122c  [ 759A9EEB0FA9ED79DA1FB7D4EF78866D, 64E3BC613EC4872B1B344CBF71EE15BE195592E3244C1EE099C6F8B95A40F133 ] MsRPC          C:\Windows\system32\drivers\MsRPC.sys
10:09:08.0376 0x122c  MsRPC - ok
10:09:08.0386 0x122c  [ 0EED230E37515A0EAEE3C2E1BC97B288, B1D8F8A75006B6E99214CA36D27A8594EF8D952F315BEB201E9BAC9DE3E64D42 ] mssmbios        C:\Windows\system32\drivers\mssmbios.sys
10:09:08.0404 0x122c  mssmbios - ok
10:09:08.0437 0x122c  [ 2E66F9ECB30B4221A318C92AC2250779, DF175E1AB6962303E57F26DAE5C5C1E40B8640333F3E352A64F6A5F1301586CD ] MSTEE          C:\Windows\system32\drivers\MSTEE.sys
10:09:08.0473 0x122c  MSTEE - ok
10:09:08.0485 0x122c  [ 7EA404308934E675BFFDE8EDF0757BCD, 306CD02D89CFCFE576242360ED5F9EEEDCAFC43CD43B7D2977AE960F9AEC3232 ] MTConfig        C:\Windows\system32\DRIVERS\MTConfig.sys
10:09:08.0516 0x122c  MTConfig - ok
10:09:08.0534 0x122c  [ F9A18612FD3526FE473C1BDA678D61C8, 32F7975B5BAA447917F832D9E3499B4B6D3E90D73F478375D0B70B36C524693A ] Mup            C:\Windows\system32\Drivers\mup.sys
10:09:08.0550 0x122c  Mup - ok
10:09:08.0589 0x122c  [ 582AC6D9873E31DFA28A4547270862DD, BD540499F74E8F59A020D935D18E36A3A97C1A6EC59C8208436469A31B16B260 ] napagent        C:\Windows\system32\qagentRT.dll
10:09:08.0652 0x122c  napagent - ok
10:09:08.0725 0x122c  [ 1EA3749C4114DB3E3161156FFFFA6B33, 54C2E77BCE1037711A11313AC25B8706109098C10A31AA03AEB7A185E97800D7 ] NativeWifiP    C:\Windows\system32\DRIVERS\nwifi.sys
10:09:08.0769 0x122c  NativeWifiP - ok
10:09:08.0827 0x122c  [ 760E38053BF56E501D562B70AD796B88, F856E81A975D44F8684A6F2466549CEEDFAEB3950191698555A93A1206E0A42D ] NDIS            C:\Windows\system32\drivers\ndis.sys
10:09:08.0878 0x122c  NDIS - ok
10:09:08.0919 0x122c  [ 9F9A1F53AAD7DA4D6FEF5BB73AB811AC, D7E5446E83909AE25506BB98FBDD878A529C87963E3C1125C4ABAB25823572BC ] NdisCap        C:\Windows\system32\DRIVERS\ndiscap.sys
10:09:08.0956 0x122c  NdisCap - ok
10:09:08.0998 0x122c  [ 30639C932D9FEF22B31268FE25A1B6E5, 32873D95339600F6EEFA51847D12C563FF01F320DC59055B242FA2887C99F9D6 ] NdisTapi        C:\Windows\system32\DRIVERS\ndistapi.sys
10:09:09.0040 0x122c  NdisTapi - ok
10:09:09.0071 0x122c  [ 136185F9FB2CC61E573E676AA5402356, BA3AD0A33416DA913B4242C6BE8C3E5812AD2B20BA6C11DD3094F2E8EB56E683 ] Ndisuio        C:\Windows\system32\DRIVERS\ndisuio.sys
10:09:09.0118 0x122c  Ndisuio - ok
10:09:09.0150 0x122c  [ 53F7305169863F0A2BDDC49E116C2E11, 881E9346D3C02405B7850ADC37E720990712EC9C666A0CE96E252A487FD2CE77 ] NdisWan        C:\Windows\system32\DRIVERS\ndiswan.sys
10:09:09.0206 0x122c  NdisWan - ok
10:09:09.0237 0x122c  [ 015C0D8E0E0421B4CFD48CFFE2825879, 4242E2D42CCFC859B2C0275C5331798BC0BDA68E51CF4650B6E64B1332071023 ] NDProxy        C:\Windows\system32\drivers\NDProxy.sys
10:09:09.0286 0x122c  NDProxy - ok
10:09:09.0341 0x122c  [ 86743D9F5D2B1048062B14B1D84501C4, DBF6D6A60AB774FCB0F464FF2D285A7521D0A24006687B243AB46B17D8032062 ] NetBIOS        C:\Windows\system32\DRIVERS\netbios.sys
10:09:09.0377 0x122c  NetBIOS - ok
10:09:09.0423 0x122c  [ 09594D1089C523423B32A4229263F068, 7426A9B8BA27D3225928DDEFBD399650ABB90798212F56B7D12158AC22CCCE37 ] NetBT          C:\Windows\system32\DRIVERS\netbt.sys
10:09:09.0466 0x122c  NetBT - ok
10:09:09.0478 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] Netlogon        C:\Windows\system32\lsass.exe
10:09:09.0497 0x122c  Netlogon - ok
10:09:09.0530 0x122c  [ 847D3AE376C0817161A14A82C8922A9E, 37AE692B3481323134125EF58F2C3CBC20177371AF2F5874F53DD32A827CB936 ] Netman          C:\Windows\System32\netman.dll
10:09:09.0589 0x122c  Netman - ok
10:09:09.0623 0x122c  [ 21318671BCAD3ACF16638F98D4D00973, CEA6E3B6BCB4B74A9ACACBEEA12EEA967BBC2240398E2EBC04D7910109CACA11 ] NetMsmqActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
10:09:09.0643 0x122c  NetMsmqActivator - ok
10:09:09.0662 0x122c  [ 21318671BCAD3ACF16638F98D4D00973, CEA6E3B6BCB4B74A9ACACBEEA12EEA967BBC2240398E2EBC04D7910109CACA11 ] NetPipeActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
10:09:09.0685 0x122c  NetPipeActivator - ok
10:09:09.0723 0x122c  [ 5F28111C648F1E24F7DBC87CDEB091B8, 2E8645285921EDB98BB2173E11E57459C888D52E80D85791D169C869DE8813B9 ] netprofm        C:\Windows\System32\netprofm.dll
10:09:09.0772 0x122c  netprofm - ok
10:09:09.0778 0x122c  [ 21318671BCAD3ACF16638F98D4D00973, CEA6E3B6BCB4B74A9ACACBEEA12EEA967BBC2240398E2EBC04D7910109CACA11 ] NetTcpActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
10:09:09.0798 0x122c  NetTcpActivator - ok
10:09:09.0803 0x122c  [ 21318671BCAD3ACF16638F98D4D00973, CEA6E3B6BCB4B74A9ACACBEEA12EEA967BBC2240398E2EBC04D7910109CACA11 ] NetTcpPortSharing C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
10:09:09.0823 0x122c  NetTcpPortSharing - ok
10:09:09.0853 0x122c  [ 77889813BE4D166CDAB78DDBA990DA92, 2EF531AE502B943632EEC66A309A8BFCDD36120A5E1473F4AAF3C2393AD0E6A3 ] nfrd960        C:\Windows\system32\DRIVERS\nfrd960.sys
10:09:09.0869 0x122c  nfrd960 - ok
10:09:09.0898 0x122c  [ 8AD77806D336673F270DB31645267293, E23F324913554A23CD043DD27D4305AF62F48C0561A0FC7B7811E55B74B1BE79 ] NlaSvc          C:\Windows\System32\nlasvc.dll
10:09:09.0941 0x122c  NlaSvc - ok
10:09:09.0967 0x122c  [ 1E4C4AB5C9B8DD13179BBDC75A2A01F7, D8957EF7060A69DBB3CD6B2C45B1E4143592AB8D018471E17AC04668157DC67F ] Npfs            C:\Windows\system32\drivers\Npfs.sys
10:09:10.0003 0x122c  Npfs - ok
10:09:10.0040 0x122c  [ D54BFDF3E0C953F823B3D0BFE4732528, 497A1DCC5646EC22119273216DF10D5442D16F83E4363770F507518CF6EAA53A ] nsi            C:\Windows\system32\nsisvc.dll
10:09:10.0095 0x122c  nsi - ok
10:09:10.0110 0x122c  [ E7F5AE18AF4168178A642A9247C63001, 133023B7E4BA8049C4CAED3282BDD25571D1CC25FAC3B820C7F981D292689D76 ] nsiproxy        C:\Windows\system32\drivers\nsiproxy.sys
10:09:10.0145 0x122c  nsiproxy - ok
10:09:10.0219 0x122c  [ 1A29A59A4C5BA6F8C85062A613B7E2B2, CC137F499A12C724D4166C2D85E9F447413419A0683DAC6F1A802B7F210C77F1 ] Ntfs            C:\Windows\system32\drivers\Ntfs.sys
10:09:10.0283 0x122c  Ntfs - ok
10:09:10.0295 0x122c  [ 9899284589F75FA8724FF3D16AED75C1, 181188599FD5D4DE33B97010D9E0CAEABAB9A3EF50712FE7F9AA0735CD0666D6 ] Null            C:\Windows\system32\drivers\Null.sys
10:09:10.0329 0x122c  Null - ok
10:09:10.0383 0x122c  [ 7E4355930B28C2798D9F09AB9F81151F, 941C730F3B75BDF99639E76350031EDD15F18D8D860F3B1282C28B62096E7717 ] NVHDA          C:\Windows\system32\drivers\nvhda64v.sys
10:09:10.0401 0x122c  NVHDA - ok
10:09:10.0730 0x122c  [ ED4D88A04D22E6B00DB6BC8FACDBAFED, 38DDB9B353D3A24DD8390C6FB58FD513B46F9F715BC7E68D0958E78EACC3D3FA ] nvlddmkm        C:\Windows\system32\DRIVERS\nvlddmkm.sys
10:09:11.0075 0x122c  nvlddmkm - ok
10:09:11.0193 0x122c  [ DDF6920EBE96B0304279834F2EE2193E, F631974EE3659EC01863C2502FD26A45A237A59B9B005E5B1F9F78357CCBB974 ] NvNetworkService C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
10:09:11.0241 0x122c  NvNetworkService - ok
10:09:11.0259 0x122c  [ 0A92CB65770442ED0DC44834632F66AD, 581327F07A68DBD5CC749214BE5F1211FC2CE41C7A4F0656B680AFB51A35ACE7 ] nvraid          C:\Windows\system32\drivers\nvraid.sys
10:09:11.0277 0x122c  nvraid - ok
10:09:11.0296 0x122c  [ DAB0E87525C10052BF65F06152F37E4A, AD9BFF0D5FD3FFB95C758B478E1F6A9FE45E7B37AEC71EB5070D292FEAAEDF37 ] nvstor          C:\Windows\system32\drivers\nvstor.sys
10:09:11.0315 0x122c  nvstor - ok
10:09:11.0380 0x122c  [ 0C4A0D577A6EF1B9D353851668779944, 70E866AD50809CC80F167796C516190918A542F7767A8841948E656F36877AFE ] NvStreamKms    C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys
10:09:11.0393 0x122c  NvStreamKms - ok
10:09:11.0948 0x122c  [ BC00A5B3A9F759F7B1DD0A5868C4492F, 23058E56016B836339AACDB0D42E074FB4EF560C27831F6228A455D70585D1EE ] NvStreamSvc    C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
10:09:12.0576 0x122c  NvStreamSvc - ok
10:09:12.0685 0x122c  [ B7CD89EFA562A991F2864EFD3147473A, D38BAE7883BC073562C3C77DF59663B820CFE8305A3319C6E5CF8E48752E18C1 ] nvsvc          C:\Windows\system32\nvvsvc.exe
10:09:12.0720 0x122c  nvsvc - ok
10:09:12.0757 0x122c  [ DBFE7B2DF103F74AE51840B3C5F25FE9, 436CAA417FD24BA870F117FA4BABA2AB694825795508BCFCC8C927CC2D5BBC5E ] nvvad_WaveExtensible C:\Windows\system32\drivers\nvvad64v.sys
10:09:12.0771 0x122c  nvvad_WaveExtensible - ok
10:09:12.0812 0x122c  [ 270D7CD42D6E3979F6DD0146650F0E05, 752489E54C9004EDCBE1F1F208FFD864DA5C83E59A2DDE6B3E0D63ECA996F76F ] nv_agp          C:\Windows\system32\drivers\nv_agp.sys
10:09:12.0829 0x122c  nv_agp - ok
10:09:12.0847 0x122c  [ 3589478E4B22CE21B41FA1BFC0B8B8A0, AD2469FC753FE552CB809FF405A9AB23E7561292FE89117E3B3B62057EFF0203 ] ohci1394        C:\Windows\system32\drivers\ohci1394.sys
10:09:12.0865 0x122c  ohci1394 - ok
10:09:12.0903 0x122c  [ 3EAC4455472CC2C97107B5291E0DCAFE, E51F373F2DBEAEE516B42BAE8C1B5BB68D00B881323E842CB6EDEC0A183CFFC3 ] p2pimsvc        C:\Windows\system32\pnrpsvc.dll
10:09:12.0945 0x122c  p2pimsvc - ok
10:09:12.0988 0x122c  [ 927463ECB02179F88E4B9A17568C63C3, FEFD3447692C277D59EEC7BF218552C8BB6B8C98C26E973675549628408B94CE ] p2psvc          C:\Windows\system32\p2psvc.dll
10:09:13.0017 0x122c  p2psvc - ok
10:09:13.0048 0x122c  [ 0086431C29C35BE1DBC43F52CC273887, 0D116D49EF9ABB57DA005764F25E692622210627FC2048F06A989B12FA8D0A80 ] Parport        C:\Windows\system32\DRIVERS\parport.sys
10:09:13.0066 0x122c  Parport - ok
10:09:13.0099 0x122c  [ E9766131EEADE40A27DC27D2D68FBA9C, 63C295EC96DBD25F1A8B908295CCB86B54F2A77A02AAA11E5D9160C2C1A492B6 ] partmgr        C:\Windows\system32\drivers\partmgr.sys
10:09:13.0115 0x122c  partmgr - ok
10:09:13.0154 0x122c  [ 3AEAA8B561E63452C655DC0584922257, 04C072969B58657602EB0C21CEDF24FCEE14E61B90A0F758F93925EF2C9FC32D ] PcaSvc          C:\Windows\System32\pcasvc.dll
10:09:13.0190 0x122c  PcaSvc - ok
10:09:13.0216 0x122c  [ 94575C0571D1462A0F70BDE6BD6EE6B3, 7139BAC653EA94A3DD3821CAB35FC5E22F4CCA5ACC2BAABDAA27E4C3C8B27FC9 ] pci            C:\Windows\system32\drivers\pci.sys
10:09:13.0235 0x122c  pci - ok
10:09:13.0239 0x122c  [ B5B8B5EF2E5CB34DF8DCF8831E3534FA, F2A7CC645B96946CC65BF60E14E70DC09C848D27C7943CE5DEA0C01A6B863480 ] pciide          C:\Windows\system32\drivers\pciide.sys
10:09:13.0254 0x122c  pciide - ok
10:09:13.0270 0x122c  [ B2E81D4E87CE48589F98CB8C05B01F2F, 6763BEE7270A4873B3E131BFB92313E2750FCBD0AD73C23D1C4F98F7DF73DE14 ] pcmcia          C:\Windows\system32\DRIVERS\pcmcia.sys
10:09:13.0290 0x122c  pcmcia - ok
10:09:13.0327 0x122c  [ D6B9C2E1A11A3A4B26A182FFEF18F603, BBA5FE08B1DDD6243118E11358FD61B10E850F090F061711C3CB207CE5FBBD36 ] pcw            C:\Windows\system32\drivers\pcw.sys
10:09:13.0342 0x122c  pcw - ok
10:09:13.0442 0x122c  [ A1688A4FB2EC49D040C027EF6DC7A87B, E5F5768D189B590F4D8D20C13FC0F7FF5AC7C4729848F38A93D653AB0B740696 ] PDF Architect Helper Service C:\Program Files (x86)\PDF Architect\HelperService.exe
10:09:13.0485 0x122c  PDF Architect Helper Service - ok
10:09:13.0539 0x122c  [ E23FF9B2F8EEAB2BDDA681C21C48E843, 2D0072C2EFFD5278D0211438FA9A29CF394F01857273A53B09A629977C024B30 ] PDF Architect Service C:\Program Files (x86)\PDF Architect\ConversionService.exe
10:09:13.0567 0x122c  PDF Architect Service - ok
10:09:13.0599 0x122c  [ 68769C3356B3BE5D1C732C97B9A80D6E, FB2D61145980A2899D1B7729184C54070315B0E63C9A22400A76CCD39E00029C ] PEAUTH          C:\Windows\system32\drivers\peauth.sys
10:09:13.0667 0x122c  PEAUTH - ok
10:09:13.0748 0x122c  [ B9B0A4299DD2D76A4243F75FD54DC680, BBF62E9628131FA396EB08D63B76D2D5FBDD61339E92B759125A066470D1C039 ] PeerDistSvc    C:\Windows\system32\peerdistsvc.dll
10:09:13.0826 0x122c  PeerDistSvc - ok
10:09:13.0901 0x122c  [ E495E408C93141E8FC72DC0C6046DDFA, 489B957DADA0DC128A09468F1AD082DCC657E86053208EA06A12937BE86FB919 ] PerfHost        C:\Windows\SysWow64\perfhost.exe
10:09:13.0932 0x122c  PerfHost - ok
10:09:13.0998 0x122c  [ C7CF6A6E137463219E1259E3F0F0DD6C, 08D7244F52AA17DD669AA6F77C291DAC88E7B2D1887DE422509C1F83EC85F3DD ] pla            C:\Windows\system32\pla.dll
10:09:14.0085 0x122c  pla - ok
10:09:14.0131 0x122c  [ 25FBDEF06C4D92815B353F6E792C8129, 57D9764AE6BCE33B242C399CDFC10DD405975BD6411CA8C75FBCD06EEB8442A9 ] PlugPlay        C:\Windows\system32\umpnpmgr.dll
10:09:14.0171 0x122c  PlugPlay - ok
10:09:14.0205 0x122c  [ 7195581CEC9BB7D12ABE54036ACC2E38, 9C4E5D6EA984148F2663DC529083408B2248DFF6DAAC85D9195F80A722782315 ] PNRPAutoReg    C:\Windows\system32\pnrpauto.dll
10:09:14.0237 0x122c  PNRPAutoReg - ok
10:09:14.0262 0x122c  [ 3EAC4455472CC2C97107B5291E0DCAFE, E51F373F2DBEAEE516B42BAE8C1B5BB68D00B881323E842CB6EDEC0A183CFFC3 ] PNRPsvc        C:\Windows\system32\pnrpsvc.dll
10:09:14.0286 0x122c  PNRPsvc - ok
10:09:14.0342 0x122c  [ 4F15D75ADF6156BF56ECED6D4A55C389, 2ADA3EA69A5D7EC2A4D2DD89178DB94EAFDDF95F07B0070D654D9F7A5C12A044 ] PolicyAgent    C:\Windows\System32\ipsecsvc.dll
10:09:14.0392 0x122c  PolicyAgent - ok
10:09:14.0431 0x122c  [ 6BA9D927DDED70BD1A9CADED45F8B184, 66203CE70A5EDE053929A940F38924C6792239CCCE10DD2C1D90D5B4D6748B55 ] Power          C:\Windows\system32\umpo.dll
10:09:14.0485 0x122c  Power - ok
10:09:14.0534 0x122c  [ F92A2C41117A11A00BE01CA01A7FCDE9, 38ADC6052696D110CA5F393BC586791920663F5DA66934C2A824DDA9CD89C763 ] PptpMiniport    C:\Windows\system32\DRIVERS\raspptp.sys
10:09:14.0570 0x122c  PptpMiniport - ok
10:09:14.0580 0x122c  [ 0D922E23C041EFB1C3FAC2A6F943C9BF, 855418A6A58DCAFB181A1A68613B3E203AFB0A9B3D9D26D0C521F9F613B4EAD5 ] Processor      C:\Windows\system32\DRIVERS\processr.sys
10:09:14.0611 0x122c  Processor - ok
10:09:14.0657 0x122c  [ 53E83F1F6CF9D62F32801CF66D8352A8, 1225FED810BE8E0729EEAE5B340035CCBB9BACD3EF247834400F9B72D05ACE48 ] ProfSvc        C:\Windows\system32\profsvc.dll
10:09:14.0680 0x122c  ProfSvc - ok
10:09:14.0720 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] ProtectedStorage C:\Windows\system32\lsass.exe
10:09:14.0737 0x122c  ProtectedStorage - ok
10:09:14.0773 0x122c  [ 0557CF5A2556BD58E26384169D72438D, F6F83A616B1F1C6C0DF6D2EC2513E6C23FD4FAA6D36518B8676C619AB74957B4 ] Psched          C:\Windows\system32\DRIVERS\pacer.sys
10:09:14.0809 0x122c  Psched - ok
10:09:14.0856 0x122c  [ A53A15A11EBFD21077463EE2C7AFEEF0, 6002B012A75045DEA62640A864A8721EADE2F8B65BEB5F5BA76D8CD819774489 ] ql2300          C:\Windows\system32\DRIVERS\ql2300.sys
10:09:14.0922 0x122c  ql2300 - ok
10:09:14.0937 0x122c  [ 4F6D12B51DE1AAEFF7DC58C4D75423C8, FB6ABAB741CED66A79E31A45111649F2FA3E26CEE77209B5296F789F6F7D08DE ] ql40xx          C:\Windows\system32\DRIVERS\ql40xx.sys
10:09:14.0955 0x122c  ql40xx - ok
10:09:15.0008 0x122c  [ 906191634E99AEA92C4816150BDA3732, A0305436384104C3B559F9C73902DA19B96B518413379E397C5CDAB0B2B9418F ] QWAVE          C:\Windows\system32\qwave.dll
10:09:15.0036 0x122c  QWAVE - ok
10:09:15.0052 0x122c  [ 76707BB36430888D9CE9D705398ADB6C, 35C1D1D05F98AC29A33D3781F497A0B40A3CB9CDF25FE1F28F574E40DDF70535 ] QWAVEdrv        C:\Windows\system32\drivers\qwavedrv.sys
10:09:15.0073 0x122c  QWAVEdrv - ok
10:09:15.0082 0x122c  [ 5A0DA8AD5762FA2D91678A8A01311704, 8A64EB5DBAB7048A9E42A21CEB62CCD5B007A80C199892D7F8C69B48E8A255EF ] RasAcd          C:\Windows\system32\DRIVERS\rasacd.sys
10:09:15.0117 0x122c  RasAcd - ok
10:09:15.0153 0x122c  [ 7ECFF9B22276B73F43A99A15A6094E90, 62C70DA127F48F796F8897BBFA23AB6EB080CC923F0F091DFA384A93F5C90CA1 ] RasAgileVpn    C:\Windows\system32\DRIVERS\AgileVpn.sys
10:09:15.0190 0x122c  RasAgileVpn - ok
10:09:15.0200 0x122c  [ 8F26510C5383B8DBE976DE1CD00FC8C7, 60E618C010E8A723960636415573FA17EA0BBEF79647196B3BC0B8DEE680E090 ] RasAuto        C:\Windows\System32\rasauto.dll
10:09:15.0249 0x122c  RasAuto - ok
10:09:15.0290 0x122c  [ 471815800AE33E6F1C32FB1B97C490CA, 27307265F743DE3A3A3EC1B2C472A3D85FDD0AEC458E0B1177593141EE072698 ] Rasl2tp        C:\Windows\system32\DRIVERS\rasl2tp.sys
10:09:15.0344 0x122c  Rasl2tp - ok
10:09:15.0386 0x122c  [ EE867A0870FC9E4972BA9EAAD35651E2, 1B848D81705081FD2E18AC762DA7F51455657DAF860BF363DC15925A148BCADA ] RasMan          C:\Windows\System32\rasmans.dll
10:09:15.0450 0x122c  RasMan - ok
10:09:15.0473 0x122c  [ 855C9B1CD4756C5E9A2AA58A15F58C25, A514F8A9C304D54BDA8DC60F5A64259B057EC83A1CAAF6D2B58CFD55E9561F72 ] RasPppoe        C:\Windows\system32\DRIVERS\raspppoe.sys
10:09:15.0510 0x122c  RasPppoe - ok
10:09:15.0546 0x122c  [ E8B1E447B008D07FF47D016C2B0EEECB, FEC789F82B912F3E14E49524D40FEAA4373B221156F14045E645D7C37859258C ] RasSstp        C:\Windows\system32\DRIVERS\rassstp.sys
10:09:15.0583 0x122c  RasSstp - ok
10:09:15.0601 0x122c  [ 77F665941019A1594D887A74F301FA2F, 1FDC6F6853400190C086042933F157814D915C54F26793CAD36CD2607D8810DA ] rdbss          C:\Windows\system32\DRIVERS\rdbss.sys
10:09:15.0653 0x122c  rdbss - ok
10:09:15.0692 0x122c  [ 302DA2A0539F2CF54D7C6CC30C1F2D8D, 1DF3501BBFFB56C3ECC39DBCC4287D3302216C2208CE22428B8C4967E5DE9D17 ] rdpbus          C:\Windows\system32\DRIVERS\rdpbus.sys
10:09:15.0715 0x122c  rdpbus - ok
10:09:15.0729 0x122c  [ CEA6CC257FC9B7715F1C2B4849286D24, A78144D18352EA802C39D9D42921CF97A3E0211766B2169B6755C6FC2D77A804 ] RDPCDD          C:\Windows\system32\DRIVERS\RDPCDD.sys
10:09:15.0764 0x122c  RDPCDD - ok
10:09:15.0796 0x122c  [ 1B6163C503398B23FF8B939C67747683, 339A5AA7970FF34FAAB213B655860C5B0DEC5F983A4A11A088017D849F320ACE ] RDPDR          C:\Windows\system32\drivers\rdpdr.sys
10:09:15.0822 0x122c  RDPDR - ok
10:09:15.0827 0x122c  [ BB5971A4F00659529A5C44831AF22365, 9AAA5C0D448E821FD85589505D99DF7749715A046BBD211F139E4E652ADDE41F ] RDPENCDD        C:\Windows\system32\drivers\rdpencdd.sys
10:09:15.0872 0x122c  RDPENCDD - ok
10:09:15.0878 0x122c  [ 216F3FA57533D98E1F74DED70113177A, 60C126A1409D1E9C39F1C9E95F70115BF4AF07780AB499F6E10A612540F173F4 ] RDPREFMP        C:\Windows\system32\drivers\rdprefmp.sys
10:09:15.0924 0x122c  RDPREFMP - ok
10:09:15.0963 0x122c  [ FE571E088C2D83619D2D48D4E961BF41, 88C5A2FCB1D0E528657842E39963471A6E42FCA3FCDF37955AEC8258AB4C48EA ] RDPWD          C:\Windows\system32\drivers\RDPWD.sys
10:09:16.0011 0x122c  RDPWD - ok
10:09:16.0044 0x122c  [ 34ED295FA0121C241BFEF24764FC4520, AAEE5F00CAA763A5BA51CF56BD7262C03409CD72BD5601490E3EC3FFF929BB5F ] rdyboost        C:\Windows\system32\drivers\rdyboost.sys
10:09:16.0064 0x122c  rdyboost - ok
10:09:16.0092 0x122c  [ 254FB7A22D74E5511C73A3F6D802F192, 3D0FB5840364200DE394F8CC28DA0E334C2B5FA8FF28A41656EE72287F3D3836 ] RemoteAccess    C:\Windows\System32\mprdim.dll
10:09:16.0144 0x122c  RemoteAccess - ok
10:09:16.0165 0x122c  [ E4D94F24081440B5FC5AA556C7C62702, 147CAA03568DC480F9506E30B84891AB7E433B5EBC05F34FF10F72B00E1C6B22 ] RemoteRegistry  C:\Windows\system32\regsvc.dll
10:09:16.0216 0x122c  RemoteRegistry - ok
10:09:16.0250 0x122c  [ E4DC58CF7B3EA515AE917FF0D402A7BB, 665B5CD9FE905B0EE3F59A7B1A94760F5393EBEE729877D8584349754C2867E8 ] RpcEptMapper    C:\Windows\System32\RpcEpMap.dll
10:09:16.0300 0x122c  RpcEptMapper - ok
10:09:16.0329 0x122c  [ D5BA242D4CF8E384DB90E6A8ED850B8C, CB4CB2608B5E31B55FB1A2CF4051E6D08A0C2A5FB231B2116F95938D7577334E ] RpcLocator      C:\Windows\system32\locator.exe
10:09:16.0347 0x122c  RpcLocator - ok
10:09:16.0395 0x122c  [ 5C627D1B1138676C0A7AB2C2C190D123, C5003F2C912C5CA990E634818D3B4FD72F871900AF2948BD6C4D6400B354B401 ] RpcSs          C:\Windows\system32\rpcss.dll
10:09:16.0445 0x122c  RpcSs - ok
10:09:16.0477 0x122c  [ DDC86E4F8E7456261E637E3552E804FF, D250C69CCC75F2D88E7E624FCC51300E75637333317D53908CCA7E0F117173DD ] rspndr          C:\Windows\system32\DRIVERS\rspndr.sys
10:09:16.0514 0x122c  rspndr - ok
10:09:16.0562 0x122c  [ 68DD0457D18FCCEF7384AE84022F0C86, 82C02EDB30D4FA1145AB1818F9FCE0B73FEB1B94C138B5513794F25FAC85F2CC ] RTL8023x64      C:\Windows\system32\DRIVERS\Rtnic64.sys
10:09:16.0580 0x122c  RTL8023x64 - ok
10:09:16.0616 0x122c  [ EE082E06A82FF630351D1E0EBBD3D8D0, 537F1A4108BDA72E8DD271466E7B7FCF39D4D55E4129AB35A409AB7AF2E7D219 ] RTL8167        C:\Windows\system32\DRIVERS\Rt64win7.sys
10:09:16.0643 0x122c  RTL8167 - ok
10:09:16.0694 0x122c  [ 652F9068C05A7FB83291DF616CDC8A8B, 13136DE67C31C5781B9E484C1AF806F43AF8EA0843D5A4018CBE7191ADD31A54 ] RzDxgk          C:\Windows\system32\drivers\RzDxgk.sys
10:09:16.0709 0x122c  RzDxgk - ok
10:09:16.0802 0x122c  [ 2CEDF1DC70CEFB415354180A507104CE, AD5B2792B05337F809C375A534F421B3D4B9955B19281FBC635A6CAC9DD05ED4 ] RzFilter        C:\Windows\system32\drivers\RzFilter.sys
10:09:16.0816 0x122c  RzFilter - ok
10:09:16.0914 0x122c  [ 8F8C6EDB43BA9E60917ED76EA2E02CDE, AED12241690DFE6FAFF54D85FFD0926B84135BBEE1F9C9ED9850E11F4D5330EE ] RzOvlMon        C:\Program Files (x86)\Razer\Core\64bit\rzovlmon.exe
10:09:16.0927 0x122c  RzOvlMon - ok
10:09:16.0959 0x122c  [ 6A0C6BAE535BB5FFE6FBCB48023B77C0, C0BA911D94DFAEBE3DA76AA6B91B840F6A05BE10C4A8A6BA0800992E0F5D5324 ] rzudd          C:\Windows\system32\DRIVERS\rzudd.sys
10:09:16.0975 0x122c  rzudd - ok
10:09:17.0000 0x122c  [ E60C0A09F997826C7627B244195AB581, E8630ED74B38B98BF584E353D992C1311BC36AB7F20A1BB66C9CD65CE1E46F8D ] s3cap          C:\Windows\system32\drivers\vms3cap.sys
10:09:17.0025 0x122c  s3cap - ok
10:09:17.0036 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] SamSs          C:\Windows\system32\lsass.exe
10:09:17.0054 0x122c  SamSs - ok
10:09:17.0074 0x122c  [ AC03AF3329579FFFB455AA2DAABBE22B, 7AD3B62ADFEC166F9E256F9FF8BAA0568B2ED7308142BF8F5269E6EAA5E0A656 ] sbp2port        C:\Windows\system32\drivers\sbp2port.sys
10:09:17.0091 0x122c  sbp2port - ok
10:09:17.0109 0x122c  [ 9B7395789E3791A3B6D000FE6F8B131E, E5F067F3F212BF5481668BE1779CBEF053F511F8967589BE2E865ACB9A620024 ] SCardSvr        C:\Windows\System32\SCardSvr.dll
10:09:17.0165 0x122c  SCardSvr - ok
10:09:17.0193 0x122c  [ 253F38D0D7074C02FF8DEB9836C97D2B, CB5CAFCB8628BB22877F74ACF1DED0BBAED8F4573A74DA7FE94BBBA584889116 ] scfilter        C:\Windows\system32\DRIVERS\scfilter.sys
10:09:17.0238 0x122c  scfilter - ok
10:09:17.0294 0x122c  [ 262F6592C3299C005FD6BEC90FC4463A, 54095E37F0B6CC677A3E9BDD40F4647C713273D197DB341063AA7F342A60C4A7 ] Schedule        C:\Windows\system32\schedsvc.dll
10:09:17.0370 0x122c  Schedule - ok
10:09:17.0406 0x122c  [ F17D1D393BBC69C5322FBFAFACA28C7F, 62A1A92B3C52ADFD0B808D7F69DD50238B5F202421F1786F7EAEAA63F274B3E8 ] SCPolicySvc    C:\Windows\System32\certprop.dll
10:09:17.0446 0x122c  SCPolicySvc - ok
10:09:17.0494 0x122c  [ 8B56BDCE6A303DDE63D63440D1CF9AD1, 66A4356C29D00A1B8A95975C073AE4E6D2A90CBF3B143FE9B83B96BEC0805D46 ] ScreamBAudioSvc C:\Windows\system32\drivers\ScreamingBAudio64.sys
10:09:17.0508 0x122c  ScreamBAudioSvc - ok
10:09:17.0544 0x122c  [ 6EA4234DC55346E0709560FE7C2C1972, 64011E044C16E2F92689E5F7E4666A075E27BBFA61F3264E5D51CE1656C1D5B8 ] SDRSVC          C:\Windows\System32\SDRSVC.dll
10:09:17.0567 0x122c  SDRSVC - ok
10:09:17.0603 0x122c  [ 3EA8A16169C26AFBEB544E0E48421186, 34BBB0459C96B3DE94CCB0D73461562935C583D7BF93828DA4E20A6BC9B7301D ] secdrv          C:\Windows\system32\drivers\secdrv.sys
10:09:17.0638 0x122c  secdrv - ok
10:09:17.0674 0x122c  [ BC617A4E1B4FA8DF523A061739A0BD87, 10C4057F6B321EB5237FF619747B74F5401BC17D15A8C7060829E8204A2297F9 ] seclogon        C:\Windows\system32\seclogon.dll
10:09:17.0720 0x122c  seclogon - ok
10:09:17.0744 0x122c  [ C32AB8FA018EF34C0F113BD501436D21, E0EB8E80B51E45CA7EB061E705DA0BC07878759418A8519AE6E12326FE79E7C7 ] SENS            C:\Windows\System32\sens.dll
10:09:17.0792 0x122c  SENS - ok
10:09:17.0805 0x122c  [ 0336CFFAFAAB87A11541F1CF1594B2B2, 8B8A6A33E78A12FB05E29B2E2775850626574AFD2EF88748D65E690A07B10B8D ] SensrSvc        C:\Windows\system32\sensrsvc.dll
10:09:17.0837 0x122c  SensrSvc - ok
10:09:17.0868 0x122c  [ CB624C0035412AF0DEBEC78C41F5CA1B, A4D937F11E06CAE914347CA1362F4C98EC5EE0C0C80321E360EA1ABD6726F8D4 ] Serenum        C:\Windows\system32\DRIVERS\serenum.sys
10:09:17.0898 0x122c  Serenum - ok
10:09:17.0919 0x122c  [ C1D8E28B2C2ADFAEC4BA89E9FDA69BD6, 8F9776FB84C5D11068EAF1FF1D1A46466C655D64D256A8B1E31DC0C23B5DD22D ] Serial          C:\Windows\system32\DRIVERS\serial.sys
10:09:17.0938 0x122c  Serial - ok
10:09:17.0952 0x122c  [ 1C545A7D0691CC4A027396535691C3E3, 065C30BE598FF4DC55C37E0BBE0CEDF10A370AE2BF5404B42EBBB867A3FFED6D ] sermouse        C:\Windows\system32\DRIVERS\sermouse.sys
10:09:17.0969 0x122c  sermouse - ok
10:09:18.0012 0x122c  [ 0B6231BF38174A1628C4AC812CC75804, E569BF1F7F5689E2E917FA6516DB53388A5B8B1C6699DEE030147E853218811D ] SessionEnv      C:\Windows\system32\sessenv.dll
10:09:18.0061 0x122c  SessionEnv - ok
10:09:18.0082 0x122c  [ A554811BCD09279536440C964AE35BBF, DA8F893722F803E189D7D4D6C6232ED34505B63A64ED3A0132A5BB7A2BABDE55 ] sffdisk        C:\Windows\system32\drivers\sffdisk.sys
10:09:18.0116 0x122c  sffdisk - ok
10:09:18.0137 0x122c  [ FF414F0BAEFEBA59BC6C04B3DB0B87BF, B81EF5D26AEB572CAB590F7AD7CA8C89F296420089EF5E6148E972F2DBCA1042 ] sffp_mmc        C:\Windows\system32\drivers\sffp_mmc.sys
10:09:18.0155 0x122c  sffp_mmc - ok
10:09:18.0166 0x122c  [ DD85B78243A19B59F0637DCF284DA63C, 6730D4F2BAE7E24615746ACC41B42D01DB6068D6504982008ADA1890DE900197 ] sffp_sd        C:\Windows\system32\drivers\sffp_sd.sys
10:09:18.0201 0x122c  sffp_sd - ok
10:09:18.0216 0x122c  [ A9D601643A1647211A1EE2EC4E433FF4, 7AC60B4AB48D4BBF1F9681C12EC2A75C72E6E12D30FABC564A24394310E9A5F9 ] sfloppy        C:\Windows\system32\DRIVERS\sfloppy.sys
10:09:18.0233 0x122c  sfloppy - ok
10:09:18.0259 0x122c  [ B95F6501A2F8B2E78C697FEC401970CE, 758B73A32902299A313348CE7EC189B20EB4CB398D0180E4EE24B84DAD55F291 ] SharedAccess    C:\Windows\System32\ipnathlp.dll
10:09:18.0304 0x122c  SharedAccess - ok
10:09:18.0342 0x122c  [ AAF932B4011D14052955D4B212A4DA8D, 2A3BFD0FA9569288E91AE3E72CA1EC39E1450D01E6473CE51157E0F138257923 ] ShellHWDetection C:\Windows\System32\shsvcs.dll
10:09:18.0389 0x122c  ShellHWDetection - ok
10:09:18.0419 0x122c  [ 843CAF1E5FDE1FFD5FF768F23A51E2E1, 89CA9F516E42A6B905474D738CDA2C121020A07DBD4E66CFE569DD77D79D7820 ] SiSRaid2        C:\Windows\system32\DRIVERS\SiSRaid2.sys
10:09:18.0435 0x122c  SiSRaid2 - ok
10:09:18.0452 0x122c  [ 6A6C106D42E9FFFF8B9FCB4F754F6DA4, 87B85C66DF7EB6FDB8A2341D05FAA5261FF68A90CCFC63F0E4A03824F1E33E5E ] SiSRaid4        C:\Windows\system32\DRIVERS\sisraid4.sys
10:09:18.0468 0x122c  SiSRaid4 - ok
10:09:18.0539 0x122c  [ 050A4112B00BCA2E13314CDE48C1DEEE, 86C679CD494DEEB984372BF954EFBB8982AC7995FBF89FCF83BC228991D1B825 ] SkypeUpdate    C:\Program Files (x86)\Skype\Updater\Updater.exe
10:09:18.0562 0x122c  SkypeUpdate - ok
10:09:18.0599 0x122c  [ 548260A7B8654E024DC30BF8A7C5BAA4, 4A7E58331D7765A12F53DC2371739DC9A463940B13E16157CE10DB80E958D740 ] Smb            C:\Windows\system32\DRIVERS\smb.sys
10:09:18.0649 0x122c  Smb - ok
10:09:18.0706 0x122c  [ 6313F223E817CC09AA41811DAA7F541D, D787061043BEEDB9386B048CB9E680E6A88A1CBAE9BD4A8C0209155BFB76C630 ] SNMPTRAP        C:\Windows\System32\snmptrap.exe
10:09:18.0725 0x122c  SNMPTRAP - ok
10:09:18.0735 0x122c  [ B9E31E5CACDFE584F34F730A677803F9, 21A5130BD00089C609522A372018A719F8E37103D2DD22C59EACB393BE35A063 ] spldr          C:\Windows\system32\drivers\spldr.sys
10:09:18.0751 0x122c  spldr - ok
10:09:18.0797 0x122c  [ 85DAA09A98C9286D4EA2BA8D0E644377, F9C324E2EF81193FE831C7EECC44A100CA06F82FA731BF555D9EA4D91DA13329 ] Spooler        C:\Windows\System32\spoolsv.exe
10:09:18.0841 0x122c  Spooler - ok
10:09:18.0972 0x122c  [ E17E0188BB90FAE42D83E98707EFA59C, FC075F7B39E86CC8EF6DA4E339FE946917E319C347AC70FB0C50AAF36F97E27F ] sppsvc          C:\Windows\system32\sppsvc.exe
10:09:19.0142 0x122c  sppsvc - ok
10:09:19.0172 0x122c  [ 93D7D61317F3D4BC4F4E9F8A96A7DE45, 36D48B23B8243BE5229707375FCD11C2DCAC96983199345365F065A0CBF33314 ] sppuinotify    C:\Windows\system32\sppuinotify.dll
10:09:19.0228 0x122c  sppuinotify - ok
10:09:19.0304 0x122c  [ 441FBA48BFF01FDB9D5969EBC1838F0B, 306128F1AD489F87161A089D1BDC1542A4CB742D91A0C12A7CD1863FDB8932C0 ] srv            C:\Windows\system32\DRIVERS\srv.sys
10:09:19.0340 0x122c  srv - ok
10:09:19.0384 0x122c  [ B4ADEBBF5E3677CCE9651E0F01F7CC28, 726DB2283113AB2A9681E8E9F61132303D6D86E9CD034C40EE4A8C9DB29E87F7 ] srv2            C:\Windows\system32\DRIVERS\srv2.sys
10:09:19.0411 0x122c  srv2 - ok
10:09:19.0452 0x122c  [ 27E461F0BE5BFF5FC737328F749538C3, AFA4704ED8FFC1A0BAB40DFB81D3AE3F3D933A3C9BF54DDAF39FF9AF3646D9E6 ] srvnet          C:\Windows\system32\DRIVERS\srvnet.sys
10:09:19.0485 0x122c  srvnet - ok
10:09:19.0506 0x122c  [ 51B52FBD583CDE8AA9BA62B8B4298F33, 2E2403F8AA39E79D1281CA006B51B43139C32A5FDD64BD34DAA4B935338BD740 ] SSDPSRV        C:\Windows\System32\ssdpsrv.dll
10:09:19.0563 0x122c  SSDPSRV - ok
10:09:19.0575 0x122c  [ AB7AEBF58DAD8DAAB7A6C45E6A8885CB, D21CDBC4C2AA0DB5B4455D5108B0CAF4282A2E664B9035708F212CC094569D9D ] SstpSvc        C:\Windows\system32\sstpsvc.dll
10:09:19.0616 0x122c  SstpSvc - ok
10:09:19.0679 0x122c  [ 5FFDA96330357A914A69D79BE1988A38, E2A03A8D108C210B1111E2466E3DD381F0FA440B95B5013DC728EAD9CFE448AF ] Steam Client Service C:\Program Files (x86)\Common Files\Steam\SteamService.exe
10:09:19.0705 0x122c  Steam Client Service - ok
10:09:19.0761 0x122c  [ E7AF8F82C69A5E9B2CC46633BCBBAAEE, D7FC81DB72A1A96219335AFF861ADD82BEC115CBCB70C6765058E1D76702403C ] Stereo Service  C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
10:09:19.0781 0x122c  Stereo Service - ok
10:09:19.0812 0x122c  [ F3817967ED533D08327DC73BC4D5542A, 1B204454408A690C0A86447F3E4AA9E7C58A9CFB567C94C17C21920BA648B4D5 ] stexstor        C:\Windows\system32\DRIVERS\stexstor.sys
10:09:19.0827 0x122c  stexstor - ok
10:09:19.0870 0x122c  [ 8DD52E8E6128F4B2DA92CE27402871C1, 1101C38BE8FC383B5F2F9FA402F9652B23B88A764DE2B584DFE62B88B11DEF92 ] stisvc          C:\Windows\System32\wiaservc.dll
10:09:19.0921 0x122c  stisvc - ok
10:09:19.0957 0x122c  [ 7785DC213270D2FC066538DAF94087E7, F09CB2895241719CA5147B2EE9F7ECBD0303AFFB5CD896F06D4D29BAAAFC207B ] storflt        C:\Windows\system32\drivers\vmstorfl.sys
10:09:19.0973 0x122c  storflt - ok
10:09:20.0006 0x122c  [ C40841817EF57D491F22EB103DA587CC, 5FAA2DE43BADC16A898C0C290C44C41E4411D919A95FE8C6FF45EA7A34495079 ] StorSvc        C:\Windows\system32\storsvc.dll
10:09:20.0032 0x122c  StorSvc - ok
10:09:20.0044 0x122c  [ D34E4943D5AC096C8EDEEBFD80D76E23, 1DD7F6F97060B5F763A04ACA1F75E59DAB09EF824FD09B83FC3C192837D006DE ] storvsc        C:\Windows\system32\drivers\storvsc.sys
10:09:20.0060 0x122c  storvsc - ok
10:09:20.0112 0x122c  [ 9CFEFD62D86DABFAC12D1C5ED72BA6A4, 1FFE4371450F53FD774CA0349CC28F559695761C18759CEB04933FDF2FD98F65 ] SWDUMon        C:\Windows\system32\DRIVERS\SWDUMon.sys
10:09:20.0125 0x122c  SWDUMon - ok
10:09:20.0141 0x122c  [ D01EC09B6711A5F8E7E6564A4D0FBC90, 3CB922291DBADC92B46B9E28CCB6810CD8CCDA3E74518EC9522B58B998E1F969 ] swenum          C:\Windows\system32\drivers\swenum.sys
10:09:20.0156 0x122c  swenum - ok
10:09:20.0184 0x122c  [ E08E46FDD841B7184194011CA1955A0B, 9C3725BB1F08F92744C980A22ED5C874007D3B5863C7E1F140F50061052AC418 ] swprv          C:\Windows\System32\swprv.dll
10:09:20.0235 0x122c  swprv - ok
10:09:20.0310 0x122c  [ BF9CCC0BF39B418C8D0AE8B05CF95B7D, 3C13217548BE61F2BDB8BD41F77345CDDA1F97BF0AE17241C335B9807EB3DBB8 ] SysMain        C:\Windows\system32\sysmain.dll
10:09:20.0402 0x122c  SysMain - ok
10:09:20.0428 0x122c  [ E3C61FD7B7C2557E1F1B0B4CEC713585, 01F0E116606D185BF93B540868075BFB1A398197F6AABD994983DBFF56B3A8A0 ] TabletInputService C:\Windows\System32\TabSvc.dll
10:09:20.0454 0x122c  TabletInputService - ok
10:09:20.0522 0x122c  [ B08740047145B9BCE15BF75CA0F9718A, 3E2A8A5A2A4DC4D0F05E22EA2C0EBD85AA5C7C6854E873D53538D1F54B8F7C63 ] tap0901t        C:\Windows\system32\DRIVERS\tap0901t.sys
10:09:20.0570 0x122c  tap0901t - ok
10:09:20.0589 0x122c  [ 40F0849F65D13EE87B9A9AE3C1DD6823, E251A7EF3D0FD2973AF33A62FC457A7E8D5E8694208F811F52455F7C2426121F ] TapiSrv        C:\Windows\System32\tapisrv.dll
10:09:20.0634 0x122c  TapiSrv - ok
10:09:20.0671 0x122c  [ 1BE03AC720F4D302EA01D40F588162F6, AB644862BF1D2E824FD846180DEC4E2C0FAFCC517451486DE5A92E5E78A952E4 ] TBS            C:\Windows\System32\tbssvc.dll
10:09:20.0723 0x122c  TBS - ok
10:09:20.0815 0x122c  [ 04ADD18EE5CC9FBEDAEC1DD1CD0CB45E, F05C0C4CA3DD234AD5D60CF1EF763C9A1D9EC3C157E180C2D75CC07E6B02A611 ] Tcpip          C:\Windows\system32\drivers\tcpip.sys
10:09:20.0888 0x122c  Tcpip - ok
10:09:20.0950 0x122c  [ 04ADD18EE5CC9FBEDAEC1DD1CD0CB45E, F05C0C4CA3DD234AD5D60CF1EF763C9A1D9EC3C157E180C2D75CC07E6B02A611 ] TCPIP6          C:\Windows\system32\DRIVERS\tcpip.sys
10:09:21.0003 0x122c  TCPIP6 - ok
10:09:21.0037 0x122c  [ 1B16D0BD9841794A6E0CDE0CEF744ABC, 7EB8BA97339199EEE7F2B09DA2DA6279DA64A510D4598D42CF86415D67CD674C ] tcpipreg        C:\Windows\system32\drivers\tcpipreg.sys
10:09:21.0069 0x122c  tcpipreg - ok
10:09:21.0087 0x122c  [ 3371D21011695B16333A3934340C4E7C, 7416F9BBFC1BA9D875EA7D1C7A0D912FC6977B49A865D67E3F9C4E18A965082D ] TDPIPE          C:\Windows\system32\drivers\tdpipe.sys
10:09:21.0139 0x122c  TDPIPE - ok
10:09:21.0167 0x122c  [ 51C5ECEB1CDEE2468A1748BE550CFBC8, 4E8F83877330B421F7B5D8393D34BC44C6450E69209DAA95B29CB298166A5DF9 ] TDTCP          C:\Windows\system32\drivers\tdtcp.sys
10:09:21.0197 0x122c  TDTCP - ok
10:09:21.0241 0x122c  [ 70988118145F5F10EF24720B97F35F65, F80C806417A68047FFB3D63214BC4AE5445315219AC594E043293006B704A63D ] tdx            C:\Windows\system32\DRIVERS\tdx.sys
10:09:21.0271 0x122c  tdx - ok
10:09:21.0448 0x122c  [ E849218177EC8F7541EC3FAA693EE21A, 9E6AF67C8A649A0D0B39D36D01BFF44BB31114E5BF2AE423B3B4CCD6B2E238D5 ] TeamViewer9    C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
10:09:21.0570 0x122c  TeamViewer9 - ok
10:09:21.0598 0x122c  [ 561E7E1F06895D78DE991E01DD0FB6E5, 83BFA50A528762EC52A011302AC3874636FB7E26628CD7ACFBF2BDC9FAA8110D ] TermDD          C:\Windows\system32\drivers\termdd.sys
10:09:21.0614 0x122c  TermDD - ok
10:09:21.0666 0x122c  [ 008CD4EBFABCF78D0F19B3778492648C, 9050490EEE0AD86E73F0A82D83E4FC29DF84F6B6FDB389AE135FD712B5F425BE ] TermService    C:\Windows\System32\termsrv.dll
10:09:21.0710 0x122c  TermService - ok
10:09:21.0727 0x122c  [ F0344071948D1A1FA732231785A0664C, DB9886C2C858FAF45AEA15F8E42860343F73EB8685C53EC2E8CCC10586CB0832 ] Themes          C:\Windows\system32\themeservice.dll
10:09:21.0765 0x122c  Themes - ok
10:09:21.0823 0x122c  [ E40E80D0304A73E8D269F7141D77250B, 0DB4AC13A264F19A84DC0BCED54E8E404014CC09C993B172002B1561EC7E265A ] THREADORDER    C:\Windows\system32\mmcss.dll
10:09:21.0860 0x122c  THREADORDER - ok
10:09:21.0869 0x122c  [ 7E7AFD841694F6AC397E99D75CEAD49D, DE87F203FD8E6BDCCFCA1860A85F283301A365846FB703D9BB86278D8AC96B07 ] TrkWks          C:\Windows\System32\trkwks.dll
10:09:21.0924 0x122c  TrkWks - ok
10:09:21.0955 0x122c  [ 773212B2AAA24C1E31F10246B15B276C, F2EF85F5ABA307976D9C649D710B408952089458DDE97D4DEF321DF14E46A046 ] TrustedInstaller C:\Windows\servicing\TrustedInstaller.exe
10:09:22.0008 0x122c  TrustedInstaller - ok
10:09:22.0044 0x122c  [ E232A3B43A894BB327FC161529BD9ED1, F2673DA8C920F21ACCECC25F7C59A05822E5E577D47F126EDF9C94FEB4B30C5F ] tssecsrv        C:\Windows\system32\DRIVERS\tssecsrv.sys
10:09:22.0075 0x122c  tssecsrv - ok
10:09:22.0121 0x122c  [ D11C783E3EF9A3C52C0EBE83CC5000E9, A136C355D4C8945729163D15801364A614E23217B15F9313C85BA45BB71A74EB ] TsUsbFlt        C:\Windows\system32\drivers\tsusbflt.sys
10:09:22.0161 0x122c  TsUsbFlt - ok
10:09:22.0213 0x122c  [ 3566A8DAAFA27AF944F5D705EAA64894, AE9D8B648DA08AF667B9456C3FE315489859C157510A258559F18238F2CC92B8 ] tunnel          C:\Windows\system32\DRIVERS\tunnel.sys
10:09:22.0265 0x122c  tunnel - ok
10:09:22.0369 0x122c  [ A96BE6F92EDE53BA5997B2AE7367EACD, D2CE331F0BBA15C19A66BEF91FBDA96536F656C89DC9FE1A2F88D0C368986BB2 ] TunngleService  C:\Program Files (x86)\Tunngle\TnglCtrl.exe
10:09:22.0405 0x122c  TunngleService - ok
10:09:22.0417 0x122c  [ B4DD609BD7E282BFC683CEC7EAAAAD67, EF131DB6F6411CAD36A989A421AF93F89DD61601AC524D2FF11C10FF6E3E9123 ] uagp35          C:\Windows\system32\DRIVERS\uagp35.sys
10:09:22.0434 0x122c  uagp35 - ok
10:09:22.0478 0x122c  [ FF4232A1A64012BAA1FD97C7B67DF593, D8591B4EB056899C7B604E4DD852D82D4D9809F508ABCED4A03E1BE6D5D456E3 ] udfs            C:\Windows\system32\DRIVERS\udfs.sys
10:09:22.0521 0x122c  udfs - ok
10:09:22.0539 0x122c  [ 3CBDEC8D06B9968ABA702EBA076364A1, B8DAB8AA804FC23021BFEBD7AE4D40FBE648D6C6BA21CC008E26D1C084972F9B ] UI0Detect      C:\Windows\system32\UI0Detect.exe
10:09:22.0572 0x122c  UI0Detect - ok
10:09:22.0596 0x122c  [ 4BFE1BC28391222894CBF1E7D0E42320, 5918B1ED2030600DF77BDACF1C808DF6EADDD8BF3E7003AF1D72050D8B102B3A ] uliagpkx        C:\Windows\system32\drivers\uliagpkx.sys
10:09:22.0615 0x122c  uliagpkx - ok
10:09:22.0662 0x122c  [ DC54A574663A895C8763AF0FA1FF7561, 09A3F3597E91CBEB2F38E96E75134312B60CAE5574B2AD4606C2D3E992AEDDFE ] umbus          C:\Windows\system32\DRIVERS\umbus.sys
10:09:22.0693 0x122c  umbus - ok
10:09:22.0767 0x122c  [ B2E8E8CB557B156DA5493BBDDCC1474D, F547509A08C0679ACB843E20C9C0CF51BED1B06530BBC529DFB0944504564A43 ] UmPass          C:\Windows\system32\DRIVERS\umpass.sys
10:09:22.0782 0x122c  UmPass - ok
10:09:22.0825 0x122c  [ A293DCD756D04D8492A750D03B9A297C, 203600ED0B7F8BA4C6D6F4ED810F4DF5AB70928B06EC4131C5D8ADF628444ED1 ] UmRdpService    C:\Windows\System32\umrdp.dll
10:09:22.0861 0x122c  UmRdpService - ok
10:09:22.0891 0x122c  [ D47EC6A8E81633DD18D2436B19BAF6DE, 0FB461E2D5E0B75BB5958F6362F4880BFA4C36AD930542609BCAF574941AA7AE ] upnphost        C:\Windows\System32\upnphost.dll
10:09:22.0939 0x122c  upnphost - ok
10:09:22.0988 0x122c  [ 5C3BE22E485B9BF11FCEFDC676C728D0, F55061066ECF6920D56518A677BB538C18B7F1BB150ED6DB3591408F44E8D53A ] USBAAPL64      C:\Windows\system32\Drivers\usbaapl64.sys
10:09:23.0031 0x122c  USBAAPL64 - ok
10:09:23.0062 0x122c  [ B0435098C81D04CAFFF80DDB746CD3A2, A17B207740382E38729571F0B0BC98FF874E856A7C7CE9EB930328A2AD88F52A ] usbaudio        C:\Windows\system32\drivers\usbaudio.sys
10:09:23.0103 0x122c  usbaudio - ok
10:09:23.0126 0x122c  [ DCA68B0943D6FA415F0C56C92158A83A, BEE5A5B33B22D1DF50B884D46D89FC3B8286EB16E38AD5A20F0A49E5C6766C57 ] usbccgp        C:\Windows\system32\DRIVERS\usbccgp.sys
10:09:23.0162 0x122c  usbccgp - ok
10:09:23.0211 0x122c  [ 80B0F7D5CCF86CEB5D402EAAF61FEC31, 140C62116A425DEAD25FE8D82DE283BC92C482A9F643658D512F9F67061F28AD ] usbcir          C:\Windows\system32\drivers\usbcir.sys
10:09:23.0264 0x122c  usbcir - ok
10:09:23.0280 0x122c  [ 18A85013A3E0F7E1755365D287443965, 811C5EDF38C765BCF71BCE25CB6626FF6988C3699F5EF1846240EA0052F34C33 ] usbehci        C:\Windows\system32\DRIVERS\usbehci.sys
10:09:23.0298 0x122c  usbehci - ok
10:09:23.0337 0x122c  [ 8D1196CFBB223621F2C67D45710F25BA, B5D7AFE51833B24FC9576F3AED3D8A2B290E5846060E73F9FFFAC1890A8B6003 ] usbhub          C:\Windows\system32\DRIVERS\usbhub.sys
10:09:23.0378 0x122c  usbhub - ok
10:09:23.0405 0x122c  [ 765A92D428A8DB88B960DA5A8D6089DC, 56DE8A2ED58E53B202C399CA7BACB1551136303C2EE0AB426BDBBF880E3C542C ] usbohci        C:\Windows\system32\drivers\usbohci.sys
10:09:23.0450 0x122c  usbohci - ok
10:09:23.0467 0x122c  [ 73188F58FB384E75C4063D29413CEE3D, B485463933306036B1D490722CB1674DC85670753D79FA0EF7EBCA7BBAAD9F7C ] usbprint        C:\Windows\system32\DRIVERS\usbprint.sys
10:09:23.0500 0x122c  usbprint - ok
10:09:23.0541 0x122c  [ FED648B01349A3C8395A5169DB5FB7D6, DC4D7594C24ADD076927B9347F1B50B91CF03A4ABDB284248D5711D9C19DEB96 ] USBSTOR        C:\Windows\system32\DRIVERS\USBSTOR.SYS
10:09:23.0570 0x122c  USBSTOR - ok
10:09:23.0608 0x122c  [ DD253AFC3BC6CBA412342DE60C3647F3, 146F8613F1057AC054DC3593E84BC52899DA27EA33B0E72ACFB78C3699ADCDE7 ] usbuhci        C:\Windows\system32\DRIVERS\usbuhci.sys
10:09:23.0625 0x122c  usbuhci - ok
10:09:23.0672 0x122c  [ 1F775DA4CF1A3A1834207E975A72E9D7, 6D3DE5BD3EF3A76E997E5BAF900C51D25308F5A9682D1F62017F577A24095B90 ] usbvideo        C:\Windows\System32\Drivers\usbvideo.sys
10:09:23.0709 0x122c  usbvideo - ok
10:09:23.0738 0x122c  [ EDBB23CBCF2CDF727D64FF9B51A6070E, 7202484C8E1BFB2AFD64D8C81668F3EDE0E3BF5EB27572877A0A7B337AE5AE42 ] UxSms          C:\Windows\System32\uxsms.dll
10:09:23.0781 0x122c  UxSms - ok
10:09:23.0811 0x122c  [ 204F3F58212B3E422C90BD9691A2DF28, D748A8CEE4D59B4248C9B1ACA5155D0FF6635A29564B4391B7FAC6261F93FE99 ] VaultSvc        C:\Windows\system32\lsass.exe
10:09:23.0831 0x122c  VaultSvc - ok
10:09:23.0867 0x122c  [ 3C8E2C591345F38149C69FE8E5DF8C90, 9F4BB9BDA09CB2E99A6A888B288F322AE5C460B5D124CD714C6F00FF5029144B ] VClone          C:\Windows\system32\DRIVERS\VClone.sys
10:09:23.0890 0x122c  VClone - ok
10:09:23.0903 0x122c  [ C5C876CCFC083FF3B128F933823E87BD, 6FE0FBB6C3207E09300E0789E2168F76668D87C317FE9F263E733827ADCFBE0D ] vdrvroot        C:\Windows\system32\drivers\vdrvroot.sys
10:09:23.0919 0x122c  vdrvroot - ok
10:09:23.0966 0x122c  [ 8D6B481601D01A456E75C3210F1830BE, A2CEF483F4231367138EEF7E67FD5BE5364FC0780C44CA1368E36CE4AA3D0633 ] vds            C:\Windows\System32\vds.exe
10:09:24.0017 0x122c  vds - ok
10:09:24.0060 0x122c  [ DA4DA3F5E02943C2DC8C6ED875DE68DD, EDE604536DB78C512D68C92B26DA77C8811AC109D1F0A473673F0A82D15A2838 ] vga            C:\Windows\system32\DRIVERS\vgapnp.sys
10:09:24.0079 0x122c  vga - ok
10:09:24.0118 0x122c  [ 53E92A310193CB3C03BEA963DE7D9CFC, 45898604375B42EB1246C17A22D91C2440F11C746FF6459AD38027C1BC2E3125 ] VgaSave        C:\Windows\System32\drivers\vga.sys
10:09:24.0154 0x122c  VgaSave - ok
10:09:24.0186 0x122c  [ 2CE2DF28C83AEAF30084E1B1EB253CBB, D1946816A1CB89F825CBEA58F94A4C9D0CE7249355CD3915563F54054EE564BF ] vhdmp          C:\Windows\system32\drivers\vhdmp.sys
10:09:24.0206 0x122c  vhdmp - ok
10:09:24.0237 0x122c  [ E5689D93FFE4E5D66C0178761240DD54, 6D35CED80681B12AAF63BFA0DA1C386E71D3838839B68A686990AA8031949D27 ] viaide          C:\Windows\system32\drivers\viaide.sys
10:09:24.0254 0x122c  viaide - ok
10:09:24.0284 0x122c  [ 86EA3E79AE350FEA5331A1303054005F, 7E7D6027EB41E591633C7383A5D29A3BA8ECFC08C177D2BCF741EE27686B1691 ] vmbus          C:\Windows\system32\drivers\vmbus.sys
10:09:24.0304 0x122c  vmbus - ok
10:09:24.0322 0x122c  [ 7DE90B48F210D29649380545DB45A187, 09522F84285D62B961868DA98C40B82E746CA4D24A9780905673A2349D6B07F4 ] VMBusHID        C:\Windows\system32\drivers\VMBusHID.sys
10:09:24.0339 0x122c  VMBusHID - ok
10:09:24.0357 0x122c  [ D2AAFD421940F640B407AEFAAEBD91B0, 31EF342A60AF04F4108759A71F8FB7B8C8819216CF3D16A95B2BA0E33A8A9161 ] volmgr          C:\Windows\system32\drivers\volmgr.sys
10:09:24.0374 0x122c  volmgr - ok
10:09:24.0418 0x122c  [ A255814907C89BE58B79EF2F189B843B, 463DB771851352185B6AC323BD93B9084D47291E53C1F7B628B65D6918B2E28F ] volmgrx        C:\Windows\system32\drivers\volmgrx.sys
10:09:24.0443 0x122c  volmgrx - ok
10:09:24.0457 0x122c  [ 0D08D2F3B3FF84E433346669B5E0F639, 3D6716CEC95B8861A7CC5778E91F310528DC6BEE0E57A3C8757FC675154EBDEC ] volsnap        C:\Windows\system32\drivers\volsnap.sys
10:09:24.0479 0x122c  volsnap - ok
10:09:24.0522 0x122c  [ 5E2016EA6EBACA03C04FEAC5F330D997, 53106EB877459FE55A459111F7AB0EE320BB3B4C954D3DB6FA1642396001F2AC ] vsmraid        C:\Windows\system32\DRIVERS\vsmraid.sys
10:09:24.0541 0x122c  vsmraid - ok
10:09:24.0609 0x122c  [ B60BA0BC31B0CB414593E169F6F21CC2, 47B801E623254CF0202B3591CB5C019CABFB52F123C7D47E29D19B32F1F2B915 ] VSS            C:\Windows\system32\vssvc.exe
10:09:24.0684 0x122c  VSS - ok
10:09:24.0705 0x122c  [ 36D4720B72B5C5D9CB2B9C29E9DF67A1, 3254523C85C70EBA2DBAC05DB2DBA89EDF8E9195F390F7C21F96458FB6B2E3D7 ] vwifibus        C:\Windows\System32\drivers\vwifibus.sys
10:09:24.0744 0x122c  vwifibus - ok
10:09:24.0783 0x122c  [ 1C9D80CC3849B3788048078C26486E1A, 34A89F31E53F6B6C209B286F580CC2257AE6D057E4E20741F241C9C167947962 ] W32Time        C:\Windows\system32\w32time.dll
10:09:24.0841 0x122c  W32Time - ok
10:09:24.0860 0x122c  [ 4E9440F4F152A7B944CB1663D3935A3E, 8FE04EBD3BC612EE943A21A3E56F37E5C9B578CDACA6044048181DAD81816D53 ] WacomPen        C:\Windows\system32\DRIVERS\wacompen.sys
10:09:24.0890 0x122c  WacomPen - ok
10:09:24.0925 0x122c  [ 356AFD78A6ED4457169241AC3965230C, CE4D1EE3525C10AC658B20776C3E444DE44874C837713DC5311386EDFCB18399 ] WANARP          C:\Windows\system32\DRIVERS\wanarp.sys
10:09:24.0977 0x122c  WANARP - ok
10:09:24.0991 0x122c  [ 356AFD78A6ED4457169241AC3965230C, CE4D1EE3525C10AC658B20776C3E444DE44874C837713DC5311386EDFCB18399 ] Wanarpv6        C:\Windows\system32\DRIVERS\wanarp.sys
10:09:25.0029 0x122c  Wanarpv6 - ok
10:09:25.0090 0x122c  [ 78F4E7F5C56CB9716238EB57DA4B6A75, 46A4E78CE5F2A4B26F4E9C3FF04A99D9B727A82AC2E390A82A1611C3F6E0C9AF ] wbengine        C:\Windows\system32\wbengine.exe
10:09:25.0158 0x122c  wbengine - ok
10:09:25.0209 0x122c  [ 3AA101E8EDAB2DB4131333F4325C76A3, 4F7BD3DA5E58B18BFF106CFF7B45E75FD13EE556D433C695BA23EC80827E49DE ] WbioSrvc        C:\Windows\System32\wbiosrvc.dll
10:09:25.0236 0x122c  WbioSrvc - ok
10:09:25.0278 0x122c  [ 7368A2AFD46E5A4481D1DE9D14848EDD, 8039C478FC2D9F095F5883A4FA47F9E6EDF57CC88A4AA74F07C88445F90DED57 ] wcncsvc        C:\Windows\System32\wcncsvc.dll
10:09:25.0310 0x122c  wcncsvc - ok
10:09:25.0344 0x122c  [ 20F7441334B18CEE52027661DF4A6129, 7B8E0247234B740FED2BE9B833E9CE8DD7453340123AB43F6B495A7E6A27B0DD ] WcsPlugInService C:\Windows\System32\WcsPlugInService.dll
10:09:25.0362 0x122c  WcsPlugInService - ok
10:09:25.0377 0x122c  [ 72889E16FF12BA0F235467D6091B17DC, F2FD0BBD075E33608D93F350D216F97442AB89ABD540513C2D568C78096E12A8 ] Wd              C:\Windows\system32\DRIVERS\wd.sys
10:09:25.0392 0x122c  Wd - ok
10:09:25.0441 0x122c  [ E2C933EDBC389386EBE6D2BA953F43D8, AF1DEADD5F1267CCEBD226E8EEB971D1946EA6A5A9645A36F5D111F758AF2F07 ] Wdf01000        C:\Windows\system32\drivers\Wdf01000.sys
10:09:25.0483 0x122c  Wdf01000 - ok
10:09:25.0531 0x122c  [ BF1FC3F79B863C914687A737C2F3D681, B2DF47AC4931ACFB243775767B77065CC0D98778FC0243C793A3E219EB961209 ] WdiServiceHost  C:\Windows\system32\wdi.dll
10:09:25.0605 0x122c  WdiServiceHost - ok
10:09:25.0611 0x122c  [ BF1FC3F79B863C914687A737C2F3D681, B2DF47AC4931ACFB243775767B77065CC0D98778FC0243C793A3E219EB961209 ] WdiSystemHost  C:\Windows\system32\wdi.dll
10:09:25.0635 0x122c  WdiSystemHost - ok
10:09:25.0674 0x122c  [ 0EB0E5D22B1760F2DBCE632F2DD7A54D, B8A4CC62F88768947FB0A161CF9564DB28FD9C1C037B5475DF192982DE035C22 ] WebClient      C:\Windows\System32\webclnt.dll
10:09:25.0699 0x122c  WebClient - ok
10:09:25.0761 0x122c  [ C749025A679C5103E575E3B48E092C43, B71171D07EE7AB085A24BF3A1072FF2CE7EA021AAE695F6A90640E6EE8EB55C1 ] Wecsvc          C:\Windows\system32\wecsvc.dll
10:09:25.0817 0x122c  Wecsvc - ok
10:09:25.0837 0x122c  [ 7E591867422DC788B9E5BD337A669A08, 484E6BCCDF7ADCE9A1AACAD1BC7C7D7694B9E40FA90D94B14D80C607784F6C75 ] wercplsupport  C:\Windows\System32\wercplsupport.dll
10:09:25.0881 0x122c  wercplsupport - ok
10:09:25.0910 0x122c  [ 6D137963730144698CBD10F202E9F251, A9F522A125158D94F540544CCD4DBF47B9DCE2EA878C33675AFE40F80E8F4979 ] WerSvc          C:\Windows\System32\WerSvc.dll
10:09:25.0949 0x122c  WerSvc - ok
10:09:25.0965 0x122c  [ 611B23304BF067451A9FDEE01FBDD725, 0AF2734B978165FC6FD22B64862132CCE32528A21C698A49D176129446E099C8 ] WfpLwf          C:\Windows\system32\DRIVERS\wfplwf.sys
10:09:26.0000 0x122c  WfpLwf - ok
10:09:26.0011 0x122c  [ 05ECAEC3E4529A7153B3136CEB49F0EC, 9995CB2CEC70A633EA33CBB0DEAD2BB28CB67132B41E9444BDAB9E75744C9A50 ] WIMMount        C:\Windows\system32\drivers\wimmount.sys
10:09:26.0026 0x122c  WIMMount - ok
10:09:26.0044 0x122c  WinDefend - ok
10:09:26.0069 0x122c  WinHttpAutoProxySvc - ok
10:09:26.0127 0x122c  [ 19B07E7E8915D701225DA41CB3877306, D6555E8D276DBB11358246E0FE215F76F1FB358791C76B88D82C2A66A42DA19F ] Winmgmt        C:\Windows\system32\wbem\WMIsvc.dll
10:09:26.0182 0x122c  Winmgmt - ok
10:09:26.0261 0x122c  [ D929ABD465A2DED963DA8B30946A8D5C, DE8DBFB01C11D2AE903CBD6A974D6F995E9813CE2D6484B7DA06EAE4C545842A ] WinRM          C:\Windows\system32\WsmSvc.dll
10:09:26.0376 0x122c  WinRM - ok
10:09:26.0432 0x122c  [ FE88B288356E7B47B74B13372ADD906D, A16B166F6BB32EF9D2A142F27B9EC54CBC7B3AC915799783CF4C40E525BC9E03 ] WinUsb          C:\Windows\system32\DRIVERS\WinUsb.sys
10:09:26.0453 0x122c  WinUsb - ok
10:09:26.0506 0x122c  [ 4FADA86E62F18A1B2F42BA18AE24E6AA, CE1683386886BF34862681A46199EA7E7FB4232A186047DA7FBD8EC240AF6726 ] Wlansvc        C:\Windows\System32\wlansvc.dll
10:09:26.0577 0x122c  Wlansvc - ok
10:09:26.0607 0x122c  [ F6FF8944478594D0E414D3F048F0D778, 6F75E0AE6127B33A92A88E59D4B048FD4C15F997807BE7BF0EFE76F95235B1D9 ] WmiAcpi        C:\Windows\system32\drivers\wmiacpi.sys
10:09:26.0624 0x122c  WmiAcpi - ok
10:09:26.0674 0x122c  [ 38B84C94C5A8AF291ADFEA478AE54F93, 1AC267AC73670BEA5F3785C9AD9DB146F8E993A862C843742B21FDB90D102B2A ] wmiApSrv        C:\Windows\system32\wbem\WmiApSrv.exe
10:09:26.0709 0x122c  wmiApSrv - ok
10:09:26.0739 0x122c  WMPNetworkSvc - ok
10:09:26.0844 0x122c  [ 83B6CA03C846FCD47F9883D77D1EB27B, 1616DBBC95085B6618B7F884383507E2A54D561A41288E79FA6DC99218C02802 ] WMZuneComm      C:\Program Files\Zune\WMZuneComm.exe
10:09:26.0867 0x122c  WMZuneComm - ok
10:09:26.0924 0x122c  [ 96C6E7100D724C69FCF9E7BF590D1DCA, 2E63C9B0893B4FC03B7A71BAEA6202D3D3DB1B52F3643467829B5A573FD7655B ] WPCSvc          C:\Windows\System32\wpcsvc.dll
10:09:26.0943 0x122c  WPCSvc - ok
10:09:26.0986 0x122c  [ 93221146D4EBBF314C29B23CD6CC391D, C0750858A65BF51E210CD244C825C121D67E025CD2D2455139991AAC289A90FE ] WPDBusEnum      C:\Windows\system32\wpdbusenum.dll
10:09:27.0024 0x122c  WPDBusEnum - ok
10:09:27.0037 0x122c  [ 6BCC1D7D2FD2453957C5479A32364E52, E48554D31FBDCF8F985C1C72524CAA9106F5B7CC2B79064F8F5E2562D517F090 ] ws2ifsl        C:\Windows\system32\drivers\ws2ifsl.sys
10:09:27.0083 0x122c  ws2ifsl - ok
10:09:27.0116 0x122c  [ E8B1FE6669397D1772D8196DF0E57A9E, 39FE0819360719F756BD31A1884A0508A1E2371ACC723E25E005CBEC0A7B02FA ] wscsvc          C:\Windows\system32\wscsvc.dll
10:09:27.0152 0x122c  wscsvc - ok
10:09:27.0158 0x122c  WSearch - ok
10:09:27.0261 0x122c  [ 61FF576450CCC80564B850BC3FB6713A, B2843BC9E2F62D27DCF6787D063378926748CE75002BADA1873DCB5039883705 ] wuauserv        C:\Windows\system32\wuaueng.dll
10:09:27.0355 0x122c  wuauserv - ok
10:09:27.0373 0x122c  [ AB886378EEB55C6C75B4F2D14B6C869F, D6C4602EB8F291DADEDF3CD211013D4AC752DDE7E799C2D8D74AA4F5477CAED6 ] WudfPf          C:\Windows\system32\drivers\WudfPf.sys
10:09:27.0405 0x122c  WudfPf - ok
10:09:27.0435 0x122c  [ DDA4CAF29D8C0A297F886BFE561E6659, 94E5DD649B5D86FA1A7C7D30FCF9644D0EE048D312E626111458ADF66BFBE978 ] WUDFRd          C:\Windows\system32\DRIVERS\WUDFRd.sys
10:09:27.0457 0x122c  WUDFRd - ok
10:09:27.0488 0x122c  [ B20F051B03A966392364C83F009F7D17, 88ECEB55AE91F58F592B96EBC10B572747D5A2F9B7629E8F371761E4F7408A65 ] wudfsvc        C:\Windows\System32\WUDFSvc.dll
10:09:27.0520 0x122c  wudfsvc - ok
10:09:27.0576 0x122c  [ 04F82965C09CBDF646B487E145060301, 2CD8533EDBE24C3E42EB7550E20F8A2EB9E5E345B165DEF543163A6BC1FDD18B ] WwanSvc        C:\Windows\System32\wwansvc.dll
10:09:27.0600 0x122c  WwanSvc - ok
10:09:27.0844 0x122c  [ 67B787C34FB2888D01B130AE007042D8, E44878E53F265C89F271B08B81C129105E42D1C78C14467B2D96E28A9A428B1A ] ZuneNetworkSvc  C:\Program Files\Zune\ZuneNss.exe
10:09:28.0128 0x122c  ZuneNetworkSvc - ok
10:09:28.0178 0x122c  [ 4D89FC1C20CF655739EFAC5DA81A67BC, 788D0A5B9972ED6D80242C0C5E80AB0FAB44A708B896D5F724AC1559A291C8DD ] ZuneWlanCfgSvc  C:\Program Files\Zune\ZuneWlanCfgSvc.exe
10:09:28.0204 0x122c  ZuneWlanCfgSvc - ok
10:09:28.0236 0x122c  ================ Scan global ===============================
10:09:28.0269 0x122c  [ BA0CD8C393E8C9F83354106093832C7B, 18D8A4780A2BAA6CEF7FBBBDA0EF6BF2DADF146E1E578A618DD5859E8ADBF1A8 ] C:\Windows\system32\basesrv.dll
10:09:28.0310 0x122c  [ 88EDD0B34EED542745931E581AD21A32, DC2B93E1CEF5B0BCEE08D72669BB0F3AD0E8E6E75BDC08858407ED92F6FFA031 ] C:\Windows\system32\winsrv.dll
10:09:28.0327 0x122c  [ 88EDD0B34EED542745931E581AD21A32, DC2B93E1CEF5B0BCEE08D72669BB0F3AD0E8E6E75BDC08858407ED92F6FFA031 ] C:\Windows\system32\winsrv.dll
10:09:28.0373 0x122c  [ D6160F9D869BA3AF0B787F971DB56368, 0033E6212DD8683E4EE611B290931FDB227B4795F0B17C309DC686C696790529 ] C:\Windows\system32\sxssrv.dll
10:09:28.0414 0x122c  [ 24ACB7E5BE595468E3B9AA488B9B4FCB, 63541E3432FCE953F266AE553E7A394978D6EE3DB52388D885F668CF42C5E7E2 ] C:\Windows\system32\services.exe
10:09:28.0422 0x122c  [ Global ] - ok
10:09:28.0422 0x122c  ================ Scan MBR ==================================
10:09:28.0427 0x122c  [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
10:09:28.0674 0x122c  \Device\Harddisk0\DR0 - ok
10:09:28.0695 0x122c  [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk1\DR1
10:09:28.0888 0x122c  \Device\Harddisk1\DR1 - ok
10:09:28.0890 0x122c  ================ Scan VBR ==================================
10:09:28.0894 0x122c  [ 3065AF78F0FAC1F5781E220027740011 ] \Device\Harddisk0\DR0\Partition1
10:09:28.0895 0x122c  \Device\Harddisk0\DR0\Partition1 - ok
10:09:28.0901 0x122c  [ 71663EF757CF9C248A411F8BF663B20E ] \Device\Harddisk1\DR1\Partition1
10:09:28.0902 0x122c  \Device\Harddisk1\DR1\Partition1 - ok
10:09:28.0908 0x122c  [ C01CC30E3FF40A9F7252075389A6DD46 ] \Device\Harddisk1\DR1\Partition2
10:09:28.0909 0x122c  \Device\Harddisk1\DR1\Partition2 - ok
10:09:28.0909 0x122c  ================ Scan generic autorun ======================
10:09:29.0291 0x122c  [ 19ECAAEA3CC248489FE987C10B688C0D, 967CB23A8176B3181EE2A55DFBB04A69988AB22105D4C450C5B5E729B91FAD5A ] C:\Program Files\Logitech Gaming Software\LCore.exe
10:09:29.0684 0x122c  Launch LCore - ok
10:09:29.0807 0x122c  [ A58C6C5E5953B3C837537BBCF3767E69, 398C1D04BEF85E9FC6E1EE42F7341DE4302FF66ADC054A03D12253D261A6F589 ] C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
10:09:29.0856 0x122c  COMODO Internet Security - ok
10:09:29.0975 0x122c  [ 7304E21B92E538E2CC793EDF478AC034, 39992D4541E100E5D8199B2FB5B7C7DD7213F8BC84AEA1924C6EC46E8711BF28 ] C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
10:09:30.0052 0x122c  NvBackend - ok
10:09:30.0089 0x122c  [ DD81D91FF3B0763C392422865C9AC12E, F5691B8F200E3196E6808E932630E862F8F26F31CD949981373F23C9D87DB8B9 ] C:\Windows\system32\rundll32.exe
10:09:30.0108 0x122c  ShadowPlay - ok
10:09:30.0482 0x122c  [ 16438B000BF56F2CD7FDB5E6C3B38C7E, 32D6E69E6367D3ADB2189DA89103CB9910CE791EFB0879515DDD380A96D85BAE ] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
10:09:30.0896 0x122c  RtHDVCpl - ok
10:09:30.0973 0x122c  [ 09E60B4FE341A94A300830C008907099, 5F07868953FAA8FFA9E6477F6BAC52DEEDF3EA4A3F8AF5B4E15878D8240223AB ] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe
10:09:30.0986 0x122c  APSDaemon - ok
10:09:31.0104 0x122c  [ 506708142BC63DABA64F2D3AD1DCD5BF, 9C36A08D9E7932FF4DA7B5F24E6B42C92F28685B8ABE964C870E8D7670FD531A ] C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
10:09:31.0119 0x122c  Google Update - ok
10:09:31.0135 0x122c  MobileDocuments - ok
10:09:31.0144 0x122c  [ 48C3EBD6D5E52AFCB1A0FA9B7F9802FA, 4F2E27AA8305FFC94F65C65C5FDB8462C92ED02A7B37627404382C3CAB65AC59 ] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
10:09:31.0158 0x122c  iCloudServices - ok
10:09:31.0164 0x122c  [ 799BCC829F48F19C5689478179060435, 495C6E363982F7BE1785A46C12ED4AC99E0AF98F340F1CE3C55D39EBE6FE33AA ] C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
10:09:31.0177 0x122c  ApplePhotoStreams - ok
10:09:31.0251 0x122c  [ DCCA4B04AF87E52EF9EAA2190E06CBAC, 8858CFD159BB32AE9FCCA1A79EA83C876D481A286E914071D48F42FCA5B343D8 ] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
10:09:31.0501 0x122c  Sidebar - ok
10:09:31.0508 0x122c  [ 506708142BC63DABA64F2D3AD1DCD5BF, 9C36A08D9E7932FF4DA7B5F24E6B42C92F28685B8ABE964C870E8D7670FD531A ] C:\Users\Tobias\AppData\Local\Google\Update\GoogleUpdate.exe
10:09:31.0522 0x122c  Google Update - ok
10:09:31.0523 0x122c  Facebook Update - ok
10:09:31.0525 0x122c  MobileDocuments - ok
10:09:31.0532 0x122c  [ 48C3EBD6D5E52AFCB1A0FA9B7F9802FA, 4F2E27AA8305FFC94F65C65C5FDB8462C92ED02A7B37627404382C3CAB65AC59 ] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
10:09:31.0545 0x122c  iCloudServices - ok
10:09:31.0550 0x122c  [ 799BCC829F48F19C5689478179060435, 495C6E363982F7BE1785A46C12ED4AC99E0AF98F340F1CE3C55D39EBE6FE33AA ] C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
10:09:31.0563 0x122c  ApplePhotoStreams - ok
10:09:31.0592 0x122c  [ 0FA760BF380B08D0B67B5507CD8B32AA, 0F73A7F64C4FDAB98CD3A865CC54B3A7195761530FCB115B725CC5A9FB738739 ] C:\Windows\System32\mctadmin.exe
10:09:31.0633 0x122c  mctadmin - ok
10:09:31.0634 0x122c  Waiting for KSN requests completion. In queue: 85
10:09:32.0634 0x122c  Waiting for KSN requests completion. In queue: 85
10:09:33.0634 0x122c  Waiting for KSN requests completion. In queue: 85
10:09:34.0652 0x122c  AV detected via SS2: COMODO Antivirus, C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe ( 8.0.0.4344 ), 0x61000 ( enabled : updated )
10:09:34.0654 0x122c  FW detected via SS2: COMODO Firewall, C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe ( 8.0.0.4344 ), 0x60010 ( disabled )
10:09:34.0659 0x122c  Win FW state via NFP2: enabled
10:09:37.0027 0x122c  ============================================================
10:09:37.0027 0x122c  Scan finished
10:09:37.0027 0x122c  ============================================================
10:09:37.0035 0x1118  Detected object count: 0
10:09:37.0035 0x1118  Actual detected object count: 0
10:09:51.0206 0x1274  Deinitialize success

Und die Tastatur geht auch mal wieder nicht - wird gar nicht erkannt bisher.


kann es sein, dass an dem PC einfach etwas kaputt ist? Ich würde ihn ja ehrlich gesagt nur sehr ungern neu aufsetzen, weil mein Sohn hier doch noch extrem viele Daten drauf hat.

schrauber 11.01.2015 13:51
Hi,

Daten sollte man auf jeden Fall mal extern sichern.

MBAR fehlt noch :)

Wilfried49 12.01.2015 01:27
MBAR hat keine Bedrohungen gefunden!

schrauber 12.01.2015 09:34
dann schauen wir mal von aussen:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).



Alle Zeitangaben in WEZ +1. Es ist jetzt 14:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55