Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner/Virus wird nicht erkannt (https://www.trojaner-board.de/93451-trojaner-virus-erkannt.html)

cosinus 07.12.2010 13:22
Hm, ganz vollstöndig ist das Log nicht.
Probier den Durchgang mit CF bitte nochmal.

Goljef 07.12.2010 13:32
Gibt es denn einen besseren Weg, den ich nehmen könnte, wenn er wieder hängenbleibt? Aktualisiert hat sich Combofix ja, sollte ich evtl. probieren combofix im abgesicherten Modus durchlaufen zu lassen?

cosinus 07.12.2010 13:35
CF aktualisiert sich automatisch, es gibt dann einen Hinweis. Internetverbindung muss dann natürlich da sein.
Oder du lädst vor jedem neuen Durchgang immer ne neue cofi.exe runter.

Zitat:
Gibt es denn einen besseren Weg, den ich nehmen könnte, wenn er wieder hängenbleibt?
Nicht wirklich. Probiers einfach nochmal im normalen Modus.

Goljef 07.12.2010 14:36
Aller guten Dinge sind Drei... es hat geklappt. Komplett. Beim letzten Mal kann es auch sein, dass ich dachte, dass der Bericht dort zu Ende war, allerdings gab es wohl nur eine Menge leerer Zeilen, bevor der Bericht weiterging. Ich war in dem Moment nicht so schlau alles zu markieren. Die leeren Zeilen hab ich hier rausgenommen, dabei ist der Browser auch abgestürzt.

Code:
ComboFix 10-12-06.03 - Stephan 07.12.2010  13:55:20.3.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2764 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Stephan\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-11-07 bis 2010-12-07  ))))))))))))))))))))))))))))))
.

2010-12-05 18:38 . 2010-12-05 18:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-12-05 18:38 . 2010-12-05 18:38        --------        d-----w-        c:\programme\Security Task Manager
2010-12-03 14:29 . 2010-12-03 14:29        388096        ----a-r-        c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-03 13:15 . 2010-12-03 13:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\VDLL.DLL
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\system32\runouce.exe
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\RUNDL132.EXE
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\logo_1.exe
2010-12-02 14:13 . 2010-12-02 14:13        632064        ----a-w-        c:\windows\system32\msvcr80.dll
2010-12-02 14:13 . 2010-12-02 14:13        554240        ----a-w-        c:\windows\system32\msvcp80.dll
2010-12-02 14:13 . 2010-12-02 14:13        34048        ----a-w-        c:\windows\system32\eEmpty.exe
2010-12-02 14:13 . 2008-04-14 02:23        140800        ----a-w-        c:\windows\system32\T.COM
2010-12-02 14:13 . 2008-04-14 02:22        153600        ----a-w-        c:\windows\R.COM
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-12-02 13:59 . 2010-12-02 14:08        --------        d-----w-        c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Download Manager
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2010-12-01 19:40 . 2010-12-01 19:40        --------        d-----w-        C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((  SnapShot@2010-12-07_10.37.39  )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"? "="" [?]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"="c:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\programme\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-11-29 443728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\                                        ]
REM                                                                                                 

[X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=


R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [x]
R2 HPFECP15;HPFECP15;c:\windows\System32\drivers\HPFECP15.SYS [1998-09-03 52800]
R3 ALLOW-IO;ALLOW-IO;D:\ALLOW-IO.sys [x]
R3 AVMUNET;AVM FRITZ!Box SL;c:\windows\system32\DRIVERS\avmunet.sys [2004-02-02 14976]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-02-26 137344]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-02-26 8320]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-01-15 685816]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-05 135336]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\Hamachi\hamachi-2.exe [2010-03-30 1107336]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [2010-11-29 363344]
S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]
S2 RSShutdown;RichiStudios Shutdown;c:\programme\Shutdown\service.exe [2004-06-24 45056]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-11-29 20952]

.
Inhalt des "geplante Tasks" Ordners

2010-10-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.com/
uInternet Settings,ProxyOverride = *.local
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI69DF~1\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: FootieFox: {9fb7d178-155a-4318-9173-1a8eaaea7fe4} - c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{9fb7d178-155a-4318-9173-1a8eaaea7fe4}
FF - Extension: vShare Plugin: vshare@toolbar - c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\vshare@toolbar
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-07 14:04
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  cleanprogx.exe = c:\cleanprogx.exe\cleanprogx.exe

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cleanprogx.exe"="c:\\cleanprogx.exe\\cleanprogx.exe"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2d,0f,b8,f5,26,54,c3,71,2d,3b,9d,ff,c3,a6,b9,89,65,6c,f8,30,ed,c5,10,
  b1,9e,11,a9,d0,e5,07,ae,1e,51,fc,7b,1e,e9,e9,6b,51,6a,7e,28,8f,df,6e,b3,0c,\
"??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:85,ec,30,6b,77,bf,f8,a9,f0,c8,44,a9,2a,00,39,13,7e,79,7c,4f,c5,
  b2,c2,49,3e,9e,c0,01,20,c6,a6,5a,a4,f1,c0,6e,df,59,e3,41,05,6b,e7,de,4c,53,\
"rkeysecu"=hex:de,d8,59,fc,4e,99,25,a8,60,64,03,93,47,ef,dc,d9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2200)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
g:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
g:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
g:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
g:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Bonjour\mdnsNSP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\RTHDCPL.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-07  14:12:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-07 13:12
ComboFix2.txt  2010-12-07 10:46

Vor Suchlauf: 18 Verzeichnis(se), 114.709.766.144 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 114.697.633.792 Bytes frei

- - End Of File - - 46AE518A2537686844952916DCC5FA6E

cosinus 07.12.2010 14:46
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
Killall::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"? "=-

Rootkit::
c:\cleanprogx.exe\cleanprogx.exe

Folder::
c:\cleanprogx.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Goljef 07.12.2010 15:08
Diesmal hängt er nach Stufe 7. Auch das beenden der Prozesse hat nichts mehr bewirkt, bis er komplett geschlossen wurde. Das File ist jetzt "weg". Muss ich etwas tun, bevor ich es nochmal ausprobiere? Das File einfach nochmal neu erstellen, oder ist es bereits irgendwo in CF implementiert worden?

cosinus 07.12.2010 15:12
Lassen wir CF jetzt weg...

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Goljef 07.12.2010 17:25
Alles durchgelaufen, es scheint u.a. an dem clenprogx-Kram zu liegen.

GMER:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-07 17:04:10
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7 ST3500320AS rev.SD15
Running: 4o5fmmny.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT    B86DA49E                                                                                                                ZwCreateKey
SSDT    B86DA494                                                                                                                ZwCreateThread
SSDT    B86DA4A3                                                                                                                ZwDeleteKey
SSDT    B86DA4AD                                                                                                                ZwDeleteValueKey
SSDT    sptd.sys                                                                                                                ZwEnumerateKey [0xB7EC3FB2]
SSDT    sptd.sys                                                                                                                ZwEnumerateValueKey [0xB7EC4340]
SSDT    B86DA4B2                                                                                                                ZwLoadKey
SSDT    sptd.sys                                                                                                                ZwOpenKey [0xB7EBE0B0]
SSDT    B86DA480                                                                                                                ZwOpenProcess
SSDT    B86DA485                                                                                                                ZwOpenThread
SSDT    sptd.sys                                                                                                                ZwQueryKey [0xB7EC4418]
SSDT    sptd.sys                                                                                                                ZwQueryValueKey [0xB7EC4298]
SSDT    B86DA4BC                                                                                                                ZwReplaceKey
SSDT    B86DA4B7                                                                                                                ZwRestoreKey
SSDT    B86DA4A8                                                                                                                ZwSetValueKey
SSDT    B86DA48F                                                                                                                ZwTerminateProcess

Code    \??\C:\cofi.exe\catchme.sys                                                                                            pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?      C:\WINDOWS\system32\drivers\sptd.sys                                                                                    Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                section is writeable [0xB6FC0380, 0x5414D5, 0xE8000020]
.text  USBPORT.SYS!DllUnload                                                                                                  B6FA08AC 5 Bytes  JMP 8A4BC1C8
?      System32\Drivers\a5ssvx1l.SYS                                                                                          Das System kann den angegebenen Pfad nicht finden. !
.reloc  C:\WINDOWS\system32\drivers\acedrv11.sys                                                                                section is executable [0xB3604300, 0x25D4C, 0xE0000060]
.text  C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                                  section is writeable [0xB35A5300, 0x3AE88, 0xE8000020]
.text  C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                                  section is writeable [0xB3F89300, 0x1B7E, 0xE8000020]
?      C:\cofi.exe\catchme.sys                                                                                                Das System kann die angegebene Datei nicht finden. !
?      C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                              Das System kann die angegebene Datei nicht finden. !
?      C:\cofi.exe\mbr.sys                                                                                                    Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ntdll.dll!NtEnumerateValueKey                                      7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ntdll.dll!NtQueryDirectoryFile                                    7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ntdll.dll!NtResumeThread                                          7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ntdll.dll!NtVdmControl                                            7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ntdll.dll!LdrLoadDll                                              7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ADVAPI32.dll!CryptEncrypt                                          77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] USER32.dll!TranslateMessage                                        7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetQueryOptionA                                  408C0049 5 Bytes  JMP 0EA0F530
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetReadFile                                      408C654B 5 Bytes  JMP 0EA135C0
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!HttpQueryInfoA                                        408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetCloseHandle                                    408C9088 5 Bytes  JMP 0EA13920
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetQueryDataAvailable                            408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!HttpAddRequestHeadersA                                408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!HttpOpenRequestA                                      408CD508 5 Bytes  JMP 0EA0F350
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!HttpSendRequestW                                      408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!HttpSendRequestA                                      408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetReadFileExA                                    408E3381 5 Bytes  JMP 0EA13770
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] wininet.dll!InternetWriteFile                                      40926076 5 Bytes  JMP 0EA07C54
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] ws2_32.dll!send                                                    71A14C27 5 Bytes  JMP 0EA0EA8D
.text  C:\Programme\Avira\AntiVir Desktop\avshadow.exe[420] Crypt32.dll!PFXImportCertStore                                    77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\System32\svchost.exe[432] ntdll.dll!NtEnumerateValueKey                                                      7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\WINDOWS\System32\svchost.exe[432] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\WINDOWS\System32\svchost.exe[432] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\WINDOWS\System32\svchost.exe[432] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\WINDOWS\System32\svchost.exe[432] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\WINDOWS\System32\svchost.exe[432] ADVAPI32.dll!CryptEncrypt                                                          77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\WINDOWS\System32\svchost.exe[432] USER32.dll!TranslateMessage                                                        7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\WINDOWS\System32\svchost.exe[432] WS2_32.dll!send                                                                    71A14C27 5 Bytes  JMP 0EA0EA8D
.text  C:\WINDOWS\System32\svchost.exe[432] CRYPT32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EA0F530
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EA135C0
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetCloseHandle                                                    408C9088 5 Bytes  JMP 0EA13920
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EA0F350
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetReadFileExA                                                    408E3381 5 Bytes  JMP 0EA13770
.text  C:\WINDOWS\System32\svchost.exe[432] WININET.dll!InternetWriteFile                                                      40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\svchost.exe[496] ntdll.dll!NtEnumerateValueKey                                                      7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\WINDOWS\system32\svchost.exe[496] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\WINDOWS\system32\svchost.exe[496] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\WINDOWS\system32\svchost.exe[496] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\WINDOWS\system32\svchost.exe[496] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\WINDOWS\system32\svchost.exe[496] ADVAPI32.dll!CryptEncrypt                                                          77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\WINDOWS\system32\svchost.exe[496] USER32.dll!TranslateMessage                                                        7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\WINDOWS\system32\svchost.exe[496] CRYPT32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EA0F530
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EA135C0
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetCloseHandle                                                    408C9088 5 Bytes  JMP 0EA13920
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EA0F350
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetReadFileExA                                                    408E3381 5 Bytes  JMP 0EA13770
.text  C:\WINDOWS\system32\svchost.exe[496] wininet.dll!InternetWriteFile                                                      40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\svchost.exe[496] ws2_32.dll!send                                                                    71A14C27 5 Bytes  JMP 0EA0EA8D
.text  C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtEnumerateValueKey                                                      7C91D2EE 5 Bytes  JMP 0EAD947B
.text  C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EAD9A7C
.text  C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EAD9C32
.text  C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EAD9B34
.text  C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EAD34DD
.text  C:\WINDOWS\System32\svchost.exe[776] ADVAPI32.dll!CryptEncrypt                                                          77DBE360 5 Bytes  JMP 0EAD6FCB
.text  C:\WINDOWS\System32\svchost.exe[776] USER32.dll!TranslateMessage                                                        7E368BF6 5 Bytes  JMP 0EAD58FB
.text  C:\WINDOWS\System32\svchost.exe[776] WS2_32.dll!send                                                                    71A14C27 5 Bytes  JMP 0EADEA8D
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EADF530
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EAE35C0
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EAE2DD0
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetCloseHandle                                                    408C9088 5 Bytes  JMP 0EAE3920
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EAE3460
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EADF470
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EADF350
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EAD7B1D
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EAD79E6
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetReadFileExA                                                    408E3381 5 Bytes  JMP 0EAE3770
.text  C:\WINDOWS\System32\svchost.exe[776] wininet.dll!InternetWriteFile                                                      40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\System32\svchost.exe[776] Crypt32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EAD23AC
.text  C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EAD947B
.text  C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EAD9A7C
.text  C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EAD9C32
.text  C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EAD9B34
.text  C:\WINDOWS\system32\svchost.exe[1052] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EAD34DD
.text  C:\WINDOWS\system32\svchost.exe[1052] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EAD6FCB
.text  C:\WINDOWS\system32\svchost.exe[1052] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EAD58FB
.text  C:\WINDOWS\system32\svchost.exe[1052] WS2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EADEA8D
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EADF530
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EAE35C0
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EAE2DD0
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EAE3920
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EAE3460
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EADF470
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EADF350
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EAD7B1D
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EAD79E6
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EAE3770
.text  C:\WINDOWS\system32\svchost.exe[1052] wininet.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\svchost.exe[1052] Crypt32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EAD23AC
.text  C:\WINDOWS\system32\winlogon.exe[1344] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EAD947B
.text  C:\WINDOWS\system32\winlogon.exe[1344] ntdll.dll!NtQueryDirectoryFile                                                  7C91D76E 5 Bytes  JMP 0EAD9A7C
.text  C:\WINDOWS\system32\winlogon.exe[1344] ntdll.dll!NtResumeThread                                                        7C91DB3E 5 Bytes  JMP 0EAD9C32
.text  C:\WINDOWS\system32\winlogon.exe[1344] ntdll.dll!NtVdmControl                                                          7C91DF1E 5 Bytes  JMP 0EAD9B34
.text  C:\WINDOWS\system32\winlogon.exe[1344] ntdll.dll!LdrLoadDll                                                            7C9263C3 5 Bytes  JMP 0EAD34DD
.text  C:\WINDOWS\system32\winlogon.exe[1344] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EAD6FCB
.text  C:\WINDOWS\system32\winlogon.exe[1344] CRYPT32.dll!PFXImportCertStore                                                  77AC005F 5 Bytes  JMP 0EAD23AC
.text  C:\WINDOWS\system32\winlogon.exe[1344] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EAD58FB
.text  C:\WINDOWS\system32\winlogon.exe[1344] WS2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EADEA8D
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetQueryOptionA                                                408C0049 5 Bytes  JMP 0EADF530
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetReadFile                                                    408C654B 5 Bytes  JMP 0EAE35C0
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!HttpQueryInfoA                                                      408C878D 5 Bytes  JMP 0EAE2DD0
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EAE3920
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetQueryDataAvailable                                          408CBF7F 5 Bytes  JMP 0EAE3460
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!HttpAddRequestHeadersA                                              408CCF46 5 Bytes  JMP 0EADF470
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!HttpOpenRequestA                                                    408CD508 5 Bytes  JMP 0EADF350
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!HttpSendRequestW                                                    408CFABE 5 Bytes  JMP 0EAD7B1D
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!HttpSendRequestA                                                    408DEE89 5 Bytes  JMP 0EAD79E6
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EAE3770
.text  C:\WINDOWS\system32\winlogon.exe[1344] wininet.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\lsass.exe[1400] ntdll.dll!NtEnumerateValueKey                                                      7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\WINDOWS\system32\lsass.exe[1400] ntdll.dll!NtQueryDirectoryFile                                                      7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\WINDOWS\system32\lsass.exe[1400] ntdll.dll!NtResumeThread                                                            7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\WINDOWS\system32\lsass.exe[1400] ntdll.dll!NtVdmControl                                                              7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\WINDOWS\system32\lsass.exe[1400] ntdll.dll!LdrLoadDll                                                                7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\WINDOWS\system32\lsass.exe[1400] ADVAPI32.dll!CryptEncrypt                                                          77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\WINDOWS\system32\lsass.exe[1400] USER32.dll!TranslateMessage                                                        7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\WINDOWS\system32\lsass.exe[1400] WS2_32.dll!send                                                                    71A14C27 5 Bytes  JMP 0EA0EA8D
.text  C:\WINDOWS\system32\lsass.exe[1400] CRYPT32.dll!PFXImportCertStore                                                      77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetQueryOptionA                                                    408C0049 5 Bytes  JMP 0EA0F530
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetReadFile                                                        408C654B 5 Bytes  JMP 0EA135C0
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!HttpQueryInfoA                                                          408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetCloseHandle                                                    408C9088 5 Bytes  JMP 0EA13920
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetQueryDataAvailable                                              408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!HttpAddRequestHeadersA                                                  408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!HttpOpenRequestA                                                        408CD508 5 Bytes  JMP 0EA0F350
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!HttpSendRequestW                                                        408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!HttpSendRequestA                                                        408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetReadFileExA                                                    408E3381 5 Bytes  JMP 0EA13770
.text  C:\WINDOWS\system32\lsass.exe[1400] wininet.dll!InternetWriteFile                                                      40926076 5 Bytes  JMP 0EA07C54
.text  C:\WINDOWS\System32\svchost.exe[1472] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\WINDOWS\System32\svchost.exe[1472] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\WINDOWS\System32\svchost.exe[1472] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\WINDOWS\System32\svchost.exe[1472] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\WINDOWS\System32\svchost.exe[1472] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\WINDOWS\System32\svchost.exe[1472] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\WINDOWS\System32\svchost.exe[1472] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EA0F530
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EA135C0
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EA13920
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EA0F350
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EA13770
.text  C:\WINDOWS\System32\svchost.exe[1472] WININET.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\System32\svchost.exe[1472] WS2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EA0EA8D
.text  C:\WINDOWS\System32\svchost.exe[1472] Crypt32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\system32\svchost.exe[1664] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EAD947B
.text  C:\WINDOWS\system32\svchost.exe[1664] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EAD9A7C
.text  C:\WINDOWS\system32\svchost.exe[1664] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EAD9C32
.text  C:\WINDOWS\system32\svchost.exe[1664] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EAD9B34
.text  C:\WINDOWS\system32\svchost.exe[1664] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EAD34DD
.text  C:\WINDOWS\system32\svchost.exe[1664] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EAD6FCB
.text  C:\WINDOWS\system32\svchost.exe[1664] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EAD58FB
.text  C:\WINDOWS\system32\svchost.exe[1664] WS2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EADEA8D
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EADF530
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EAE35C0
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EAE2DD0
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EAE3920
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EAE3460
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EADF470
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EADF350
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EAD7B1D
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EAD79E6
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EAE3770
.text  C:\WINDOWS\system32\svchost.exe[1664] wininet.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\svchost.exe[1664] Crypt32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EAD23AC
.text  C:\WINDOWS\system32\svchost.exe[1752] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EAD947B
.text  C:\WINDOWS\system32\svchost.exe[1752] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EAD9A7C
.text  C:\WINDOWS\system32\svchost.exe[1752] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EAD9C32
.text  C:\WINDOWS\system32\svchost.exe[1752] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EAD9B34
.text  C:\WINDOWS\system32\svchost.exe[1752] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EAD34DD
.text  C:\WINDOWS\system32\svchost.exe[1752] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EAD6FCB
.text  C:\WINDOWS\system32\svchost.exe[1752] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EAD58FB
.text  C:\WINDOWS\system32\svchost.exe[1752] WS2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EADEA8D
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EADF530
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EAE35C0
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EAE2DD0
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EAE3920
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EAE3460
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EADF470
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EADF350
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EAD7B1D
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EAD79E6
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EAE3770
.text  C:\WINDOWS\system32\svchost.exe[1752] wininet.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EAD7C54
.text  C:\WINDOWS\system32\svchost.exe[1752] Crypt32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EAD23AC
.text  C:\WINDOWS\explorer.exe[2468] explorer.exe                                                                              0101A55F 5 Bytes  JMP 0EBE9C24
.text  C:\WINDOWS\explorer.exe[2468] ntdll.dll!NtEnumerateValueKey                                                            7C91D2EE 5 Bytes  JMP 0EB5947B
.text  C:\WINDOWS\explorer.exe[2468] ntdll.dll!NtQueryDirectoryFile                                                            7C91D76E 5 Bytes  JMP 0EB59A7C
.text  C:\WINDOWS\explorer.exe[2468] ntdll.dll!NtResumeThread                                                                  7C91DB3E 5 Bytes  JMP 0EB59C32
.text  C:\WINDOWS\explorer.exe[2468] ntdll.dll!NtVdmControl                                                                    7C91DF1E 5 Bytes  JMP 0EB59B34
.text  C:\WINDOWS\explorer.exe[2468] ntdll.dll!LdrLoadDll                                                                      7C9263C3 5 Bytes  JMP 0EB534DD
.text  C:\WINDOWS\explorer.exe[2468] ADVAPI32.dll!CryptEncrypt                                                                77DBE360 5 Bytes  JMP 0EB56FCB
.text  C:\WINDOWS\explorer.exe[2468] USER32.dll!TranslateMessage                                                              7E368BF6 5 Bytes  JMP 0EB558FB
.text  C:\WINDOWS\explorer.exe[2468] CRYPT32.dll!PFXImportCertStore                                                            77AC005F 5 Bytes  JMP 0EB523AC
.text  C:\WINDOWS\explorer.exe[2468] WININET.dll!InternetCloseHandle                                                          408C9088 5 Bytes  JMP 0EB63920
.text  C:\WINDOWS\explorer.exe[2468] WININET.dll!HttpSendRequestW                                                              408CFABE 5 Bytes  JMP 0EB57B1D
.text  C:\WINDOWS\explorer.exe[2468] WININET.dll!HttpSendRequestA                                                              408DEE89 5 Bytes  JMP 0EB579E6
.text  C:\WINDOWS\explorer.exe[2468] WININET.dll!InternetWriteFile                                                            40926076 5 Bytes  JMP 0EB57C54
.text  C:\WINDOWS\explorer.exe[2468] ws2_32.dll!send                                                                          71A14C27 5 Bytes  JMP 0EB5EA8D
.text  G:\Downloads\4o5fmmny.exe[3556] ntdll.dll!NtEnumerateValueKey                                                          7C91D2EE 5 Bytes  JMP 0EB5947B
.text  G:\Downloads\4o5fmmny.exe[3556] ntdll.dll!NtQueryDirectoryFile                                                          7C91D76E 5 Bytes  JMP 0EB59A7C
.text  G:\Downloads\4o5fmmny.exe[3556] ntdll.dll!NtResumeThread                                                                7C91DB3E 5 Bytes  JMP 0EB59C32
.text  G:\Downloads\4o5fmmny.exe[3556] ntdll.dll!NtVdmControl                                                                  7C91DF1E 5 Bytes  JMP 0EB59B34
.text  G:\Downloads\4o5fmmny.exe[3556] ntdll.dll!LdrLoadDll                                                                    7C9263C3 5 Bytes  JMP 0EB534DD
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetQueryOptionA                                                        408C0049 5 Bytes  JMP 0EB5F530
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetReadFile                                                            408C654B 5 Bytes  JMP 0EB635C0
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!HttpQueryInfoA                                                              408C878D 5 Bytes  JMP 0EB62DD0
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetCloseHandle                                                        408C9088 5 Bytes  JMP 0EB63920
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetQueryDataAvailable                                                  408CBF7F 5 Bytes  JMP 0EB63460
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!HttpAddRequestHeadersA                                                      408CCF46 5 Bytes  JMP 0EB5F470
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!HttpOpenRequestA                                                            408CD508 5 Bytes  JMP 0EB5F350
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!HttpSendRequestW                                                            408CFABE 5 Bytes  JMP 0EB57B1D
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!HttpSendRequestA                                                            408DEE89 5 Bytes  JMP 0EB579E6
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetReadFileExA                                                        408E3381 5 Bytes  JMP 0EB63770
.text  G:\Downloads\4o5fmmny.exe[3556] wininet.dll!InternetWriteFile                                                          40926076 5 Bytes  JMP 0EB57C54
.text  G:\Downloads\4o5fmmny.exe[3556] ADVAPI32.dll!CryptEncrypt                                                              77DBE360 5 Bytes  JMP 0EB56FCB
.text  G:\Downloads\4o5fmmny.exe[3556] USER32.dll!TranslateMessage                                                            7E368BF6 5 Bytes  JMP 0EB558FB
.text  G:\Downloads\4o5fmmny.exe[3556] ws2_32.dll!send                                                                        71A14C27 5 Bytes  JMP 0EB5EA8D
.text  G:\Downloads\4o5fmmny.exe[3556] Crypt32.dll!PFXImportCertStore                                                          77AC005F 5 Bytes  JMP 0EB523AC
.text  C:\WINDOWS\System32\svchost.exe[3712] ntdll.dll!NtEnumerateValueKey                                                    7C91D2EE 5 Bytes  JMP 0EA0947B
.text  C:\WINDOWS\System32\svchost.exe[3712] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 0EA09A7C
.text  C:\WINDOWS\System32\svchost.exe[3712] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 0EA09C32
.text  C:\WINDOWS\System32\svchost.exe[3712] ntdll.dll!NtVdmControl                                                            7C91DF1E 5 Bytes  JMP 0EA09B34
.text  C:\WINDOWS\System32\svchost.exe[3712] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0EA034DD
.text  C:\WINDOWS\System32\svchost.exe[3712] ADVAPI32.dll!CryptEncrypt                                                        77DBE360 5 Bytes  JMP 0EA06FCB
.text  C:\WINDOWS\System32\svchost.exe[3712] USER32.dll!TranslateMessage                                                      7E368BF6 5 Bytes  JMP 0EA058FB
.text  C:\WINDOWS\System32\svchost.exe[3712] CRYPT32.dll!PFXImportCertStore                                                    77AC005F 5 Bytes  JMP 0EA023AC
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetQueryOptionA                                                  408C0049 5 Bytes  JMP 0EA0F530
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetReadFile                                                      408C654B 5 Bytes  JMP 0EA135C0
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!HttpQueryInfoA                                                        408C878D 5 Bytes  JMP 0EA12DD0
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetCloseHandle                                                  408C9088 5 Bytes  JMP 0EA13920
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetQueryDataAvailable                                            408CBF7F 5 Bytes  JMP 0EA13460
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!HttpAddRequestHeadersA                                                408CCF46 5 Bytes  JMP 0EA0F470
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!HttpOpenRequestA                                                      408CD508 5 Bytes  JMP 0EA0F350
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!HttpSendRequestW                                                      408CFABE 5 Bytes  JMP 0EA07B1D
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!HttpSendRequestA                                                      408DEE89 5 Bytes  JMP 0EA079E6
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetReadFileExA                                                  408E3381 5 Bytes  JMP 0EA13770
.text  C:\WINDOWS\System32\svchost.exe[3712] wininet.dll!InternetWriteFile                                                    40926076 5 Bytes  JMP 0EA07C54
.text  C:\WINDOWS\System32\svchost.exe[3712] ws2_32.dll!send                                                                  71A14C27 5 Bytes  JMP 0EA0EA8D

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT    atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                      [B7EBEAD4] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                              [B7EBEC1A] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                    [B7EBEB9C] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                            [B7EBF748] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                    [B7EBF61E] sptd.sys
IAT    \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                      [B7ED429A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                                  8A7001E8
Device  \Driver\usbuhci \Device\USBPDO-0                                                                                        8A4C15D0
Device  \Driver\usbuhci \Device\USBPDO-1                                                                                        8A4C15D0
Device  \Driver\usbuhci \Device\USBPDO-2                                                                                        8A4C15D0
Device  \Driver\usbehci \Device\USBPDO-3                                                                                        8A4BD1E8
Device  \Driver\usbehci \Device\USBPDO-4                                                                                        8A4BD1E8
Device  \Driver\NetBT \Device\NetBT_Tcpip_{7E172EF8-FA9B-4EAA-A9F2-00E989C32AEA}                                                8A3631E8
Device  \Driver\usbuhci \Device\USBPDO-5                                                                                        8A4C15D0
Device  \Driver\usbuhci \Device\USBPDO-6                                                                                        8A4C15D0
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                  8A68C1E8
Device  \Driver\usbuhci \Device\USBPDO-7                                                                                        8A4C15D0
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                  8A68C1E8
Device  \Driver\Cdrom \Device\CdRom0                                                                                            8A459790
Device  \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                                                                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                                                                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort0                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort0                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort1                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort1                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort2                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort2                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                                                                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                                                                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort3                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort3                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort4                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort4                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort5                                                                                      [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort5                                                                                      sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                  8A68C1E8
Device  \Driver\Cdrom \Device\CdRom1                                                                                            8A459790
Device  \Driver\PCI_NTPNP5556 \Device\00000066                                                                                  sptd.sys
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                                                                  8A68C1E8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                                8A3631E8
Device  \Driver\NetBT \Device\NetbiosSmb                                                                                        8A3631E8
Device  \Driver\usbuhci \Device\USBFDO-0                                                                                        8A4C15D0
Device  \Driver\usbuhci \Device\USBFDO-1                                                                                        8A4C15D0
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                      8A42F1E8
Device  \Driver\usbuhci \Device\USBFDO-2                                                                                        8A4C15D0
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                                            8A42F1E8
Device  \Driver\usbehci \Device\USBFDO-3                                                                                        8A4BD1E8
Device  \Driver\usbuhci \Device\USBFDO-4                                                                                        8A4C15D0
Device  \Driver\Ftdisk \Device\FtControl                                                                                        8A68C1E8
Device  \Driver\usbuhci \Device\USBFDO-5                                                                                        8A4C15D0
Device  \Driver\usbuhci \Device\USBFDO-6                                                                                        8A4C15D0
Device  \Driver\usbehci \Device\USBFDO-7                                                                                        8A4BD1E8
Device  \Driver\NetBT \Device\NetBT_Tcpip_{76C05831-A643-4C71-B5B7-449601D56EDF}                                                8A3631E8
Device  \Driver\a5ssvx1l \Device\Scsi\a5ssvx1l1                                                                                8A44A1E8
Device  \Driver\a5ssvx1l \Device\Scsi\a5ssvx1l1                                                                                sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\a5ssvx1l \Device\Scsi\a5ssvx1l1Port6Path0Target0Lun0                                                            8A44A1E8
Device  \Driver\a5ssvx1l \Device\Scsi\a5ssvx1l1Port6Path0Target0Lun0                                                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \FileSystem\Cdfs \Cdfs                                                                                                  8A3471E8

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                      771343423
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                      285507792
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                      1
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                    C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                    0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x52 0x9A 0x4D 0x14 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                             
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                        0x01 0xF1 0x45 0xA1 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                  0x48 0xAE 0xAE 0x68 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                   
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                        C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                        0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                      0x52 0x9A 0x4D 0x14 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)         
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                            0x01 0xF1 0x45 0xA1 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)   
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                      0x48 0xAE 0xAE 0x68 ...
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                                      15
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                                        10000
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                                      yes
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                                     
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                                      300
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                                        10000
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@RequireSignedAppInit_DLLs                                    1
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleanprogx.exe                                                      C:\cleanprogx.exe\cleanprogx.exe

---- Files - GMER 1.0.15 ----

File    C:\cleanprogx.exe                                                                                                      0 bytes
File    C:\cleanprogx.exe\cleanprogx.exe                                                                                        244736 bytes executable
File    C:\cleanprogx.exe\config.bin                                                                                            117702 bytes
File    C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\XLive\Titles\434307f7\config.bin  20480 bytes
File    C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\XLive\Titles\5454083B\config.bin  20480 bytes

---- EOF - GMER 1.0.15 ----
OSAM:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:17:06 on 07.12.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"prefscpl.cpl" - "RealNetworks, Inc." - C:\WINDOWS\system32\prefscpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"NokiaConnectionManager" - "Nokia" - G:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys
"ajppj7uk" (ajppj7uk) - ? - C:\WINDOWS\system32\drivers\ajppj7uk.sys  (Hidden registry entry, rootkit activity | File not found)
"ALLOW-IO" (ALLOW-IO) - ? - D:\ALLOW-IO.sys  (File not found)
"ASCTRM" (ASCTRM) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\drivers\ASCTRM.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM FRITZ!Box SL" (AVMUNET) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\avmunet.sys
"BVRPMPR5 NDIS Protocol Driver" (BVRPMPR5) - "BVRP Software" - C:\WINDOWS\system32\drivers\BVRPMPR5.SYS
"catchme" (catchme) - ? - C:\cofi.exe\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys
"HPFECP15" (HPFECP15) - ? - C:\WINDOWS\System32\drivers\HPFECP15.SYS
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"MACNDIS5 NDIS Protocol Driver" (MACNDIS5) - "Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"Microsoft UAA Bus Driver for High Definition Audio" (HDAudBus) - "Windows (R) Server 2003 DDK provider" - C:\WINDOWS\System32\DRIVERS\HDAudBus.sys
"MIINPazX NDIS Protocol Driver" (MIINPazX) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
"OCZ Technology HID-compliant Mouse Driver" (Amusbprt) - "OCZ Technology Co.,Ltd." - C:\WINDOWS\System32\DRIVERS\Amusbprt.sys
"OCZ Technology Mouse Filter Driver" (Amfilter) - ? - C:\WINDOWS\System32\DRIVERS\Amfilter.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"SSHDRV84" (SSHDRV84) - ? - C:\WINDOWS\system32\drivers\SSHDRV84.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Synchronization Driver (version 2.x)" (sfsync02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfsync02.sys
"WAN Miniport (ATW)" (wanatw) - ? - C:\WINDOWS\System32\DRIVERS\wanatw4.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{AD6E5643-7B0C-46AA-95AD-9773FF2A857A} "CustManageApp Class" - "MH" - G:\Wichtige Programme\NavNetApp\ComUtilities.dll
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office 2007\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - G:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{82AA9188-44E0-40B9-B956-43A10C315B4F} "RootShellFolder Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{2ED7FD81-CBA6-45E5-A49A-5E84889A94E2} "ShellFolderDragDropHandler Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll
{119310E6-5FB7-4eeb-BEDB-9E229E76B9B4} "ShellFolderMultiUploadDestination Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll
{3B164627-7060-47BB-A1BE-DF5540B02821} "ShellFolderMultiUploadSource Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll
{EB5EE1F3-041A-4c03-9D51-2BEC6715FB00} "ShellFolderSearchRoot Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{F87DED31-303F-4ED1-9BCE-D360FBC74E0A} "SmartFTP ContextMenu Shell Extension" - "SmartSoft Ltd" - C:\Programme\SmartFTP Client\sfShellTools.dll
{EA5A76F7-8138-4B53-B0F5-ADCC730CAFBD} "SmartFTP Drop ShellIconOverlayHandler" - "SmartSoft Ltd" - C:\Programme\SmartFTP Client\sfShellTools.dll
{39DD67E0-73B6-4a11-AF55-49E1EBBF72BE} "SmartFTP FavoritesShellFolder Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll
{40FDFA48-5F4E-4627-A78E-6A49A3D4492F} "SmartFTP ShellDropHandler Class" - "SmartSoft Ltd" - C:\Programme\SmartFTP Client\sfShellTools.dll
{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} "UnlockerShellExtension" - ? - C:\Programme\Unlocker\UnlockerCOM.dll  (File found, but it contains no detailed information)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MI69DF~1\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{CC59E0F9-7E43-44FA-9FAA-8377850BF205} "FDMIECookiesBHO Class" - ? - C:\Programme\Free Download Manager\iefdm2.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"cleanprogx.exe" - "Macromedia, Inc." - C:\cleanprogx.exe\cleanprogx.exe  (Hidden registry entry, rootkit activity)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WheelMouse" - ? - C:\Programme\OCZ Technology\Mouse\Amoumain.exe  (File found, but it contains no detailed information)
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}" - "Google Inc." - C:\Programme\Gmail Notifier\gnotify.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"HPF00115" - ? - C:\WINDOWS\system32\HPFlpm15.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"MSCSPTISRV" (MSCSPTISRV) - "Sony Corporation" - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PACSPTISVR" (PACSPTISVR) - ? - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
"RichiStudios Shutdown" (RSShutdown) - "RichiStudios" - C:\Programme\Shutdown\service.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"SonicStage Back-End Service" (SonicStage Back-End Service) - "Sony Corporation" - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
"SonicStage SCSI Service" (SSScsiSV) - "Sony Corporation" - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
"Sony SPTI Service" (SPTISRV) - "Sony Corporation" - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
"T-Online WLAN Adapter Steuerungsdienst" (MZCCntrl) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
MRBCheck:
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000000fd

Kernel Drivers (total 131):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7EBD000 sptd.sys
  0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xB7EA5000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xB7E76000 ACPI.sys
  0xB7E65000 pci.sys
  0xB80A8000 ohci1394.sys
  0xB80B8000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
  0xB80C8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xB80D8000 MountMgr.sys
  0xB7E46000 ftdisk.sys
  0xB8330000 PartMgr.sys
  0xB8338000 sfsync02.sys
  0xB80E8000 VolSnap.sys
  0xB7E2E000 atapi.sys
  0xB80F8000 disk.sys
  0xB8108000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xB7E0E000 fltmgr.sys
  0xB7DFC000 sr.sys
  0xB8118000 PxHelp20.sys
  0xB7DE5000 KSecDD.sys
  0xB7D58000 Ntfs.sys
  0xB7D2B000 NDIS.sys
  0xB8340000 sfhlp02.sys
  0xB7D1A000 sfdrv01.sys
  0xB7D00000 Mup.sys
  0xB8148000 \SystemRoot\System32\DRIVERS\nic1394.sys
  0xB8158000 \SystemRoot\System32\DRIVERS\intelppm.sys
  0xB6FDC000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB6FC8000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8468000 \SystemRoot\System32\DRIVERS\usbuhci.sys
  0xB6FA4000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xB8470000 \SystemRoot\System32\DRIVERS\usbehci.sys
  0xB6F7F000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
  0xB6F41000 \SystemRoot\System32\DRIVERS\yk51x86.sys
  0xB8478000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB8168000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xB8480000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xB8178000 \SystemRoot\System32\DRIVERS\imapi.sys
  0xB8188000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xB8198000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xB6F1E000 \SystemRoot\System32\DRIVERS\ks.sys
  0xB7CB8000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xB6EB7000 \SystemRoot\System32\Drivers\ajppj7uk.SYS
  0xB6E98000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0xB8686000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xB81A8000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xB79B0000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB6E81000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xB81B8000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xB81C8000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xB83C0000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB6E70000 \SystemRoot\System32\DRIVERS\psched.sys
  0xB81D8000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xB83C8000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xB83D0000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xB81E8000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xB83E0000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xB85CC000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB6D72000 \SystemRoot\System32\DRIVERS\update.sys
  0xB79A8000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xB81F8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB8268000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xB85D2000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xB8408000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xB46E8000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB420A000 \SystemRoot\system32\drivers\portcls.sys
  0xB6E50000 \SystemRoot\system32\drivers\drmk.sys
  0xB6D45000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xB85FA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB86F0000 \SystemRoot\System32\Drivers\Null.SYS
  0xB85FC000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB8448000 \SystemRoot\System32\drivers\vga.sys
  0xB85FE000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB8600000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB8450000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB8458000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB6D41000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB41AF000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB4156000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB4108000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xB40E0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB6E30000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xB40BE000 \SystemRoot\System32\drivers\afd.sys
  0xB6E20000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xB8460000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB6E00000 \SystemRoot\System32\DRIVERS\arp1394.sys
  0xB4093000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB4023000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xB6DF0000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB4000000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB8604000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB859C000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0xB8258000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0xB8490000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
  0xB42BE000 \SystemRoot\system32\DRIVERS\Amusbprt.sys
  0xB84A0000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xB42AE000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB3F70000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xB8614000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB41F6000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB84B0000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB8788000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB3C43000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB3C9C000 \??\C:\WINDOWS\system32\drivers\mbam.sys
  0xB3C04000 \SystemRoot\system32\DRIVERS\WudfPf.sys
  0xB3BDC000 \SystemRoot\System32\DRIVERS\ndisuio.sys
  0xB3957000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0xB387A000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB3A0C000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB349F000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
  0xB8664000 \SystemRoot\System32\Drivers\ASCTRM.SYS
  0xB3434000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xB337C000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
  0xB3FC8000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xB3284000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB2D6B000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB3194000 \SystemRoot\System32\DRIVERS\ipfltdrv.sys
  0xB2B8C000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll
  0x10000000 \Programme\DAEMON Tools\daemon.dll

Processes (total 41):
      0 System Idle Process
      4 System
    1192 C:\WINDOWS\system32\smss.exe
    1316 C:\WINDOWS\system32\csrss.exe
    1340 C:\WINDOWS\system32\winlogon.exe
    1388 C:\WINDOWS\system32\services.exe
    1400 C:\WINDOWS\system32\lsass.exe
    1620 C:\WINDOWS\system32\nvsvc32.exe
    1664 C:\WINDOWS\system32\svchost.exe
    1752 C:\WINDOWS\system32\svchost.exe
    492 C:\WINDOWS\system32\svchost.exe
    536 C:\WINDOWS\system32\svchost.exe
    796 C:\WINDOWS\system32\svchost.exe
    1052 C:\WINDOWS\system32\svchost.exe
    1184 C:\WINDOWS\system32\spoolsv.exe
    1252 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1468 C:\WINDOWS\system32\svchost.exe
    2040 C:\WINDOWS\explorer.exe
    276 C:\Programme\OCZ Technology\Mouse\Amoumain.exe
    284 C:\Programme\Gmail Notifier\gnotify.exe
    292 C:\WINDOWS\RTHDCPL.exe
    300 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    880 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    896 C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
    2008 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1084 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    1948 C:\Programme\Bonjour\mDNSResponder.exe
    404 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    2832 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2904 C:\Programme\Java\jre6\bin\jqs.exe
    3068 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
    3112 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    3240 C:\Programme\Shutdown\Service.exe
    3944 C:\WINDOWS\system32\svchost.exe
    3472 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    752 C:\WINDOWS\system32\alg.exe
    2924 C:\WINDOWS\system32\wbem\wmiprvse.exe
    3612 G:\Downloads\Osam\osam.exe
    3572 C:\Programme\Mozilla Firefox\firefox.exe
    3360 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x0000003d`08be7a00  (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x0000005c`0635e600  (NTFS)

PhysicalDrive0 Model Number: ST3500320AS, Rev: SD15   

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 08.12.2010 09:48
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
Folders to delete:
C:\cleanprogx.exe
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Goljef 08.12.2010 11:02
Beim ersten Neustart hat der PC sich im Windows-Lade-Schirm aufgehangen, nach einem Reset hat es jedoch funktioniert.

Log:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\cleanprogx.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Backup:
Code:
hxxp://www.file-upload.net/download-3032330/backup.zip.html
Ein offensichtlicher Fehler mit dem Gmail-Dienst ist dadurch behoben worden. Ob die Videos evtl. auch wieder gehen, werde ich später testen.

Vielen Dank schon mal bis hier.

cosinus 08.12.2010 11:07
cleanprogx.exe ist ein "schöner" zbot :balla: => VirusTotal - Free Online Virus, Malware and URL Scanner
Ich werd mal ne Mail an die AVP-Hersteller schicken, damit die schneller Signaturen für bessere Erkennung dieses Drecks bereitstellen :kloppen:

mach du bitte nochmal einen neuen Lauf mit combofix mit einer neu heruntergeladenen cofi.exe

Goljef 08.12.2010 11:13
Ich hab gerade ohne Absturz den Autostartmanager starten können. Cleanprogx.exe ist nun gelistet im Autostart. Werde nochmal cofi.exe wie gewünscht durchführen.

Ich merke gerade auch, dass ein weiterer offensichtlicher Fehler ausgemerzt wurde. "^" wurde nämlich immer doppelt ausgeworfen, genau wie ´`. Da fand man auch einiges zu Viren oder Trojanern, nur bei mir schien nie exakt das gleiche Problem zu bestehen.

Goljef 08.12.2010 11:41
Combofix:
Code:
ComboFix 10-12-07.03 - Stephan 08.12.2010  11:22:36.5.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2794 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-11-08 bis 2010-12-08  ))))))))))))))))))))))))))))))
.

2010-12-05 18:38 . 2010-12-05 18:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-12-05 18:38 . 2010-12-05 18:38        --------        d-----w-        c:\programme\Security Task Manager
2010-12-03 14:29 . 2010-12-03 14:29        388096        ----a-r-        c:\dokumente und einstellungen\***n\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-03 13:15 . 2010-12-03 13:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\VDLL.DLL
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\system32\runouce.exe
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\RUNDL132.EXE
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\logo_1.exe
2010-12-02 14:13 . 2010-12-02 14:13        632064        ----a-w-        c:\windows\system32\msvcr80.dll
2010-12-02 14:13 . 2010-12-02 14:13        554240        ----a-w-        c:\windows\system32\msvcp80.dll
2010-12-02 14:13 . 2010-12-02 14:13        34048        ----a-w-        c:\windows\system32\eEmpty.exe
2010-12-02 14:13 . 2008-04-14 02:23        140800        ----a-w-        c:\windows\system32\T.COM
2010-12-02 14:13 . 2008-04-14 02:22        153600        ----a-w-        c:\windows\R.COM
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-12-02 13:59 . 2010-12-02 14:08        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Download Manager
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2010-12-01 19:40 . 2010-12-01 19:40        --------        d-----w-        C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2010-01-28 19:38        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-01-28 19:38        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-22 10:38 . 2009-03-20 10:18        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-05 10:02 . 2009-03-20 10:18        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-09-18 10:22 . 2003-04-02 12:00        974848        ----a-w-        c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2003-04-02 12:00        974848        ----a-w-        c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2003-04-02 12:00        954368        ------w-        c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2003-04-02 12:00        953856        ----a-w-        c:\windows\system32\mfc40u.dll
2010-09-15 01:29 . 2008-06-10 19:56        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2010-09-10 05:47 . 2003-04-02 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2003-04-02 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
.

(((((((((((((((((((((((((((((  SnapShot@2010-12-07_10.37.39  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-08 10:29 . 2010-12-08 10:29        16384              c:\windows\Temp\Perflib_Perfdata_410.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"="c:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\programme\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-11-29 443728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\                                        ]
REM                                                                                                 

[X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.01.2009 18:21 685816]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 19:31 277544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 11:18 135336]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [28.01.2010 20:38 363344]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [16.10.2008 09:44 61440]
R2 RSShutdown;RichiStudios Shutdown;c:\programme\Shutdown\Service.exe [20.06.2004 18:42 45056]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.01.2010 20:38 20952]
S0 xhevu;xhevu;c:\windows\system32\drivers\cfwpld.sys --> c:\windows\system32\drivers\cfwpld.sys [?]
S1 SSHDRV84;SSHDRV84;\??\c:\windows\system32\drivers\SSHDRV84.sys --> c:\windows\system32\drivers\SSHDRV84.sys [?]
S2 HPFECP15;HPFECP15;c:\windows\system32\drivers\hpfecp15.sys [03.09.1998 08:15 52800]
S3 ALLOW-IO;ALLOW-IO;\??\d:\allow-io.sys --> d:\ALLOW-IO.sys [?]
S3 AVMUNET;AVM FRITZ!Box SL;c:\windows\system32\drivers\avmunet.sys [14.10.2008 16:21 14976]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [16.10.2008 09:44 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [16.10.2008 09:44 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [16.10.2008 09:44 17536]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.06.2010 13:57 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.06.2010 13:57 8320]
.
Inhalt des "geplante Tasks" Ordners

2010-10-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.com/
uInternet Settings,ProxyOverride = *.local
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI69DF~1\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - component: c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\windows\system32\TVUAx\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: FootieFox: {9fb7d178-155a-4318-9173-1a8eaaea7fe4} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{9fb7d178-155a-4318-9173-1a8eaaea7fe4}
FF - Extension: vShare Plugin: vshare@toolbar - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\vshare@toolbar
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-cleanprogx.exe - c:\cleanprogx.exe\cleanprogx.exe
HKU-Default-Run-cleanprogx.exe - c:\cleanprogx.exe\cleanprogx.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-08 11:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2d,0f,b8,f5,26,54,c3,71,2d,3b,9d,ff,c3,a6,b9,89,65,6c,f8,30,ed,c5,10,
  b1,9e,11,a9,d0,e5,07,ae,1e,51,fc,7b,1e,e9,e9,6b,51,6a,7e,28,8f,df,6e,b3,0c,\
"??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:85,ec,30,6b,77,bf,f8,a9,f0,c8,44,a9,2a,00,39,13,7e,79,7c,4f,c5,
  b2,c2,49,3e,9e,c0,01,20,c6,a6,5a,a4,f1,c0,6e,df,59,e3,41,05,6b,e7,de,4c,53,\
"rkeysecu"=hex:de,d8,59,fc,4e,99,25,a8,60,64,03,93,47,ef,dc,d9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(268)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
g:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
g:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
g:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
g:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\RTHDCPL.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-08  11:36:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-08 10:36
ComboFix2.txt  2010-12-07 13:12
ComboFix3.txt  2010-12-07 10:46

Vor Suchlauf: 18 Verzeichnis(se), 114.623.188.992 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 114.611.748.864 Bytes frei

- - End Of File - - B3C5094BD78DCDE7DC6592D58F365620

cosinus 08.12.2010 11:58
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\                                        ]
"REM"=-

File::
c:\windows\system32\drivers\cfwpld.sys

Driver::
xhevu
ALLOW-IO
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Goljef 08.12.2010 12:41
ComboFix:
Code:
ComboFix 10-12-07.04 - *** 08.12.2010  12:20:21.6.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2811 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\cfwpld.sys"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ALLOW-IO
-------\Service_ALLOW-IO
-------\Service_xhevu


(((((((((((((((((((((((  Dateien erstellt von 2010-11-08 bis 2010-12-08  ))))))))))))))))))))))))))))))
.

2010-12-05 18:38 . 2010-12-05 18:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-12-05 18:38 . 2010-12-05 18:38        --------        d-----w-        c:\programme\Security Task Manager
2010-12-03 14:29 . 2010-12-03 14:29        388096        ----a-r-        c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-03 13:15 . 2010-12-03 13:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\VDLL.DLL
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\system32\runouce.exe
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\RUNDL132.EXE
2010-12-02 14:18 . 2010-12-02 14:18        --------        d---a-w-        c:\windows\logo_1.exe
2010-12-02 14:13 . 2010-12-02 14:13        632064        ----a-w-        c:\windows\system32\msvcr80.dll
2010-12-02 14:13 . 2010-12-02 14:13        554240        ----a-w-        c:\windows\system32\msvcp80.dll
2010-12-02 14:13 . 2010-12-02 14:13        34048        ----a-w-        c:\windows\system32\eEmpty.exe
2010-12-02 14:13 . 2008-04-14 02:23        140800        ----a-w-        c:\windows\system32\T.COM
2010-12-02 14:13 . 2008-04-14 02:22        153600        ----a-w-        c:\windows\R.COM
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld
2010-12-02 14:13 . 2010-12-02 14:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-12-02 13:59 . 2010-12-02 14:08        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Download Manager
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-12-01 21:08 . 2010-09-15 03:50        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2010-12-01 19:40 . 2010-12-01 19:40        --------        d-----w-        C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2010-01-28 19:38        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-01-28 19:38        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-22 10:38 . 2009-03-20 10:18        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-05 10:02 . 2009-03-20 10:18        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-09-18 10:22 . 2003-04-02 12:00        974848        ----a-w-        c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2003-04-02 12:00        974848        ----a-w-        c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2003-04-02 12:00        954368        ------w-        c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2003-04-02 12:00        953856        ----a-w-        c:\windows\system32\mfc40u.dll
2010-09-15 01:29 . 2008-06-10 19:56        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2010-09-10 05:47 . 2003-04-02 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2003-04-02 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"="c:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\programme\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-11-29 443728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\                                        ]
REM                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.01.2009 18:21 685816]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 19:31 277544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 11:18 135336]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\Hamachi\hamachi-2.exe -s --> c:\programme\Hamachi\hamachi-2.exe -s [?]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [28.01.2010 20:38 363344]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [16.10.2008 09:44 61440]
R2 RSShutdown;RichiStudios Shutdown;c:\programme\Shutdown\Service.exe [20.06.2004 18:42 45056]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.01.2010 20:38 20952]
S1 SSHDRV84;SSHDRV84;\??\c:\windows\system32\drivers\SSHDRV84.sys --> c:\windows\system32\drivers\SSHDRV84.sys [?]
S2 HPFECP15;HPFECP15;c:\windows\system32\drivers\hpfecp15.sys [03.09.1998 08:15 52800]
S3 AVMUNET;AVM FRITZ!Box SL;c:\windows\system32\drivers\avmunet.sys [14.10.2008 16:21 14976]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [16.10.2008 09:44 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [16.10.2008 09:44 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [16.10.2008 09:44 17536]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.06.2010 13:57 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.06.2010 13:57 8320]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HAMACHI2SVC
.
Inhalt des "geplante Tasks" Ordners

2010-10-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.com/
uInternet Settings,ProxyOverride = *.local
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI69DF~1\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - component: c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\windows\system32\TVUAx\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: FootieFox: {9fb7d178-155a-4318-9173-1a8eaaea7fe4} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{9fb7d178-155a-4318-9173-1a8eaaea7fe4}
FF - Extension: vShare Plugin: vshare@toolbar - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\vshare@toolbar
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-08 12:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2d,0f,b8,f5,26,54,c3,71,2d,3b,9d,ff,c3,a6,b9,89,65,6c,f8,30,ed,c5,10,
  b1,9e,11,a9,d0,e5,07,ae,1e,51,fc,7b,1e,e9,e9,6b,51,6a,7e,28,8f,df,6e,b3,0c,\
"??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12

[HKEY_USERS\S-1-5-21-789336058-362288127-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:85,ec,30,6b,77,bf,f8,a9,f0,c8,44,a9,2a,00,39,13,7e,79,7c,4f,c5,
  b2,c2,49,3e,9e,c0,01,20,c6,a6,5a,a4,f1,c0,6e,df,59,e3,41,05,6b,e7,de,4c,53,\
"rkeysecu"=hex:de,d8,59,fc,4e,99,25,a8,60,64,03,93,47,ef,dc,d9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2516)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
g:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
g:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
g:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
g:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\msiexec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-08  12:33:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-08 11:33
ComboFix2.txt  2010-12-08 10:36
ComboFix3.txt  2010-12-07 13:12
ComboFix4.txt  2010-12-07 10:46

Vor Suchlauf: 18 Verzeichnis(se), 114.601.943.040 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 114.516.594.688 Bytes frei

- - End Of File - - 7E593F3E05B7BE0391688252082CDA30
Die IP aus dem Startpost wird offenbar nicht mehr gesucht, dafür meldet Mbytes jetzt die IP: 213.131.252.251 zu der der Zugang geblockt wurde.

edit: Dies tritt auf, wenn ich nach einiger Zeit eine (evtl. diese) Seite neu lade bzw. refreshe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:06 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131