Problem mit Rootkit.Agent.EY

[DesolationWax]

Moin,

ich habe einen Scan mit Spyware-doctor ausgeführt und bekomme folgende 2 Infektionen angezeigt:
Rootkit.Agent.EY
Trojan-Dropper.Agent.BE

Ersterer lässt sich nicht entfernen und taucht nachm Neustart immer wieder auf!
Gibt es eine andere Möglichkeit oder lieber gleich formatieren?

Danke im voraus,

Deso

P.S. Hier ist einmal der Logfile:

[DesolationWax]

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:47, on 19.10.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\scwatcher.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {EBBDDE7D-96BA-40EF-8854-8E575C48DA63} - C:\WINDOWS\System32\avicap3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\programme\MSProject\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: jkkhiif - jkkhiif.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programme\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 5906 bytes

[Karl]

Hi,

zunächst wäre es sehr gut, wenn Du uns auch mitteilst, wo Spywaredoctor fündig wurde, also welche Dateien. Allerdings sagt das Hijackthis auch schon, dass was nicht in Ordnung ist.

An erster Stelle der veraltete Zustand deines Systems, keine Servicepacks, Java ebenfalls alt. Dafür sieht es relativ harmlos aus, aber wir müssen da genauer reinschauen, Hijackthis zeigt verdammt viel nicht an.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

• VirusTotal
• Jotti

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

• C:\WINDOWS\system32\scwatcher.exe
• C:\WINDOWS\System32\avicap3.dll

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.


Es ist wichtig, dass während der Ausführung dieser Anleitung der Computer mit dem Internet verbunden ist. Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:

• "Include Empty Locations" -> ein (Haken)
• "Verify Code Signatures" -> ein (Haken)
• "Hide Signed Microsoft Entries" -> aus (kein Haken)

Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.


Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.


Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

Gruß, Karl

[DesolationWax]

Moin Karl,

zunächst einmal Danke für deine Bemühung. Ich habe meine Festplatte formatiert, neu partitioniert und xp neu aufgesetzt. Trotzdem geht der trojaner nicht runter. Ich habe einen Scan mit Antivir gemacht, der folgende Warnungen angibt:
Folgende Dateien lassen sich nicht öffnen
c:\hiberfil.sys
c:\pagefile.sys
c:\windows\system32\xpdx.sys

Spyware-Doctor gab folgendes an:
Trojan.Mailbot in c:\windows\system32\xpdx.sys

Die Datei lässt sich weder löschen, noch mit den Programmen entfernen. Sobald ich eine Internetverbindung herstelle, werden andere Trojaner mit runtergeladen. Also nochmal formatiert und das gleiche Ergebnis.
Ich poste mal den neuen Logfile und werde anschließend deine Anwesungen befolgen und hier posten.

Gruss Deso

[DesolationWax]

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:09:00, on 21.10.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\logon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system\msnrav.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3298 bytes

[DesolationWax]

Code:

Scan mit virustotal:

c:\windows\system32\xpdx.sys
0 bytes size received / Se ha recibido un archivo vacio

Datei avicap.dll empfangen 2007.10.21 10:41:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.20.0	2007.10.19	-
AntiVir	7.6.0.27	2007.10.20	-
Authentium	4.93.8	2007.10.20	-
Avast	4.7.1051.0	2007.10.20	-
AVG	7.5.0.488	2007.10.20	-
BitDefender	7.2	2007.10.21	-
CAT-QuickHeal	9.00	2007.10.20	-
ClamAV	0.91.2	2007.10.20	-
DrWeb	4.44.0.09170	2007.10.20	-
eSafe	7.0.15.0	2007.10.15	-
eTrust-Vet	31.2.5225	2007.10.20	-
Ewido	4.0	2007.10.20	-
FileAdvisor	1	2007.10.21	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.20	-
F-Secure	6.70.13030.0	2007.10.19	-
Ikarus	T3.1.1.12	2007.10.21	-
Kaspersky	7.0.0.125	2007.10.21	-
McAfee	5145	2007.10.19	-
Microsoft	1.2908	2007.10.21	-
NOD32v2	2604	2007.10.19	-
Norman	5.80.02	2007.10.19	-
Panda	9.0.0.4	2007.10.20	-
Prevx1	V2	2007.10.21	-
Rising	19.45.61.00	2007.10.21	-
Sophos	4.22.0	2007.10.21	-
Sunbelt	2.2.907.0	2007.10.20	-
Symantec	10	2007.10.21	-
TheHacker	6.2.9.103	2007.10.21	-
VBA32	3.12.2.4	2007.10.19	-
VirusBuster	4.3.26:9	2007.10.20	-
weitere Informationen
File size: 70368 bytes
MD5: 4b9a51c3a3a12d5fa2b4296c3c0bcd1a
SHA1: c1829e5b3d60f0ad27e974f29ed0c66e1b970c8f

Autoruns:

Code:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms			
+ rdpclip	RDP Clip Monitor	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rdpclip.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup			
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup			
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon			
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit			
+ C:\WINDOWS\system32\userinit.exe	Userinit-Anmeldeanwendung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\userinit.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell			
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell			
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell			
+ Explorer.exe	Windows Explorer	(Verified) Microsoft Windows XP Publisher	c:\windows\explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run			
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run			
+ avgnt	Antivirus System Tray Tool	(Not verified) Avira GmbH	c:\programme\avira\antivir personaledition classic\avgnt.exe
+ SDTray	PC Tools Tray Application	(Verified) PC Tools	c:\programme\spyware doctor\sdtrayapp.exe
+ Windows Logon Application			c:\windows\system32\logon.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx			
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce			
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart			
+ Microsoft Office.lnk	Microsoft Office XP component	(Verified) Microsoft Corporation	c:\programme\microsoft office\office10\osa.exe
C:\Dokumente und Einstellungen\Andi\Startmenü\Programme\Autostart			
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load			
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run			
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run			
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run			
HKCU\Software\Microsoft\Windows\CurrentVersion\Run			
+ CTFMON.EXE	CTF Loader	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ctfmon.exe
+ MSMSGS	Messenger Client	(Verified) Microsoft Windows XP Publisher	c:\programme\messenger\msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce			
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce			
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx			
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run			
HKLM\SOFTWARE\Classes\Protocols\Filter			
+ Class Install Handler	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ deflate	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ gzip	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ lzdhtml	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ text/webviewhtml	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
HKLM\SOFTWARE\Classes\Protocols\Handler			
+ about	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ cdl	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ cdo	Microsoft SharePoint Portal Server Object Model	(Not verified) Microsoft Corporation	c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll
+ dvd	ActiveX-Steuerung für Streamingvideo	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msvidctl.dll
+ file	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ ftp	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ gopher	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ http	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ https	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ its	Microsoft® InfoTech Storage System Library	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\itss.dll
+ javascript	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ lid	ActiveX-Steuerung für Streamingvideo	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msvidctl.dll
+ local	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ mailto	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ mhtml	Microsoft Internet Messaging API	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\inetcomm.dll
+ mk	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ ms-its	Microsoft® InfoTech Storage System Library	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\itss.dll
+ mso-offdap	Microsoft Office XP Web Components	(Verified) Microsoft Corporation	c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll
+ res	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ sysimage	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ tv	ActiveX-Steuerung für Streamingvideo	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msvidctl.dll
+ vbscript	Microsoft (R) HTML Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mshtml.dll
+ vnd.ms.radio	Windows Media Player 2 ActiveX Control	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msdxm.ocx
+ wia	WIA Scripting Layer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiascr.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components			
+ 0			File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components			
+ Adressbuch 6	Bibliothek für Outlook Setup	(Verified) Microsoft Windows XP Publisher	c:\programme\outlook express\setup50.exe
+ Browseranpassungen	Microsoft Internet Explorer-Anpassungs-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\iedkcs32.dll
+ Internet Explorer 6	IE 5.0 Per-User Install Utility	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ie4uinit.exe
+ Microsoft Outlook Express 6	Bibliothek für Outlook Setup	(Verified) Microsoft Windows XP Publisher	c:\programme\outlook express\setup50.exe
+ Microsoft Windows Media Player 6.4	ADVPACK	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\advpack.dll
+ Microsoft Windows Media Player 8	ADVPACK	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\advpack.dll
+ NetMeeting 3.01	ADVPACK	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\advpack.dll
+ Themes Setup	Microsoft(C) Registerserver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\regsvr32.exe
+ Windows Desktop-Update	Microsoft(C) Registerserver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\regsvr32.exe
+ Windows Messenger 4.0	ADVPACK	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\advpack.dll
+ Zugang zu Internet Explorer	IOD Version Map	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\iesetup.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components			
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler			
+ Browseui preloader	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Component Categories cache daemon	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad			
+ CDBurn	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ PostBootReminder	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ SysTray	Systray-Shell-Serviceobjekt	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\stobject.dll
+ WebCheck	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad			
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks			
+ shell32.dll	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved			
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved			
+ %DESC_PublishDropTarget%	Fotodruck-Assistent	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\photowiz.dll
+ &Adresse	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ &Nach Personen...	Personen suchen	(Verified) Microsoft Windows XP Publisher	c:\programme\outlook express\wabfind.dll
+ .CAB file viewer	Shellerweiterung von Kabinettdatei-Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cabview.dll
+ Accessible	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ ActiveX-Cacheordner	Object Control Viewer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\occache.dll
+ Address EditBox	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Aktenkoffer	Windows Aktenkoffer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\syncui.dll
+ Audio Media Properties Handler	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ Augmented Shell Folder	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Augmented Shell Folder 2	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Ausführen...	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Avi Properties Handler	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ BandProxy	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Benutzerkonten	Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netplwiz.dll
+ Bestellung von Abzügen über das Internet	Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netplwiz.dll
+ CDF Extension Copy Hook	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Channel Menu	Viewer für Channeldefinitionsdatei	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cdfview.dll
+ Channel Properties	Viewer für Channeldefinitionsdatei	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cdfview.dll
+ Channeldatei	Viewer für Channeldefinitionsdatei	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cdfview.dll
+ Channelhandlerobjekt	Viewer für Channeldefinitionsdatei	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cdfview.dll
+ Channelverknüpfung	Viewer für Channeldefinitionsdatei	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cdfview.dll
+ Code Download Agent	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ Compressed (zipped) Folder Right Drag Handler	ZIP-komprimierte Ordner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\zipfldr.dll
+ Compressed (zipped) Folder SendTo Target	ZIP-komprimierte Ordner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\zipfldr.dll
+ ConnectionAgent	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ CPL-Erweiterung für Anzeigeverschiebung			File not found: deskpan.dll
+ CPL-Erweiterung für Bildschirme	Erweiterte Eigenschaften des Bildschirms	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\deskmon.dll
+ CPL-Erweiterung für Grafikkarten	Erweiterte Eigenschaften der Grafikkarte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\deskadp.dll
+ Custom MRU AutoCompleted List	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Darwin App Publisher	Shellanwendungs-Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\appwiz.cpl
+ DfsShell	DFS-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dfsshlex.dll
+ Directory Context Menu Verbs	Gemeinsame Benutzeroberfläche des Verzeichnisdienstes	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsuiext.dll
+ Directory Object Find	Verzeichnisdienstsuche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsquery.dll
+ Directory Property UI	Gemeinsame Benutzeroberfläche des Verzeichnisdienstes	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsuiext.dll
+ Directory Query UI	Verzeichnisdienstsuche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsquery.dll
+ Directory Start/Search Find	Verzeichnisdienstsuche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsquery.dll
+ Disk Quota UI	Windows Shell-Datenträgerkontingent-UI-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dskquoui.dll
+ Display TroubleShoot CPL Extension	Erweiterte Anzeigeeigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\deskperf.dll
+ Download Status	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Druckersicherheit	Sicherheitserweiterung der Shell	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rshx32.dll
+ DS-Sicherheit	Sicherheitsbenutzeroberfläche des Verzeichnisdienstes	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dssec.dll
+ E-Mail	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Eigenschaften für Multimediadatei	Treiber-Systemsteuerungsoption	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mmsys.cpl
+ Eigenschaftenseitenerweiterung des automatischen Updates	Windows Update-AutoUpdate-Dienst	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wuaueng.dll
+ Erweiterung für Datenträgerkopien	Windows DiskCopy	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\diskcopy.dll
+ Erweiterung für HyperTerminal-Icons	HyperTerminal Applet Library	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\hticons.dll
+ Explorer-Band	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Favorites Band	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ FTP Folders Webview	Microsoft Internet Explorer FTP-Ordnershellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msieftp.dll
+ GDI+ Dateiminiaturansicht-Extrahierungsprogramm	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
+ Geplante Tasks	Schnittstellen-DLL für Taskplaner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mstask.dll
+ Global Folder Settings	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Hilfe und Support	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Hilfe und Support	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ HTML-Extrahierungsprogramm	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
+ ICC-Profil	DLL der Benutzeroberfläche für Microsoft Color Matching	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\icmui.dll
+ ICM-Druckerverwaltung	DLL der Benutzeroberfläche für Microsoft Color Matching	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\icmui.dll
+ ICM-Monitorverwaltung	DLL der Benutzeroberfläche für Microsoft Color Matching	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\icmui.dll
+ ICM-Scannerverwaltung	DLL der Benutzeroberfläche für Microsoft Color Matching	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\icmui.dll
+ IE4 Suite-Begrüßungsbildschirm	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ In-pane search	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Installed Apps Enumerator	Shellanwendungs-Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\appwiz.cpl
+ Internet	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Internet	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Internet Name Space	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ InternetShortcut	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ ISFBand OC	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Kompatibilitätsseite	Shellerweiterungs-DLL für Registerkarte "Kompatibilität"	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\slayerxp.dll
+ Krypto-PKO-Erweiterung	Krypto-Shellerweiterungen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cryptext.dll
+ Krypto-Sign-Erweiterung	Krypto-Shellerweiterungen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cryptext.dll
+ Media Band	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Agent Character Property Sheet Handler	Microsoft Agent Property Sheet Handler	(Verified) Microsoft Windows XP Publisher	c:\windows\msagent\agentpsh.dll
+ Microsoft AutoComplete	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Browser Architecture	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Microsoft BrowserBand	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Datenverknüpfung	Microsoft Data Access - OLE DB Core Services	(Verified) Microsoft Windows XP Publisher	c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
+ Microsoft DocProp Inplace Calendar Control	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Droplist Combo Control	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Edit Box Control	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace ML Edit Box Control	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Time Control	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft DocProp Shell Ext	Microsoft DocProp-Shellerweiterung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop2.dll
+ Microsoft History AutoComplete List	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Internet Toolbar	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Multiple AutoComplete List Container	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Office HTML Icon Handler	Microsoft Office XP component	(Verified) Microsoft Corporation	c:\programme\microsoft office\office10\msohev.dll
+ Microsoft Outlook Custom Icon Handler	Outlook Shell Hook for Start/Find	(Verified) Microsoft Corporation	c:\programme\microsoft office\office10\olkfstub.dll
+ Microsoft Shell Folder AutoComplete List	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Microsoft Url Sucheingriff	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Microsoft URL-Verlauf-Dienst	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Midi Properties Handler	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ MMC Icon Handler	MMC Shell Extension DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mmcshext.dll
+ MRU AutoComplete List	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ MyDocs Copy Hook	Benutzeroberfläche des Verzeichnisses "Eigene Dateien"	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mydocs.dll
+ MyDocs Drop Target	Benutzeroberfläche des Verzeichnisses "Eigene Dateien"	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mydocs.dll
+ MyDocs Properties	Benutzeroberfläche des Verzeichnisses "Eigene Dateien"	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mydocs.dll
+ Netzwerkverbindungen	Shell für Netzwerkverbindungen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netshell.dll
+ Netzwerkverbindungen	Shell für Netzwerkverbindungen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netshell.dll
+ NTFS-Sicherheit	Sicherheitserweiterung der Shell	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rshx32.dll
+ Offline Files Folder Options	Clientseitige Cachebenutzeroberfläche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cscui.dll
+ Offline Files Menu	Clientseitige Cachebenutzeroberfläche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cscui.dll
+ OLE-Eigenschaftenseite für Dokumente	OLE-Eigenschaftenseite für Dokumente	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\docprop.dll
+ Ordner 'Offlinedateien'	Clientseitige Cachebenutzeroberfläche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cscui.dll
+ Passport-Assistent	Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netplwiz.dll
+ PlusPack CPL Extension	Windows-Design-API	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\themeui.dll
+ PostAgent	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ Registry Tree Options Utility	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Remote Sessions CPL Extension	CPL-Erweiterung für Remotesitzungen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\remotepg.dll
+ Scanner und Kameras	Shellordner-Benutzeroberfläche für Imaging-Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiashext.dll
+ Scanner und Kameras	Shellordner-Benutzeroberfläche für Imaging-Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiashext.dll
+ Scanner und Kameras	Shellordner-Benutzeroberfläche für Imaging-Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiashext.dll
+ Scanner und Kameras	Shellordner-Benutzeroberfläche für Imaging-Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiashext.dll
+ Scanner und Kameras	Shellordner-Benutzeroberfläche für Imaging-Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wiashext.dll
+ Schriftarten	Windows Schriftarten-Ordner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\fontext.dll
+ Schriftarten	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Search Assistant OC	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Search Band	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Sendmail service	E-Mail senden	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\sendmail.dll
+ Sendmail service	E-Mail senden	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\sendmail.dll
+ Shell Application Manager	Shellanwendungs-Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\appwiz.cpl
+ Shell Automation Inproc Service	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Shell Band Site Menu	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Shell DeskBar	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Shell DeskBarApp	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Shell DocObject Viewer	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Shell Extension for Malware scanning	ShlExt.dll	(Not verified) Avira GmbH	c:\programme\avira\antivir personaledition classic\shlext.dll
+ Shell Image Data Factory	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
+ Shell Image Property Handler	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
+ Shell Image Verbs	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
+ Shell properties for a DS object	Verzeichnisdienstsuche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dsquery.dll
+ Shell Rebar BandSite	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Shell-Datenauszughandler	Shell-Datenauszughandler	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shscrap.dll
+ Shellerweiterung für Webdrucker	DLL für die Druckerbenutzeroberfläche	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\printui.dll
+ Shellerweiterungen für Freigaben	Shellerweiterungen für Freigaben	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ntshrui.dll
+ Shellerweiterungen für Freigaben	Shellerweiterungen für Freigaben	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ntshrui.dll
+ Shellerweiterungen für Microsoft Windows-Netzwerkobjekte	Shellbenutzeroberfläche für das Netzwerkobjekt	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ntlanui2.dll
+ Shellerweiterungen für Windows Script Host	Microsoft (r) Shell Extension for Windows Script Host	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wshext.dll
+ Shellobjekt des Webpublishing-Assistenten	Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netplwiz.dll
+ Subscription Folder	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ Subscription Mgr	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ Suchen	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Syntaxanalyse der Adressleiste	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Taskleiste und Startmenü	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ Tasks Folder Icon Handler	Schnittstellen-DLL für Taskplaner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mstask.dll
+ Tasks Folder Shell Extension	Schnittstellen-DLL für Taskplaner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mstask.dll
+ Temporary Internet Files	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Temporary Internet Files	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Track Popup Bar	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ TrayAgent	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ TridentImageExtractor	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ User Assist	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ Verlauf	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Verwaltung	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
+ Video Media Properties Handler	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ Video Thumbnail Extractor	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ Wav Properties Handler	Extrahierungsshellerweiterung der Mediendateieigenschaften	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shmedia.dll
+ Web Search	Shell Browser UI-Bibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browseui.dll
+ WebCheck	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ WebCheck SyncMgr Handler	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ WebCheckChannelAgent	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ WebCheckWebCrawler	Websiteüberwachung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webcheck.dll
+ Webordner	Microsoft Web Folders	(Not verified) Microsoft Corporation	c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
+ Webpublishing-Assistent	Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\netplwiz.dll
+ Windows Media Player Add to Playlist Context Menu Handler	Windows Media Player-Launcher	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wmpshell.dll
+ Windows Media Player Burn Audio CD Context Menu Handler	Windows Media Player-Launcher	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wmpshell.dll
+ Windows Media Player Play as Playlist Context Menu Handler	Windows Media Player-Launcher	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wmpshell.dll
+ ZIP-komprimierter Ordner	ZIP-komprimierte Ordner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\zipfldr.dll
+ Zusammenfassungs-Miniaturansichthandler (DOCFILES)	Windows Bild- und Faxanzeige	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shimgvw.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers			
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers			
+ {0D2E74C4-3C34-11d2-A27E-00C04FC30871}	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ {24F14F01-7B1C-11d1-838f-0000F80461CF}	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ {24F14F02-7B1C-11d1-838f-0000F80461CF}	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ {66742402-F9B9-11D1-A202-0000F81FEDEE}	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin			
HKLM\Software\Microsoft\Ctf\LangBarAddin			
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects			
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks			
+ shdocvw.dll	Bibliothek für Shell-Dokumente und -Steuerelemente	(Not verified) Microsoft Corporation	c:\windows\system32\shdocvw.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar			
+ msdxm.ocx	Windows Media Player 2 ActiveX Control	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msdxm.ocx
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars			
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars			
HKCU\Software\Microsoft\Internet Explorer\Extensions			
HKLM\Software\Microsoft\Internet Explorer\Extensions			
+ @shdoclc.dll,-864		(Verified) Microsoft Windows XP Publisher	c:\windows\web\related.htm
Task Scheduler			
HKLM\System\CurrentControlSet\Services			
+ AntiVirScheduler	Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates.	(Not verified) Avira GmbH	c:\programme\avira\antivir personaledition classic\sched.exe
+ AntiVirService	Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.	(Not verified) Avira GmbH	c:\programme\avira\antivir personaledition classic\avguard.exe
+ AudioSrv	Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\audiosrv.dll
+ Browser	Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\browser.dll
+ CryptSvc	Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in  Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren.  Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cryptsvc.dll
+ Dhcp	Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dhcpcsvc.dll
+ Dnscache	Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\dnsrslvr.dll
+ ERSvc	Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ersvc.dll
+ Eventlog	Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\services.exe
+ helpsvc	Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\pchealth\helpctr\binaries\pchsvc.dll
+ Irmon	Unterstützt auf dem Computer installierte Infrarotgeräte und sucht nach anderen Geräten in Reichweite.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\irmon.dll
+ lanmanserver	Unterstützt Datei-, Drucker- und Named-Piped-Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\srvsvc.dll
+ lanmanworkstation	Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wkssvc.dll
+ LmHosts	Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\lmhsvc.dll
+ MSN RAV	enables microsoft redirection service		c:\windows\system\msnrav.exe
+ PlugPlay	Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\services.exe
+ PolicyAgent	Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\lsass.exe
+ ProtectedStorage	Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\lsass.exe
+ RpcSs	Endpunktzuordnung und andere verschiedene RPC-Dienste.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rpcss.dll
+ SamSs	Speichert Sicherheitsinformationen für lokale Benutzerkonten.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\lsass.exe
+ Schedule	Ermöglicht einem Benutzer, automatische Vorgänge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorgänge nicht zu den geplanten Zeiten ausgeführt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\schedsvc.dll
+ sdAuxService	Provides auxiliary Spyware Doctor services. If this service is disabled spyware protection will be reduced.	(Verified) PC Tools	c:\programme\spyware doctor\svcntaux.exe
+ sdCoreService	Provides spyware and malware protection for the system. If this service is disabled spyware protection will be disabled.	(Verified) PC Tools	c:\programme\spyware doctor\swdsvc.exe
+ seclogon	Ermöglicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\seclogon.dll
+ SENS	Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse.  Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\sens.dll
+ ShellHWDetection	Windows-Shelldienste-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shsvcs.dll
+ Spooler	Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\spoolsv.exe
+ srservice	Führt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\srsvc.dll
+ Themes	Stellt die Designverwaltung zur Verfügung.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shsvcs.dll
+ TrkWks	Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdomäne aufrecht.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\trkwks.dll
+ uploadmgr	Verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern im Netzwerk. Synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern werden nicht ausgeführt, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\pchealth\helpctr\binaries\pchsvc.dll
+ W32Time	Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\w32time.dll
+ WebClient	Ermöglicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\webclnt.dll
+ winmgmt	Bietet eine standardmäßige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen über das Betriebssystem, Geräte, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgemäß ausgeführt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wbem\wmisvc.dll
+ WmdmPmSp	Ermittelt die Seriennummer aller tragbaren Musikabspielgeräte, die an den Computer angeschlossen sind.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mspmspsv.dll
+ wuauserv	Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wuauserv.dll
+ WZCSVC	Bietet automatische Konfiguration für 802.11-Adapter.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wzcsvc.dll
HKLM\System\CurrentControlSet\Services			
+ ACPI	ACPI-Treiber für NT	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\acpi.sys
+ ACPIEC	ACPI Embedded Controllertreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\acpiec.sys
+ aec	Microsoft Acoustic Echo Canceller	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\aec.sys
+ AFD	Ancillary Function Driver for WinSock	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\afd.sys
+ AsyncMac	Asynchroner RAS -Medientreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\asyncmac.sys
+ atapi	IDE/ATAPI Port Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\atapi.sys
+ Atmarpc	Protokoll für ATM ARP-Client	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\atmarpc.sys
+ audstub	AudStub Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\audstub.sys
+ avgntdd	Avira AntiVir File Filter Driver	(Verified) Avira GmbH	c:\windows\system32\drivers\avgntdd.sys
+ avgntmgr	Avira Antivir File Filter Driver Manager	(Verified) Avira GmbH	c:\windows\system32\drivers\avgntmgr.sys
+ avipbb	Avira's Driver for RootKit Detection	(Verified) Avira GmbH	c:\windows\system32\drivers\avipbb.sys
+ Beep	BEEP Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\beep.sys
+ Cdaudio	CD-ROM Audio Filter Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\cdaudio.sys
+ Cdrom	SCSI CD-ROM Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\cdrom.sys
+ Changer			File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ CmBatt	Control Method Battery Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\cmbatt.sys
+ Compbatt	Composite Battery Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\compbatt.sys
+ Disk	PnP Disk Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\disk.sys
+ DMusic	Microsoft Kernel DLS Synthesizer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\dmusic.sys
+ drmkaud	Microsoft Kernel DRM Audio Descrambler Filter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\drmkaud.sys
+ Fdc	Floppy Disk Controller Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\fdc.sys
+ Fips	FIPS-Verschlüsselungstreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\fips.sys
+ Flpydisk	Floppy Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\flpydisk.sys
+ Ftdisk	FT-Datenträgertreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ftdisk.sys
+ Gpc	Standardpaketklassifizierung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\msgpc.sys
+ HidUsb	USB Miniport Driver for Input Devices	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\hidusb.sys
+ i2omgmt			File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ i8042prt	i8042-Anschlusstreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\i8042prt.sys
+ Imapi	IMAPI Kernel Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\imapi.sys
+ IpFilterDriver	Filtertreiber für IP-Verkehr	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ipfltdrv.sys
+ IpInIp	IP/IP-Tunneltreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ipinip.sys
+ IpNat	Übersetzer für IP-Netzwerkadressen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ipnat.sys
+ IPSec	IPSEC-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ipsec.sys
+ irda	IrDA-Protokoll	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\irda.sys
+ IRENUM	Infra-Red Bus Enumerator	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\irenum.sys
+ isapnp	PNP-ISA-Bustreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\isapnp.sys
+ Kbdclass	Tastaturklassentreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\kbdclass.sys
+ kcp			File not found: C:\WINDOWS\system32\drivers\kcp.sys
+ kmixer	Kernel Mode Audio Mixer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\kmixer.sys
+ KSecDD	Kernel Security Support Provider Interface	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ksecdd.sys
+ lbrtfdc			File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ mnmdd	Frame buffer simulator	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mnmdd.sys
+ Modem	Modemgerätetreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\modem.sys
+ Mouclass	Mausklassentreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mouclass.sys
+ mouhid	HID-Mausfiltertreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mouhid.sys
+ MountMgr	Mount Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mountmgr.sys
+ MRxDAV	Redirector für WebDav-Client	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mrxdav.sys
+ MRxSmb	MRXSMB	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mrxsmb.sys
+ Msfs	Mailslot driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\msfs.sys
+ MSKSSRV	MS KS Server	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mskssrv.sys
+ MSPCLOCK	MS Proxy Clock	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mspclock.sys
+ MSPQM	MS Proxy Quality Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mspqm.sys
+ Mup	Multiple UNC Provider driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\mup.sys
+ NDIS	NDIS 5.1 wrapper driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ndis.sys
+ NdisTapi	RAS-NDIS-TAPI-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ndistapi.sys
+ Ndisuio	NDIS-Benutzermodus-E/A-Protokoll	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ndisuio.sys
+ NdisWan	RAS-NDIS-WAN-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ndiswan.sys
+ NDProxy	NDIS Proxy	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ndproxy.sys
+ NetBIOS	NetBIOS-Schnittstelle	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\netbios.sys
+ NetBT	NetBios über TCP/IP	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\netbt.sys
+ Npfs	NPFS Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\npfs.sys
+ NSCIRDA	NSC Fast Infrared Driver.	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\nscirda.sys
+ Null	NULL Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\null.sys
+ NwlnkFlt	Filtertreiber für IPX-Verkehr	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\nwlnkflt.sys
+ NwlnkFwd	Treiber für IPX-Verkehrsweiterleitung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\nwlnkfwd.sys
+ P3	Prozessorgerätetreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\p3.sys
+ Parport	Treiber für parallelen Anschluss	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\parport.sys
+ PartMgr	Partition Manager	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\partmgr.sys
+ ParVdm	VDM-Paralleltreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\parvdm.sys
+ PCI	NT-Plug & Play PCI-Enumerator	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\pci.sys
+ PCIDump			File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PCIIde	Allgemeiner PCI IDE Bustreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\pciide.sys
+ Pcmcia	PCMCIA-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\pcmcia.sys
+ PDCOMP			File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME			File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDNMp50	PCAUSA NDIS 5.0 MPR Protocol Driver	(Verified) PRINTING COMMUNICATIONS ASSOC., INC.	c:\windows\system32\drivers\pdnmp50.sys
+ PDNSp50	PCAUSA NDIS 5.0 SPR Protocol Driver	(Verified) PRINTING COMMUNICATIONS ASSOC., INC.	c:\windows\system32\drivers\pdnsp50.sys
+ PDRELI			File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME			File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ PptpMiniport	WAN-Miniport (PPTP)	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\raspptp.sys
+ PSched	QoS-Paketplaner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\psched.sys
+ Ptilink	Treiber für direkte Parallelverbindung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ptilink.sys
+ RasAcd	Treiber für automatische RAS-Verbindung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rasacd.sys
+ Rasirda	WAN-Miniport (IrDA)	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rasirda.sys
+ Rasl2tp	WAN-Miniport (L2TP)	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rasl2tp.sys
+ RasPppoe	Remotezugriff-PPPOE-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\raspppoe.sys
+ Raspti	Parallelanschluss (direkt)	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\raspti.sys
+ Rdbss	Rdbss	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rdbss.sys
+ RDPCDD	RDP Miniport	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rdpcdd.sys
+ RDPWD	RDP Terminal Stack Driver (US/Canada Only, Not for Export)	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\rdpwd.sys
+ redbook	Redbook-Audiofiltertreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\redbook.sys
+ Secdrv	SafeDisc driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\secdrv.sys
+ serenum	Serial Port Enumerator	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\serenum.sys
+ Serial	Treiber für serielle Geräte	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\serial.sys
+ Sfloppy	SCSI Floppy Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sfloppy.sys
+ SiS300i	SiS 300/305/630/540/730 Super VGA Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sis300ip.sys
+ SiS7018	SiS 7018 Audio Device WDM Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\ac97sis.sys
+ sisagp	SiS NT AGP Filter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sisagp.sys
+ SISNIC	SiS PCI Fast Ethernet Adapter Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sisnic.sys
+ splitter	Microsoft Kernel Audio Splitter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\splitter.sys
+ sr	Dateisystemfilter-Treiber der Systemwiederherstellung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sr.sys
+ Srv	Srv	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\srv.sys
+ ssmdrv	Avira Snapshot Driver	(Verified) Avira GmbH	c:\windows\system32\drivers\ssmdrv.sys
+ swenum	Plug and Play Software Device Enumerator	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\swenum.sys
+ swmidi	Microsoft GS Wavetable Synthesizer	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\swmidi.sys
+ sysaudio	System Audio WDM Filter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\sysaudio.sys
+ Tcpip	TCP/IP-Protokolltreiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\tcpip.sys
+ TDPIPE	Named Pipe Transport Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\tdpipe.sys
+ TDTCP	TCP Transport Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\tdtcp.sys
+ TermDD	Terminal Server Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\termdd.sys
+ Update	Update Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\update.sys
+ usbhub	Default Hub Driver for USB	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\usbhub.sys
+ usbohci	OHCI USB Miniport Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\usbohci.sys
+ USBSTOR	USB Mass Storage Class Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\usbstor.sys
+ VgaSave	VGA/Super VGA Video Driver	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\vga.sys
+ VolSnap	Volumeschattenkopie-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\volsnap.sys
+ Wanarp	RAS-IP-ARP-Treiber	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\wanarp.sys
+ WDICA			File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
+ wdmaud	MMSYSTEM Wave/Midi API mapper	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drivers\wdmaud.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute			
+ autocheck autochk *	Automatisches Prüfprogramm	(Not verified) Microsoft Corporation	c:\windows\system32\autochk.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute			
HKLM\System\CurrentControlSet\Control\Session Manager\Execute			
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options			
+ Your Image File Name Here without a path	Symbolic Debugger for Windows 2000	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ntsd.exe
HKLM\Software\Microsoft\Command Processor\Autorun			
HKCU\Software\Microsoft\Command Processor\Autorun			
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls			
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls			
+ advapi32	Erweitertes Windows 32 Base-API	(Not verified) Microsoft Corporation	c:\windows\system32\advapi32.dll
+ comdlg32	DLL für gemeinsame Dialoge	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\comdlg32.dll
+ gdi32	GDI Client DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\gdi32.dll
+ imagehlp	Windows NT Image Helper	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\imagehlp.dll
+ kernel32	Client-DLL für Windows NT-Basis-API	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\kernel32.dll
+ lz32	LZ Expand/Compress API DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\lz32.dll
+ ole32	Microsoft OLE für Windows	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ole32.dll
+ oleaut32	Microsoft OLE 3.50  for Windows NT(TM) and Windows 95(TM) Operating Systems	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\oleaut32.dll
+ olecli32	OLE-Clientbibliothek	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\olecli32.dll
+ olecnv32	Microsoft OLE for Windows	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\olecnv32.dll
+ olesvr32	Object Linking and Embedding Server Library	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\olesvr32.dll
+ olethk32	Microsoft OLE for Windows	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\olethk32.dll
+ rpcrt4	Remote Procedure Call Runtime	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rpcrt4.dll
+ shell32	Allgemeine Windows-Shell-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\shell32.dll
+ url	Shell-Erweiterungs-DLL für Internetverknüpfung	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\url.dll
+ urlmon	OLE32-Erweiterung für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\urlmon.dll
+ user32	Client-DLL für Windows XP USER-API	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\user32.dll
+ version	Version Checking and File Installation Libraries	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\version.dll
+ wininet	Interneterweiterungen für Win32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wininet.dll
+ wldap32	Win32 LDAP-API-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wldap32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost			
+ logonui.exe	Windows-Anmeldebenutzeroberfläche	(Not verified) Microsoft Corporation	c:\windows\system32\logonui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify			
+ crypt32chain	Krypto-API32	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\crypt32.dll
+ cryptnet	Crypto Network Related API	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cryptnet.dll
+ cscdll	Offlinenetzwerk-Agent	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cscdll.dll
+ ScCertProp	Common DLL to receive Winlogon notifications	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wlnotify.dll
+ Schedule	Common DLL to receive Winlogon notifications	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wlnotify.dll
+ sclgntfy	Benachrichtigungs-DLL für sekundären Anmeldedienst	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\sclgntfy.dll
+ SensLogn	Common DLL to receive Winlogon notifications	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wlnotify.dll
+ termsrv	Common DLL to receive Winlogon notifications	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wlnotify.dll
+ wlballoon	Common DLL to receive Winlogon notifications	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL			
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman			
HKCU\Control Panel\Desktop\Scrnsave.exe			
+ C:\WINDOWS\System32\logon.scr	Anmeldebildschirmschoner	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\logon.scr
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName			
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9			
+ MSAFD Irda [IrDA]	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{1A52DD90-6954-45B5-BC9D-49D977566E5E}] DATAGRAM 4	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{1A52DD90-6954-45B5-BC9D-49D977566E5E}] SEQPACKET 4	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{57F34F1B-8A87-455A-90AB-214ABB39B766}] DATAGRAM 3	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{57F34F1B-8A87-455A-90AB-214ABB39B766}] SEQPACKET 3	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{80C70E17-7D81-4AE2-B24C-53A17E1352D1}] DATAGRAM 0	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{80C70E17-7D81-4AE2-B24C-53A17E1352D1}] SEQPACKET 0	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{AD9097ED-89F6-4880-AC77-87A2BA61FB0C}] DATAGRAM 2	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{AD9097ED-89F6-4880-AC77-87A2BA61FB0C}] SEQPACKET 2	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{E9D1A6D3-A7EA-4F1D-9919-784EADDB4131}] DATAGRAM 1	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD NetBIOS [\Device\NetBT_Tcpip_{E9D1A6D3-A7EA-4F1D-9919-784EADDB4131}] SEQPACKET 1	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [RAW/IP]	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [TCP/IP]	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ MSAFD Tcpip [UDP/IP]	Microsoft Windows Sockets 2.0-Dienstanbieter	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\mswsock.dll
+ RSVP TCP Service Provider	Microsoft Windows Rsvp 1.0 Service Provider	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rsvpsp.dll
+ RSVP UDP Service Provider	Microsoft Windows Rsvp 1.0 Service Provider	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\rsvpsp.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors			
+ BJ Language Monitor	Sprachüberwachung für Canon Bubble-Jet-Drucker	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\cnbjmon.dll
+ Local Port	Lokale Spooler-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\localspl.dll
+ PJL Language Monitor	PJL Language monitor	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\pjlmon.dll
+ Standard TCP/IP Port	Standard-TCP/IP-Portmonitor-DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\tcpmon.dll
+ USB Monitor	Standard Dynamic Printing Port Monitor DLL	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\usbmon.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders			
+ digest.dll	Digest SSPI Authentication Package	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\digest.dll
+ msapsspc.dll	DPA-Client für 32-Bit Plattformen	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msapsspc.dll
+ msnsspc.dll	MSN Client for 32 bit platforms	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msnsspc.dll
+ schannel.dll	TLS / SSL Security Provider	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\schannel.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages			
+ msv1_0	Microsoft Authentication Package v1.0	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msv1_0.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages			
+ scecli	Clientmodul für Windows-Sicherheitskonfigurations-Editor	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\scecli.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages			
+ kerberos	Kerberos Security Package	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\kerberos.dll
+ msv1_0	Microsoft Authentication Package v1.0	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\msv1_0.dll
+ schannel	TLS / SSL Security Provider	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\schannel.dll
+ wdigest	Microsoft Digest Access	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\wdigest.dll
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order			
+ LanmanWorkstation	Microsoft Windows-Netzwerk	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\ntlanman.dll
+ RDPNP	Microsoft-Terminaldienste	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\drprov.dll
+ WebClient	Web Client Network	(Verified) Microsoft Windows XP Publisher	c:\windows\system32\davclnt.dll

Filelist:

Code:

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\

21.10.2007  10:35       259.575.808 hiberfil.sys
21.10.2007  10:35       390.070.272 pagefile.sys
19.10.2007  21:08                 0 CONFIG.SYS
19.10.2007  21:08                 0 IO.SYS
19.10.2007  21:08                 0 MSDOS.SYS
19.10.2007  21:08                 0 AUTOEXEC.BAT
19.10.2007  20:58               194 boot.ini
18.08.2001  14:00           224.032 ntldr
18.08.2001  14:00            45.124 NTDETECT.COM
18.08.2001  14:00             4.952 bootfont.bin
              10 Datei(en)    649.920.382 Bytes
               0 Verzeichnis(se),  8.370.495.488 Bytes frei
 
----- System32 ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\WINDOWS\system32

21.10.2007  07:12            13.016 wpa.dbl
19.10.2007  22:39           438.272 winlogon.exe
19.10.2007  22:33            54.262 xpdx.sys
19.10.2007  22:33            53.248 mstscex.dll
19.10.2007  22:33            53.248 oleauth32.dll
19.10.2007  22:27               119 ckovhn.bat
19.10.2007  22:23                61 i
19.10.2007  22:22            13.016 wpa.bak
19.10.2007  22:17           109.400 FNTCACHE.DAT
19.10.2007  22:14           311.938 perfh009.dat
19.10.2007  22:14            40.326 perfc009.dat
19.10.2007  22:14           317.168 perfh007.dat
19.10.2007  22:14            48.552 perfc007.dat
19.10.2007  22:14           723.744 PerfStringBackup.INI
19.10.2007  21:58                 0 h323log.txt
19.10.2007  21:15            25.065 wmpscheme.xml
19.10.2007  21:12               261 $winnt$.inf
19.10.2007  21:08             2.951 CONFIG.NT
19.10.2007  21:08            16.832 amcompat.tlb
19.10.2007  21:08            23.392 nscompat.tlb
19.10.2007  21:06               488 logonui.exe.manifest
19.10.2007  21:06               488 WindowsLogon.manifest
19.10.2007  21:05               749 sapi.cpl.manifest
19.10.2007  21:05               749 nwc.cpl.manifest
19.10.2007  21:05               749 cdplayer.exe.manifest
19.10.2007  21:05               749 ncpa.cpl.manifest
19.10.2007  21:05               749 wuaucpl.cpl.manifest
19.10.2007  21:03            21.740 emptyregdb.dat

            1670 Datei(en)    258.316.121 Bytes
               0 Verzeichnis(se),  8.370.364.416 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\WINDOWS\Prefetch

21.10.2007  11:14             7.078 FIND.EXE-0EC32F1E.pf
21.10.2007  11:14             8.372 CMD.EXE-087B4001.pf
21.10.2007  11:14            20.456 EXPLORER.EXE-082F38A9.pf
21.10.2007  11:03            43.448 UPDATE.EXE-0C3CBDEF.pf
21.10.2007  10:55            14.050 AUTORUNS.EXE-37897CF2.pf
21.10.2007  10:50            16.216 NOTEPAD.EXE-336351A9.pf
21.10.2007  10:40             9.946 SERVICES.EXE-2F433351.pf
21.10.2007  10:40            18.812 GUARDGUI.EXE-3AFB6D88.pf
21.10.2007  10:39           116.258 FIREFOX.EXE-1D57670A.pf
21.10.2007  10:39            33.258 ALICECNN.EXE-03E02840.pf
21.10.2007  10:37            47.236 SWDOCTOR.EXE-13B584DD.pf
21.10.2007  10:36            16.584 SVCNTAUX.EXE-2857762E.pf
21.10.2007  10:36            28.050 MSNRAV.EXE-2B156CBE.pf
21.10.2007  10:36            24.334 SCHED.EXE-0664954F.pf
21.10.2007  10:36            39.586 SDTRAYAPP.EXE-1A2007EF.pf
21.10.2007  10:36            45.240 SWDSVC.EXE-178874E9.pf
21.10.2007  10:36           559.608 NTOSBOOT-B00DFAAD.pf
21.10.2007  10:22             9.872 RUNDLL32.EXE-451FC2C0.pf
21.10.2007  10:19            59.346 LOGON.SCR-151EFAEA.pf
21.10.2007  10:09            35.492 WMIPRVSE.EXE-28F301A9.pf
21.10.2007  10:09            19.014 HIJACKTHIS.EXE-39024128.pf
21.10.2007  10:07             9.884 RUNDLL32.EXE-4145C529.pf
21.10.2007  09:46            11.344 RUNDLL32.EXE-3C842E4A.pf
21.10.2007  09:44            23.216 HJTINSTALL.EXE-04E71A09.pf
21.10.2007  09:42            18.572 LOGONUI.EXE-0AF22957.pf
21.10.2007  08:37            54.084 AVSCAN.EXE-0D0CD933.pf
21.10.2007  08:22            34.488 DFRGNTFS.EXE-269967DF.pf
21.10.2007  08:22            12.738 DEFRAG.EXE-273F131E.pf
21.10.2007  08:21           198.420 Layout.ini
21.10.2007  08:21            26.598 HELPSVC.EXE-2878DDA2.pf
21.10.2007  07:17            60.716 AVCENTER.EXE-324B1681.pf
21.10.2007  07:15            50.832 REGSVR32.EXE-25EEFE2F.pf
21.10.2007  07:15            53.952 AVGNT.EXE-18356F59.pf
21.10.2007  07:15            38.508 UPDATE.EXE-3A80F1D2.pf
21.10.2007  07:15            16.528 PREUPD.EXE-18CBCD87.pf
20.10.2007  07:03            20.748 SPIDER.EXE-2D998CA6.pf
20.10.2007  06:49            17.290 WMIADAP.EXE-2DF425B2.pf
19.10.2007  23:03            24.548 SETUP.EXE-0CCA7765.pf
19.10.2007  23:03            10.134 RUNDLL32.EXE-2CBA7525.pf
19.10.2007  23:03            12.928 RUNONCE.EXE-2803F297.pf
19.10.2007  23:03            10.078 GRPCONV.EXE-111CD845.pf
19.10.2007  23:03            14.658 RUNDLL32.EXE-26C2C861.pf
19.10.2007  23:02            33.588 ANTIVIR_WORKSTATION_WIN7U_DE_-07F54AAF.pf
19.10.2007  22:42            14.008 RUNDLL32.EXE-1E219C16.pf
19.10.2007  22:41            19.048 TASKMGR.EXE-20256C55.pf
19.10.2007  22:38            19.848 RUNDLL32.EXE-26DA8C9B.pf
19.10.2007  22:35            45.050 SVCHOST.EXE-3530F672.pf
19.10.2007  22:33             7.048 NHKE.EXE-0CFCB36C.pf
19.10.2007  22:33             8.192 RUNDLL32.EXE-397A29BF.pf
19.10.2007  22:33             6.490 D.EXE-368DD12E.pf
19.10.2007  22:33             6.536 PWCBRL.EXE-2A66F171.pf
19.10.2007  22:33            10.538 TWHJCCTB.EXE-1929EA51.pf
19.10.2007  22:33             6.742 JBYONOXJ.EXE-337B8757.pf
19.10.2007  22:33             6.752 CCDEMO1.EXE-15190F64.pf
19.10.2007  22:32            18.786 SETUP.EXE-21C5CE73.pf
19.10.2007  22:31            40.800 FIREFOX SETUP 2.0.0.8.EXE-1DAD8778.pf
19.10.2007  22:24             5.320 EWSHQ.EXE-3573A314.pf
19.10.2007  22:23            30.262 FU1.EXE-1B7C1D40.pf
19.10.2007  22:23            42.638 IEXPLORE.EXE-2CA9778D.pf
19.10.2007  22:23             9.200 FTP.EXE-0FFFB5A3.pf
19.10.2007  22:23             6.472 LOGON.EXE-1390C8C6.pf
19.10.2007  22:22             6.466 ACKYPZJK.EXE-01C122FB.pf
19.10.2007  22:21            59.790 MSOOBE.EXE-30411B02.pf
19.10.2007  22:20            14.982 RUNDLL32.EXE-2AD791B1.pf
19.10.2007  22:19            11.218 WPABALN.EXE-18F87702.pf
19.10.2007  22:18            12.734 TOURSTART.EXE-0D0140ED.pf
19.10.2007  22:18            16.558 DRWTSN32.EXE-2B4B52AC.pf
19.10.2007  22:14            25.244 WINWORD.EXE-259486DA.pf
19.10.2007  22:10            14.346 ALICECNF.EXE-26487E86.pf
19.10.2007  22:03            42.330 UPDATE.EXE-24AA3D8B.pf
19.10.2007  21:58            57.164 XPSP2GER.EXE-26C88857.pf
19.10.2007  21:58             7.122 STARTSP.EXE-0234B07D.pf
19.10.2007  21:58            32.336 ISW.EXE-125E425A.pf
19.10.2007  21:57            14.110 INSTALL.EXE-32BAFA5B.pf
19.10.2007  21:57            10.272 ALICE.EXE-1620700A.pf
19.10.2007  21:57            13.708 INTRO.IWR-05896631.pf
19.10.2007  21:57             7.422 START.EXE-11ECEFD7.pf
19.10.2007  21:57            10.140 IMAPI.EXE-0BF740A4.pf
19.10.2007  21:55             7.776 MSOHTMED.EXE-0E2EC10C.pf
19.10.2007  21:55            38.906 MSIEXEC.EXE-2F8A8CAE.pf
19.10.2007  21:55             7.858 FIXMAPI.EXE-29A9C4AF.pf
19.10.2007  21:49            19.274 SETUP.EXE-17753866.pf
19.10.2007  21:48            11.582 RUNDLL32.EXE-3206E4E1.pf
19.10.2007  21:17            37.902 IS-FV4V9.TMP-00CCAE1F.pf
19.10.2007  21:17            19.466 SDSETUP.EXE-045F63B6.pf
19.10.2007  21:15             8.352 MSMSGS.EXE-32066BA5.pf
19.10.2007  21:15             7.906 CTFMON.EXE-0E17969B.pf
19.10.2007  21:15             7.594 RUNDLL32.EXE-271001B4.pf
19.10.2007  21:15             6.742 MSTINIT.EXE-39813B24.pf
19.10.2007  21:15            18.662 RUNDLL32.EXE-33D7466C.pf
19.10.2007  21:15            20.740 RUNDLL32.EXE-137CCEC6.pf
19.10.2007  21:15            38.070 SETUP50.EXE-0CDEF78F.pf
19.10.2007  21:15            40.194 RUNDLL32.EXE-19076CE2.pf
19.10.2007  21:15            22.242 UNREGMP2.EXE-07CACB61.pf
19.10.2007  21:15            27.766 RUNDLL32.EXE-18E3301D.pf
19.10.2007  21:15            10.338 RUNDLL32.EXE-304A2AEA.pf
19.10.2007  21:15             6.598 USERINIT.EXE-30B18140.pf
19.10.2007  21:15            29.682 IE4UINIT.EXE-169A5A39.pf
19.10.2007  21:15            10.456 RUNDLL32.EXE-2F982821.pf
19.10.2007  21:14             6.916 AGENTSVR.EXE-002E45AB.pf
19.10.2007  21:13             3.742 LSASS.EXE-20DB6D1B.pf
             101 Datei(en)      2.994.544 Bytes
               0 Verzeichnis(se),  8.370.405.376 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\WINDOWS

21.10.2007  10:35                 0 0.log
21.10.2007  10:35             2.048 bootstat.dat
21.10.2007  09:46           190.025 setupapi.log
20.10.2007  07:43             3.616 SchedLgU.Txt
19.10.2007  22:32                 0 nsreg.dat
19.10.2007  22:22           742.379 setuplog.txt
19.10.2007  22:16               792 wiadebug.log
19.10.2007  22:14                50 wiaservc.log
19.10.2007  22:06             2.497 svcpack.log
19.10.2007  22:04             9.173 awprotoc.txt
19.10.2007  21:58                61 awerror.txt
19.10.2007  21:58             1.019 netcfg.log
19.10.2007  21:58               111 telephon.ini
19.10.2007  21:57             1.920 regopt.log
19.10.2007  21:55               400 ODBC.INI
19.10.2007  21:55                 0 Sti_Trace.log
19.10.2007  21:55               600 win.ini
19.10.2007  21:51               231 system.ini
19.10.2007  21:50                 0 setuperr.log
19.10.2007  21:15               820 OEWABLog.txt
19.10.2007  21:13             8.192 REGLOCS.OLD
19.10.2007  21:12               700 iis6.log
19.10.2007  21:12            15.442 comsetup.log
19.10.2007  21:12             7.651 ntdtcsetup.log
19.10.2007  21:12             8.315 tsoc.log
19.10.2007  21:12             4.438 imsins.log
19.10.2007  21:12           170.643 setupact.log
19.10.2007  21:08                 0 control.ini
19.10.2007  21:08           299.552 WMSysPrx.prx
19.10.2007  21:07             4.161 ODBCINST.INI
19.10.2007  21:07               240 Windows Update.log
19.10.2007  21:05               749 WindowsShell.Manifest
19.10.2007  21:03            12.817 ocgen.log
19.10.2007  21:03             1.065 ocmsn.log
19.10.2007  21:03               821 msgsocm.log
19.10.2007  21:03            11.537 FaxSetup.log
19.10.2007  21:03                36 vb.ini
19.10.2007  21:03                37 vbaddin.ini
19.10.2007  21:02               128 DtcInstall.log
19.10.2007  21:02             1.060 sessmgr.setup.log
07.02.2007  22:05            17.264 suecmdial.dll

              74 Datei(en)      5.188.018 Bytes
               0 Verzeichnis(se),  8.370.401.280 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\WINDOWS\tasks

21.10.2007  10:35                 6 SA.DAT
18.08.2001  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),  8.370.401.280 Bytes frei
 
----- Wintemp -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\WINDOWS\temp

19.10.2007  22:34           131.072 8AF12AB59DCE7145.tmp
19.10.2007  22:34           131.072 7CF28762C38CA0D4.tmp
19.10.2007  22:34            70.007 AE8AB41F91F72503.tmp
19.10.2007  22:34           131.072 302DCAF35670F42D.tmp
19.10.2007  22:32            16.384 Perflib_Perfdata_6c8.dat
19.10.2007  22:21            16.384 Perflib_Perfdata_90.dat
               6 Datei(en)        495.991 Bytes
               0 Verzeichnis(se),  8.370.401.280 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: F40D-3D46

 Verzeichnis von C:\DOKUME~1\Andi\LOKALE~1\Temp

21.10.2007  11:14            93.609 filelist.txt
19.10.2007  22:33           438.272 0wl.tmp
19.10.2007  21:58            94.127 setup323.log
19.10.2007  21:56             3.279 Office XP Professional mit FrontPage Setup(0001).txt
19.10.2007  21:56         7.016.878 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
19.10.2007  21:49            45.572 offcln10.log
19.10.2007  21:18            55.526 Setup Log 2007-10-19 #001.txt
               7 Datei(en)      7.747.263 Bytes
               0 Verzeichnis(se),  8.370.397.184 Bytes frei

GMER:

Code:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-10-21 11:38:34
Windows 5.1.2600 


---- System - GMER 1.0.13 ----

SSDT            \??\C:\WINDOWS\System32\xpdx.sys                                                                       ZwCreateKey
SSDT            F9B647AC                                                                                               ZwCreateThread
SSDT            \??\C:\WINDOWS\System32\xpdx.sys                                                                       ZwOpenKey
SSDT            F9B64798                                                                                               ZwOpenProcess
SSDT            F9B6479D                                                                                               ZwOpenThread
SSDT            F9B647A7                                                                                               ZwTerminateProcess
SSDT            F9B647A2                                                                                               ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.13 ----

.text           ntoskrnl.exe!KeInitializeInterrupt + B79                                                               804D4F8E 1 Byte  [ 06 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0                                                       804FC6C8 4 Bytes  [ 85, 9A, 74, F9 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0                                                       804FC6F8 4 Bytes  [ AC, 47, B6, F9 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 2E8                                                       804FC800 4 Bytes  [ 39, 9B, 74, F9 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 2F4                                                       804FC80C 4 Bytes  [ 98, 47, B6, F9 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 30C                                                       804FC824 4 Bytes  [ 9D, 47, B6, F9 ]
.text           ...                                                                                                    
?               C:\WINDOWS\System32\xpdx.sys                                                                           Das System kann die angegebene Datei nicht finden.
?               C:\WINDOWS\System32\Drivers\mchInjDrv.sys                                                              Das System kann die angegebene Datei nicht finden.

---- User code sections - GMER 1.0.13 ----

.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtClose                                                   77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtClose + 4                                               77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateFile                                              77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateFile + 2                                          77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateFile + 4                                          77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateKey                                               77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateKey + 4                                           77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateSection                                           77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtCreateSection + 4                                       77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtDeleteKey                                               77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtDeleteKey + 4                                           77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtDeleteValueKey                                          77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtDeleteValueKey + 4                                      77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtSetInformationFile                                      77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtSetInformationFile + 4                                  77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtSetValueKey                                             77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtSetValueKey + 4                                         77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtTerminateProcess                                        77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtTerminateProcess + 4                                    77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteFile                                               77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteFile + 4                                           77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteFileGather                                         77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteFileGather + 4                                     77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteVirtualMemory                                      77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\csrss.exe[492] ntdll.dll!NtWriteVirtualMemory + 4                                  77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system32\csrss.exe[492] USER32.dll!SetWindowsHookExW                                        77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system32\csrss.exe[492] USER32.dll!SetWindowsHookExA                                        77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\system32\csrss.exe[492] KERNEL32.dll!LoadLibraryExW                                         77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtClose                                                77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtClose + 4                                            77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateFile                                           77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateFile + 2                                       77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateFile + 4                                       77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateKey                                            77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateKey + 4                                        77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateSection                                        77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtCreateSection + 4                                    77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtDeleteKey                                            77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtDeleteKey + 4                                        77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtDeleteValueKey                                       77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtDeleteValueKey + 4                                   77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtSetInformationFile                                   77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtSetInformationFile + 4                               77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtSetValueKey                                          77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtSetValueKey + 4                                      77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtTerminateProcess                                     77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtTerminateProcess + 4                                 77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteFile                                            77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteFile + 4                                        77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteFileGather                                      77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteFileGather + 4                                  77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteVirtualMemory                                   77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\winlogon.exe[516] ntdll.dll!NtWriteVirtualMemory + 4                               77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system32\winlogon.exe[516] kernel32.dll!LoadLibraryExW                                      77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\winlogon.exe[516] USER32.dll!SetWindowsHookExW                                     77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system32\winlogon.exe[516] USER32.dll!SetWindowsHookExA                                     77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtClose                                                77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtClose + 4                                            77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateFile                                           77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateFile + 2                                       77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateFile + 4                                       77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateKey                                            77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateKey + 4                                        77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateSection                                        77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateSection + 4                                    77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtDeleteKey                                            77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtDeleteKey + 4                                        77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtDeleteValueKey                                       77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtDeleteValueKey + 4                                   77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtSetInformationFile                                   77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtSetInformationFile + 4                               77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtSetValueKey                                          77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtSetValueKey + 4                                      77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtTerminateProcess                                     77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtTerminateProcess + 4                                 77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteFile                                            77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteFile + 4                                        77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteFileGather                                      77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteFileGather + 4                                  77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteVirtualMemory                                   77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtWriteVirtualMemory + 4                               77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system32\services.exe[564] kernel32.dll!LoadLibraryExW                                      77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\services.exe[564] USER32.dll!SetWindowsHookExW                                     77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system32\services.exe[564] USER32.dll!SetWindowsHookExA                                     77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtClose                                                   77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtClose + 4                                               77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateFile                                              77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateFile + 2                                          77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateFile + 4                                          77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateKey                                               77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateKey + 4                                           77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateSection                                           77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateSection + 4                                       77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtDeleteKey                                               77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtDeleteKey + 4                                           77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtDeleteValueKey                                          77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtDeleteValueKey + 4                                      77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtSetInformationFile                                      77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtSetInformationFile + 4                                  77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtSetValueKey                                             77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtSetValueKey + 4                                         77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtTerminateProcess                                        77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtTerminateProcess + 4                                    77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteFile                                               77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteFile + 4                                           77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteFileGather                                         77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteFileGather + 4                                     77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteVirtualMemory                                      77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtWriteVirtualMemory + 4                                  77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system32\lsass.exe[576] kernel32.dll!LoadLibraryExW                                         77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\lsass.exe[576] USER32.dll!SetWindowsHookExW                                        77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system32\lsass.exe[576] USER32.dll!SetWindowsHookExA                                        77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\Programme\Spyware Doctor\SDTrayApp.exe[620] kernel32.dll!CreateThread + 18                          77E5AC4F 4 Bytes  [ 65, EC, 5E, 88 ]
.text           C:\Programme\Spyware Doctor\SDTrayApp.exe[620] kernel32.dll!LoadLibraryExW                             77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Spyware Doctor\SDTrayApp.exe[620] USER32.dll!SetWindowsHookExW                            77D189C3 6 Bytes  JMP 5F0A0F5A 
.text           C:\Programme\Spyware Doctor\SDTrayApp.exe[620] USER32.dll!SetWindowsHookExA                            77D18F56 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtClose                                                 77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtClose + 4                                             77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateFile                                            77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateFile + 2                                        77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateFile + 4                                        77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateKey                                             77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateKey + 4                                         77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateSection                                         77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtCreateSection + 4                                     77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtDeleteKey                                             77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtDeleteKey + 4                                         77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtDeleteValueKey                                        77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtDeleteValueKey + 4                                    77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtSetInformationFile                                    77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtSetInformationFile + 4                                77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtSetValueKey                                           77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtSetValueKey + 4                                       77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtTerminateProcess                                      77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtTerminateProcess + 4                                  77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteFile                                             77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteFile + 4                                         77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteFileGather                                       77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteFileGather + 4                                   77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteVirtualMemory                                    77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[804] ntdll.dll!NtWriteVirtualMemory + 4                                77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[804] kernel32.dll!LoadLibraryExW                                       77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\System32\svchost.exe[804] USER32.dll!SetWindowsHookExW                                      77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\System32\svchost.exe[804] USER32.dll!SetWindowsHookExA                                      77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtClose                                                77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtClose + 4                                            77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateFile                                           77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateFile + 2                                       77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateFile + 4                                       77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateKey                                            77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateKey + 4                                        77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateSection                                        77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtCreateSection + 4                                    77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtDeleteKey                                            77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtDeleteKey + 4                                        77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtDeleteValueKey                                       77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtDeleteValueKey + 4                                   77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtSetInformationFile                                   77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtSetInformationFile + 4                               77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtSetValueKey                                          77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtSetValueKey + 4                                      77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtTerminateProcess                                     77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtTerminateProcess + 4                                 77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteFile                                            77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteFile + 4                                        77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteFileGather                                      77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteFileGather + 4                                  77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteVirtualMemory                                   77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\svchost.exe[1060] ntdll.dll!NtWriteVirtualMemory + 4                               77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\System32\svchost.exe[1060] kernel32.dll!LoadLibraryExW                                      77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\System32\svchost.exe[1060] USER32.dll!SetWindowsHookExW                                     77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\System32\svchost.exe[1060] USER32.dll!SetWindowsHookExA                                     77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtClose                                                        77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtClose + 4                                                    77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateFile                                                   77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateFile + 2                                               77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateFile + 4                                               77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateKey                                                    77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateKey + 4                                                77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateSection                                                77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtCreateSection + 4                                            77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtDeleteKey                                                    77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtDeleteKey + 4                                                77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtDeleteValueKey                                               77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtDeleteValueKey + 4                                           77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtSetInformationFile                                           77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtSetInformationFile + 4                                       77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtSetValueKey                                                  77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtSetValueKey + 4                                              77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtTerminateProcess                                             77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtTerminateProcess + 4                                         77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteFile                                                    77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteFile + 4                                                77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteFileGather                                              77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteFileGather + 4                                          77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteVirtualMemory                                           77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\Explorer.EXE[1264] ntdll.dll!NtWriteVirtualMemory + 4                                       77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\Explorer.EXE[1264] kernel32.dll!LoadLibraryExW                                              77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\Explorer.EXE[1264] USER32.dll!SetWindowsHookExW                                             77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\Explorer.EXE[1264] USER32.dll!SetWindowsHookExA                                             77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtClose                                                77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtClose + 4                                            77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateFile                                           77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateFile + 2                                       77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateFile + 4                                       77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateKey                                            77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateKey + 4                                        77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateSection                                        77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtCreateSection + 4                                    77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtDeleteKey                                            77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtDeleteKey + 4                                        77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtDeleteValueKey                                       77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtDeleteValueKey + 4                                   77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtSetInformationFile                                   77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtSetInformationFile + 4                               77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtSetValueKey                                          77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtSetValueKey + 4                                      77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtTerminateProcess                                     77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtTerminateProcess + 4                                 77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteFile                                            77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteFile + 4                                        77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteFileGather                                      77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteFileGather + 4                                  77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteVirtualMemory                                   77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] ntdll.dll!NtWriteVirtualMemory + 4                               77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system32\spoolsv.exe[1352] kernel32.dll!LoadLibraryExW                                      77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\spoolsv.exe[1352] USER32.dll!SetWindowsHookExW                                     77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system32\spoolsv.exe[1352] USER32.dll!SetWindowsHookExA                                     77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtClose                                                  77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtClose + 4                                              77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateFile                                             77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateFile + 2                                         77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateFile + 4                                         77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateKey                                              77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateKey + 4                                          77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateSection                                          77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtCreateSection + 4                                      77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtDeleteKey                                              77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtDeleteKey + 4                                          77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtDeleteValueKey                                         77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtDeleteValueKey + 4                                     77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtSetInformationFile                                     77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtSetInformationFile + 4                                 77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtSetValueKey                                            77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtSetValueKey + 4                                        77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtTerminateProcess                                       77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtTerminateProcess + 4                                   77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteFile                                              77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteFile + 4                                          77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteFileGather                                        77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteFileGather + 4                                    77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteVirtualMemory                                     77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\logon.exe[1512] ntdll.dll!NtWriteVirtualMemory + 4                                 77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\System32\logon.exe[1512] kernel32.dll!LoadLibraryExW                                        77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\System32\logon.exe[1512] USER32.dll!SetWindowsHookExW                                       77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\System32\logon.exe[1512] USER32.dll!SetWindowsHookExA                                       77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtClose                   77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtClose + 4               77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateFile              77F6E603 1 Byte  [ FF ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateFile + 2          77F6E605 1 Byte  [ 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateFile + 4          77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateKey               77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateKey + 4           77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateSection           77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtCreateSection + 4       77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtDeleteKey               77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtDeleteKey + 4           77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtDeleteValueKey          77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtDeleteValueKey + 4      77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtSetInformationFile      77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtSetInformationFile + 4  77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtSetValueKey             77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtSetValueKey + 4         77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtTerminateProcess        77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtTerminateProcess + 4    77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteFile               77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteFile + 4           77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteFileGather         77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteFileGather + 4     77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteVirtualMemory      77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] ntdll.dll!NtWriteVirtualMemory + 4  77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] kernel32.dll!LoadLibraryExW         77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] USER32.dll!SetWindowsHookExW        77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1520] USER32.dll!SetWindowsHookExA        77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtClose                                                 77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtClose + 4                                             77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateFile                                            77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateFile + 2                                        77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateFile + 4                                        77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateKey                                             77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateKey + 4                                         77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateSection                                         77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtCreateSection + 4                                     77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtDeleteKey                                             77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtDeleteKey + 4                                         77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtDeleteValueKey                                        77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtDeleteValueKey + 4                                    77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtSetInformationFile                                    77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtSetInformationFile + 4                                77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtSetValueKey                                           77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtSetValueKey + 4                                       77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtTerminateProcess                                      77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtTerminateProcess + 4                                  77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteFile                                             77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteFile + 4                                         77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteFileGather                                       77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteFileGather + 4                                   77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteVirtualMemory                                    77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] ntdll.dll!NtWriteVirtualMemory + 4                                77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\System32\ctfmon.exe[1528] kernel32.dll!LoadLibraryExW                                       77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\System32\ctfmon.exe[1528] USER32.dll!SetWindowsHookExW                                      77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\System32\ctfmon.exe[1528] USER32.dll!SetWindowsHookExA                                      77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtClose                                              77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtClose + 4                                          77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateFile                                         77F6E603 1 Byte  [ FF ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateFile + 2                                     77F6E605 1 Byte  [ 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateFile + 4                                     77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateKey                                          77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateKey + 4                                      77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateSection                                      77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtCreateSection + 4                                  77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtDeleteKey                                          77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtDeleteKey + 4                                      77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtDeleteValueKey                                     77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtDeleteValueKey + 4                                 77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtSetInformationFile                                 77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtSetInformationFile + 4                             77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtSetValueKey                                        77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtSetValueKey + 4                                    77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtTerminateProcess                                   77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtTerminateProcess + 4                               77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteFile                                          77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteFile + 4                                      77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteFileGather                                    77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteFileGather + 4                                77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteVirtualMemory                                 77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] ntdll.dll!NtWriteVirtualMemory + 4                             77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\Programme\Messenger\msmsgs.exe[1536] kernel32.dll!LoadLibraryExW                                    77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\Programme\Messenger\msmsgs.exe[1536] USER32.dll!SetWindowsHookExW                                   77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\Programme\Messenger\msmsgs.exe[1536] USER32.dll!SetWindowsHookExA                                   77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtClose                                                   77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtClose + 4                                               77F6E547 2 Bytes  [ 29, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateFile                                              77F6E603 1 Byte  [ FF ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateFile + 2                                          77F6E605 1 Byte  [ 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateFile + 4                                          77F6E607 2 Bytes  [ 14, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateKey                                               77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateKey + 4                                           77F6E647 2 Bytes  [ 05, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateSection                                           77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtCreateSection + 4                                       77F6E6D7 2 Bytes  [ 20, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtDeleteKey                                               77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtDeleteKey + 4                                           77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtDeleteValueKey                                          77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtDeleteValueKey + 4                                      77F6E7C7 2 Bytes  [ 11, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtSetInformationFile                                      77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtSetInformationFile + 4                                  77F6F1B7 2 Bytes  [ 1D, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtSetValueKey                                             77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtSetValueKey + 4                                         77F6F327 2 Bytes  [ 0E, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtTerminateProcess                                        77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtTerminateProcess + 4                                    77F6F3C7 2 Bytes  [ 23, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteFile                                               77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteFile + 4                                           77F6F4D7 2 Bytes  [ 17, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteFileGather                                         77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteFileGather + 4                                     77F6F4E7 2 Bytes  [ 1A, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteVirtualMemory                                      77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           C:\WINDOWS\system\msnrav.exe[1928] ntdll.dll!NtWriteVirtualMemory + 4                                  77F6F507 2 Bytes  [ 26, 5F ]
.text           C:\WINDOWS\system\msnrav.exe[1928] kernel32.dll!LoadLibraryExW                                         77E6049B 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system\msnrav.exe[1928] USER32.dll!SetWindowsHookExW                                        77D189C3 6 Bytes  JMP 5F2F0F5A 
.text           C:\WINDOWS\system\msnrav.exe[1928] USER32.dll!SetWindowsHookExA                                        77D18F56 6 Bytes  JMP 5F2B0F5A 
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtClose                                77F6E543 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtClose + 4                            77F6E547 2 Bytes  [ 2B, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateFile                           77F6E603 1 Byte  [ FF ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateFile + 2                       77F6E605 1 Byte  [ 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateFile + 4                       77F6E607 2 Bytes  [ 14, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateKey                            77F6E643 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateKey + 4                        77F6E647 2 Bytes  [ 05, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateSection                        77F6E6D3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtCreateSection + 4                    77F6E6D7 2 Bytes  [ 22, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtDeleteKey                            77F6E7A3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtDeleteKey + 4                        77F6E7A7 2 Bytes  [ 0B, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtDeleteValueKey                       77F6E7C3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtDeleteValueKey + 4                   77F6E7C7 2 Bytes  [ 11, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtSetInformationFile                   77F6F1B3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtSetInformationFile + 4               77F6F1B7 2 Bytes  [ 1F, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtSetValueKey                          77F6F323 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtSetValueKey + 4                      77F6F327 2 Bytes  [ 0E, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtTerminateProcess                     77F6F3C3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtTerminateProcess + 4                 77F6F3C7 2 Bytes  [ 25, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteFile                            77F6F4D3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteFile + 4                        77F6F4D7 2 Bytes  [ 17, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteFileGather                      77F6F4E3 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteFileGather + 4                  77F6F4E7 2 Bytes  [ 1C, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteVirtualMemory                   77F6F503 3 Bytes  [ FF, 25, 1E ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] ntdll.dll!NtWriteVirtualMemory + 4               77F6F507 2 Bytes  [ 28, 5F ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] kernel32.dll!LoadLibraryExW                      77E6049B 6 Bytes  JMP 5F070F5A 
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] kernel32.dll!FreeLibrary + 11                    77E60629 4 Bytes  [ 0F, FA, 89, F9 ]
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] USER32.dll!SetWindowsHookExW                     77D189C3 6 Bytes  JMP 5F310F5A 
.text           D:\Daten_safe\Progs\Spyware-progs\gmer\gmer.exe[2144] USER32.dll!SetWindowsHookExA                     77D18F56 6 Bytes  JMP 5F2D0F5A 

---- Devices - GMER 1.0.13 ----

Device          \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE                                                                   [F974AAE5] xpdx.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE                                                                   [F95895A4] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE                                                        [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE                                                                    [F958C6BE] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_READ                                                                     [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE                                                                    [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION                                                        [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION                                                          [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA                                                                 [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA                                                                   [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS                                                            [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION                                                 [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION                                                   [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL                                                        [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL                                                      [F958CA5A] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL                                                           [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL                                                  [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN                                                                 [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL                                                             [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP                                                                  [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT                                                          [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY                                                           [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY                                                             [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_POWER                                                                    [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL                                                           [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE                                                            [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA                                                              [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA                                                                [F958952C] avgntmgr.sys

Device          \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                                                [F974B9B3] xpdx.sys
Device          \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                                               [F974B9B3] xpdx.sys
Device          \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                                               [F974B9B3] xpdx.sys
Device          \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                                             [F974B9B3] xpdx.sys
Device          \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL                                       [F974B9B3] xpdx.sys

AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_CREATE                                                                 [F95895A4] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE                                                      [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_CLOSE                                                                  [F958C6BE] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_READ                                                                   [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_WRITE                                                                  [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION                                                      [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION                                                        [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA                                                               [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SET_EA                                                                 [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS                                                          [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION                                               [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION                                                 [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL                                                      [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL                                                    [F958CA5A] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL                                                         [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL                                                [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN                                                               [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL                                                           [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP                                                                [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT                                                        [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY                                                         [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY                                                           [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_POWER                                                                  [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL                                                         [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE                                                          [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA                                                            [F958952C] avgntmgr.sys
AttachedDevice  \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA                                                              [F958952C] avgntmgr.sys

Device          \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE                                                                   F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE                                                                    F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_READ                                                                     F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION                                                        F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION                                                          F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION                                                 F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL                                                        F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL                                                      F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL                                                           F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN                                                                 F3AC8866
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL                                                             F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP                                                                  F3ABF39A
Device          \FileSystem\Cdfs \Cdfs IRP_MJ_PNP                                                                      F3ABF39A
Device          \FileSystem\Cdfs \Cdfs FastIoCheckIfPossible                                                           F3AC87FC

---- Registry - GMER 1.0.13 ----

Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Type                                              1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Start                                             1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ErrorControl                                      0
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ImagePath                                         \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@DisplayName                                       xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Group                                             Base
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ExtParamD                                         0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx\Security                                          
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Type                                              1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Start                                             1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ErrorControl                                      0
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ImagePath                                         \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@DisplayName                                       xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Group                                             Base
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ExtParamD                                         0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx\Enum                                              
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Type                                              1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Start                                             1
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ErrorControl                                      0
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ImagePath                                         \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@DisplayName                                       xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@Group                                             Base
Reg             \Registry\MACHINE\SYSTEM\ControlSet001\Services\xpdx@ExtParamD                                         0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Type                                              1
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Start                                             1
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ErrorControl                                      0
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ImagePath                                         \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@DisplayName                                       xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Group                                             Base
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ExtParamD                                         0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx\Security                                          
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Type                                              1
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Start                                             1
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ErrorControl                                      0
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ImagePath                                         \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@DisplayName                                       xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@Group                                             Base
Reg             \Registry\MACHINE\SYSTEM\ControlSet002\Services\xpdx@ExtParamD                                         0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Type                                          1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Start                                         1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ErrorControl                                  0
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ImagePath                                     \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@DisplayName                                   xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Group                                         Base
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ExtParamD                                     0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx\Security                                      
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Type                                          1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Start                                         1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ErrorControl                                  0
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ImagePath                                     \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@DisplayName                                   xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Group                                         Base
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ExtParamD                                     0xB2 0xDA 0xB5 0x1F ...
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx\Enum                                          
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Type                                          1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Start                                         1
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ErrorControl                                  0
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ImagePath                                     \??\C:\WINDOWS\System32\xpdx.sys
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@DisplayName                                   xpdx system driver
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@Group                                         Base
Reg             \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\xpdx@ExtParamD                                     0xB2 0xDA 0xB5 0x1F ...

---- EOF - GMER 1.0.13 ----

Catchme:

Code:

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 11:48:24
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

RootkitReveal:
HKLM\SECURITY\Policy\Secrets\SAC*	19.10.2007 21:23	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	19.10.2007 21:23	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\PCTools\Spyware Doctor\AUXSVCSTAT	21.10.2007 11:52	22 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\xpdx	21.10.2007 11:50	0 bytes	Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\xpdx	21.10.2007 11:50	0 bytes	Hidden from Windows API.

[Karl]

Wenn Du die Platte komplett neu eingerichtet hast, dann irrst Du dich damit:

Trotzdem geht der trojaner nicht runter.

Dann ist er schon wieder drauf, kleiner Unterschied. Ursache: Verbindung zum Internet ohne installierte Windowsupdates.

Ohne das Servicepack 2 hat es Sekunden bis höchstens Minuten gebraucht, um folgendes zu erreichen: Zwei aktiv laufende Backdoors, ein installiertes Rootkit (bei dem ich noch nicht weiß, was das versteckt, vermutlich die dritte Backdoor und einen Spammailer), dazu eine wesentliche Systemdatei so gepatcht, dass sie sicherstellt, dass die Malware mit dem System geladen wird. Eigentlich ist sie jetzt ein Teil des Systems.

Jetzt such dir erstmal einen unverseuchten Computer, zur Not im Internetcafe. Dort lade dir runter:

• Offlineinstallation SP2
• Antivir Installationsdatei

Das alles auf eine CD brennen.

Danach noch einmal neu anfangen. Es reicht aus, die Systempartition zu formatieren, erneute Partitionierung ist nicht erforderlich. Windows installieren, Servicepack 2 installieren, Treiber installieren, Antivir installieren. Prüfen, dass die Windowsfirewall aktiv ist (Systemsteuerung -> Firewall). Jetzt kannst Du es wagen ins Internet zu gehen. Als erstens Antivir Update, danach mit dem Internet Explorer sofort Menü Extras -> Windows Updates, alle wichtigen Windowsupdates installieren. Nach einem eventuell erforderlichem Neustart wieder zur Updateseite, bis die schließlich mitteilt, dass es keine wichtigen/kritischen Updates mehr für dein System gibt.

Dann kann der Rest kommen, Du schaffst das schon

[DesolationWax]

Moin Karl,

hat alles wunderbar geklappt. Vielen Dank nochmal!

Gruss Deso

[Karl]

Das freut mich. Mit veralteter unsicherer Software hat man im Internet keine Chance mehr, das lässt sich auch nicht mit zusätzlicher Software (wie Virenscanner, Firewall, usw) ausgleichen.

Ich habe hier noch ein paar Links, wo Du eine Menge Informationen finden kannst, die dir helfen können, mit dem Computer sicher durchs Internet zu kommen:
Systemsicherheit
SETI@home

Die beiden folgenden Links brauchst Du dann hoffentlich nicht mehr
Wie setze ich neu auf?
Dowload Installationsanleitung

Alles Gute, Karl