1. Artikel
  2. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  3. Forum
  • Anmelden oder registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. Paules-PC-Forum.de
  2. Forum
  3. PC-Sicherheit
  4. PC-Sicherheit, Spam und Phishing

PPFScanner: Auswertung der Scanfiles

  • AxT
  • 8. März 2011 um 17:24
  • Geschlossen
Aufgrund von notwendigen Wartungsarbeiten am Server kann es zu kurzen Downtimes und längeren Ladezeiten kommen.
  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 17:24
    • #1

    Hier ein grober Abriss von dem, was in den Scandateien beim Ausführen des Scripres Erweiterter Scan.scp gelistet wird und wie das auszuwerten ist. Der Umfang, Ihnhalt, die Anzahl und auch die Namen der Dateien können sich ändern, denn sie sind abhängig vom Script, das ausgeführt wird.

    Inhalt:

    • Der Kopf der Scandateien
    • Die Scandatei Drivers.txt
    • Die Scandatei Modules.txt
    • Die Scandatei Processes.txt
    • Die Scandatei MD5.txt
    • Die Scandatei Hidden.txt
    • Die Scandatei Warnings.txt
    • Die Scandatei Scripting.txt
    • Die Scandatei Files.txt

      • (Teil 1)
      • (Teil 2)
      • (Teil 3)
      • (Teil 4)
      • (Teil 5)
      • (Teil 6)
      • (Teil 7)
      • (Teil 8)
      • (Teil 9)
      • (Teil 10)
      • (Teil 11)
    • Die Scandatei Services.txt
    • Die Scandatei Firewall.txt
    • Die Scandatei ppFiles.txt
    • Die Scandatei ppRegistry.txt
    • Die Scandatei Threads.txt

    6 Mal editiert, zuletzt von AxT (20. Juni 2018 um 23:17)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 18:53
    • #2

    Die meisten Scanfiles des PPFScanners besitzen alle den selben Kopf. In etwa sieht der so aus:

    Code
    Scanstart: 18.06.2018   15:57
    Microsoft Windows (Version 6.0.6002)
    Windows Vista (TM) Home Premium
    Servicepack: Service Pack 2
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1: Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
    Processor 1 Identifier: x86 Family 6 Model 23 Stepping 10
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 1600MHZ
    Processor 2: Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
    Processor 2 Identifier: x86 Family 6 Model 23 Stepping 10
    Processor 2 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  2: 2266MHZ
    Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD, G:\ = HDD, H:\ = CDROM, I:\ = CDROM, M:\ = HDD
    Disk0 MBR MD5: a36c5e4f47e84449ff07ed3517b43a31 (Windows7 MBR)
    PPFScan Version: 3,6,111,5480
    PPFScan MD5-Hash: da3a3ab5cffcfdfaaf4510c55628d137
    PPFScan SHA1-Hash: 88c0500366be36fc514a3653b59fbfa7e84fffc7
    SeDebugPrivilege: 1
    SeBackupPrivilege: 1
    SeRestorePrivilege: 1
    Call: 1
    Threads: 1 -> 4212
    Nicht geladene Module: C:\Windows\system32\rsaenh.dll; C:\Windows\system32\ncrypt.dll; C:\Windows\system32\BCRYPT.dll; C:\Windows\system32\NTMARTA.DLL; C:\Windows\system32\WLDAP32.dll; C:\Windows\system32\SAMLIB.dll
    Admin: ja
    Mandatory Policy Level: $1
    PPFScanner Ordner: C:\PPFScanner\
    User: MisterX / S-1-5-21-1917469538-3702951636-3216904853-1000
    ProgramData: C:\ProgramData
    Programfiles: C:\Program Files
    CommonProgramFiles: C:\Program Files\Common Files
    Systemroot: C:\Windows
    Systemroot aus Registry: C:\Windows
    UserProfile: C:\Users\MisterX
    Temporary Files: C:\Users\MisterX\AppData\Local\Temp
    Applicationdata: C:\Users\MisterX\AppData\Roaming
    Local Applicationdata: C:\Users\MisterX\AppData\Local
    Common Applicationdata: C:\ProgramData
    Startup: C:\Users\MisterX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    Java Version: 1.8
    Internet Explorer Version: 9.0.8112.16421
    
    
    
    
    
    
    ______________________________________________________________________________________________________________________________
    Alles anzeigen


    Einträge unter nicht geladene Module:
    Der PPFScanner vollzieht bei seinem Start einen Selbsttest auf in den Scanner geladene DLLs, die eine standard Keylogger Technik verwenden, und deshalb nicht vom Scanner selbst geladen werden. Alle Dateien, die hier stehen, sollten vom Pfad und Dateinamen her genauer unter die Lupe genommen werden. Stehen hier merwürdige Sachen, deutet das auf einen laufenden Keylogger hin. Im Beispiel hier steht dort eine DLL der Firewall.

    Der Eintrag Threads:
    Ein Programm kann gleichzeitig nicht nur eine Sache machen, sondern es können quasi parallel mehrere Sachen ausgeführt werden. Unter Threads wird hier angegeben, wie viele Programmschleifen im Scanner parallel nebeneinander laufen - hinter dem Pfeil stehen die Identitätsnummern (IDs) dieser Threads. Der Scanner ist zur Zeit noch in XProfan geschrieben. XProfan kann maximal mit einem Thread umgehen. Bis einschließlich Vista darf da also maximal ein Thread auftauchen. Ab Windows7 erzeugt das Betriebsystem hier einen zusätzlichen Thread - ab Windows7 dürfen hier also maximal 2 Threads stehen. Alles, was über diesem Wert ist, deutet auf im Scanner ausgeführten Code hin, der nicht vom Scanner gestartet wurde (Usermode RootKit oder Sicherheitsanwendung). Steht hier etwas ungewöhnliches, sollte das mit zusätzlichen RootKit Scans abgeklärt werden.

    Der Eintrag Call:
    Der Scanner benutzt eine von mir entwickelte spezielle Technik, um Usermode RootKits auszutricksen. Steht hier 1, konnte diese Technik erfolgreich initialisiert werden und funktioniert korrekt.

    Der Eintrag SeDebugPrivilege:
    Der Scanner benötigt ein spezielles Privileg, um korrekt scannen zu können. Konnte das Privileg aktiviert werden, steht dieser Eintrag auf 1.

    Der Eintrag Admin:
    Hier muss ja stehen. Steht hier nein, verfügt der User nicht über Adminrechte und der Scanner kann nicht korrekt scannen.

    4 Mal editiert, zuletzt von AxT (20. Juni 2018 um 14:54)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 19:01
    • #3
    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                             º                                    º
                             º    PPFScanner v1.0 (long Scan)     º
                             º              Scanfile 2            º
                             º                                    º
                             $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                                                     @Mopao and AHT
    
    
    Scanstart: 08.03.2011   17:24
    Microsoft Windows [Version 5.0.2195]
    Microsoft Windows 2000
    Servicepack: Service Pack 4
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1 Identifier: x86 Family 6 Model 6 Stepping 10
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 365MHZ
    Laufwerke: A:\ = entfernbar, C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = CDROM
    PPFScan Version: 1.0.15.1
    SeDebugPrivilege: 1
    Call: 1
    Threads: 1 -> 1400 
    Nicht geladene Module: D:\WINNT\system32\SSSensor.dll
    UAC: deaktiviert / nicht verfügbar
    Admin: ja
    PPFScanner Ordner: C:\PPFScanner\
    User: Andreas
    ProgramData: D:\Dokumente und Einstellungen\Andreas
    Programfiles: D:\Programme
    CommonProgramFiles: D:\Programme\Gemeinsame Dateien
    Systemroot: D:\WINNT
    Systemroot aus Registry: D:\WINNT
    UserProfile: D:\Dokumente und Einstellungen\Andreas
    Temporary Files: D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp
    Applicationdata: D:\Dokumente und Einstellungen\Andreas\Anwendungsdaten
    Local Applicationdata: D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten
    Common Applicationdata: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten
    Startup: D:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart
    Common Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    Java Version: nicht installiert
    Internet Explorer Version: 6.0.2800.1106
    
    
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    
    
    [b]Geladene Treiber[/b]
    
    
    Dateiname                                Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                         Produktname                                    Produktversion   Dateiversion     Signatur         
    ======================================== ============ ================== ============================================================== ================================== ============================================== ================ ================ ================ 
    pfc.sys                                  -171851776   12288              Padus(R) ASPI Shell                                            Padus, Inc.                        Padus(R) ASPI Shell                            1, 0, 0, 156     1, 0, 0, 156                      
    Teefer.sys                               -1075380224  114688             Teefer Driver                                                  Sygate Technologies, Inc.          Sygate Teefer Driver                           1.60.1101        1.60.1101                         
    D:\WINNT\System32\Drivers\aswTdi.SYS     -175439872   40960              avast! TDI Filter Driver                                       ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    D:\WINNT\System32\drivers\wpsdrvnt.sys   -173178880   32768              wpsdrvnt                                                       Sygate Technologies, Inc.          wpsdrvnt                                       1, 0, 0, 17      1, 0, 0, 17                       
    D:\WINNT\System32\DRIVERS\ssmdrv.sys     -173047808   24576              AVIRA SnapShot Driver                                          Avira GmbH                                                                        7.00.02.02       7.00.02.02       Avira GmbH       
    D:\WINNT\System32\speedfan.sys           -170811392   8192               SpeedFan Device Driver                                         Windows (R) 2000 DDK provider      Windows (R) 2000 DDK driver                    5.00.2195.5438   5.00.2195.5438                    
    D:\WINNT\System32\giveio.sys             -169697280   4096                                                                                                                                                                                                                   
    D:\WINNT\System32\Drivers\cpqp6cpu.sys   -1075806208  12288              Processor Prefailure Device Driver                             Compaq Computer Corporation        Compaq Management Agents                       4, 40, 0, 2      4, 40, 0, 2                       
    D:\WINNT\System32\Drivers\ClntMgmt.sys   -174456832   40960              Compaq Client Management Driver                                Compaq Computer Corp               Compaq Client Management Driver                2.00.F2          2,0,6,2                           
    D:\WINNT\System32\Drivers\aswSP.SYS      -1079521280  135168             avast! self protection module                                  ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    D:\WINNT\System32\Drivers\Aavmker4.SYS   -172785664   20480              avast! Base Kernel-Mode Device Driver for Windows NT/2000/XP   ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    D:\WINNT\system32\DRIVERS\aswFsBlk.sys   -172752896   32768              avast! File System Access Blocking Driver                      ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    D:\WINNT\system32\DRIVERS\AegisP.sys     -172425216   20480              IEEE 802.1X Protocol Driver                                    Meetinghouse Data Communications   AEGIS Client 3.4.5.0                           3.4.5.0          3.4.5.0                           
    D:\WINNT\System32\DRIVERS\EAPPkt.sys     -1080287232  40960              NDIS User mode I/O Driver                                      Windows (R) 2000 DDK provider      Windows (R) 2000 DDK driver                    5.00.2195.5438   5.00.2195.5438                    
    D:\WINNT\SYSTEM32\Drivers\wg3n.sys       -1089302528  12288              wgxn                                                           Sygate Technologies, Inc.          Sygate WGXN                                    1.2.1222.0       1.2.1222.0                        
    D:\WINNT\System32\drivers\cpqdfw.sys     -173375488   20480                                                                                                                                                                                                                  
    D:\WINNT\System32\drivers\cqcpu.sys      -1089171456  16384              Description string for cqcpu driver                            Microsoft Corporation              Microsoft(R) Windows NT(TM) Operating System   4.00             4.00                              
    D:\WINNT\System32\drivers\cq_mem.sys     -170188800   8192               Description string for cq_mem driver                           Microsoft Corporation              Microsoft(R) Windows NT(TM) Operating System   4.00             4.00                              
    D:\WINNT\System32\Drivers\Aspi32.SYS     -1090514944  16384              ASPI for WIN32 Kernel Driver                                   Adaptec                            Adaptec's ASPI Layer                           4.60 (1021)      4.60 (1021)                       
    D:\WINNT\System32\Drivers\aswMon.SYS     -1091751936  86016              avast! File System Filter Driver for Windows NT/2000           ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    D:\WINNT\System32\drivers\csemgmt.sys    -172392448   32768              Compaq Support Engineering Management Driver                   Compaq Computer Corp               Compaq Support Engineering Driver              1.10.A1          1,1,0,0                           
    D:\WINNT\System32\Drivers\aswRdr.SYS     -1095266304  16384              avast! TDI RDR Driver                                          ALWIL Software                     avast! Antivirus System                        4.8              4.8.1356.0       ALWIL Software   
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    
    
    ***** Ende des Scans 08.03.2011 um 18:21 ***
    Alles anzeigen


    Diese Datei listet die in den Speicher geladenen (also momentan ausgeführten) Treiber. Es werden hier nur Treiber gelistet, die keine eindeutige Microsoft Signatur haben. Was hier steht, sollte vom Dateinamen und der Signatur her überprüft werden. Wenn in MD5.TXT die Prüfsumme ausgelesen wurde, ziehe ich auch diese in der Regel mit zur Überprüfung heran.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Treiberdatei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Treiber ohne Beschreibung oder ungewöhnlichen Angaben zum Hersteller ohne Signatur.
    Die Herstellerangaben und Produktangaben können aber auch gefälscht werden - die Signatur ist da eindeutiger.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 19:20
    • #4
    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                             º                                    º
                             º    PPFScanner v1.0 (long Scan)     º
                             º            Scanfile 7              º
                             º                                    º
                             $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                                                     @Mopao and AHT
    
    
    Scanstart: 08.03.2011   17:24
    Microsoft Windows [Version 5.0.2195]
    Microsoft Windows 2000
    Servicepack: Service Pack 4
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1 Identifier: x86 Family 6 Model 6 Stepping 10
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 365MHZ
    Laufwerke: A:\ = entfernbar, C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = CDROM
    PPFScan Version: 1.0.15.1
    SeDebugPrivilege: 1
    Call: 1
    Threads: 1 -> 1400 
    Nicht geladene Module: D:\WINNT\system32\SSSensor.dll
    UAC: deaktiviert / nicht verfügbar
    Admin: ja
    PPFScanner Ordner: C:\PPFScanner\
    User: Andreas
    ProgramData: D:\Dokumente und Einstellungen\Andreas
    Programfiles: D:\Programme
    CommonProgramFiles: D:\Programme\Gemeinsame Dateien
    Systemroot: D:\WINNT
    Systemroot aus Registry: D:\WINNT
    UserProfile: D:\Dokumente und Einstellungen\Andreas
    Temporary Files: D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp
    Applicationdata: D:\Dokumente und Einstellungen\Andreas\Anwendungsdaten
    Local Applicationdata: D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten
    Common Applicationdata: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten
    Startup: D:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart
    Common Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    Java Version: nicht installiert
    Internet Explorer Version: 6.0.2800.1106
    
    
    
    
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in WINLOGON.EXE (184)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in svchost.exe (464)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in spoolsv.exe (516)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   13959168     86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in Cpqalert.exe (692)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\Programme\Compaq\Compaq Management Agents\cpqalert.exe                                                                        4194304      503808             Compaq Local Alert Service                                     Compaq Computer Corporation                    Compaq Management Agents                                      4.36 E                  4.36 E                                                         
    D:\Programme\Compaq\Compaq Management Agents\CPQHCI.DLL                                                                          268435456    487424             Compaq Hardware Component Interface                            Compaq Computer Corporation                    Compaq Management Agents for Clients                          4.36                    4.36 E                                                         
    D:\Programme\Compaq\Compaq Management Agents\CPQDMSC.DLL                                                                         16515072     176128             CPQDMSC DLL                                                    Compaq Computer Corporation                    Compaq Management Agents for Clients                          4.36                    4.36                                                           
    D:\WINNT\CPQI2C.DLL                                                                                                              18874368     53248              CPQI2C.DLL                                                     Compaq                                         Compaq CPQI2C Dynamic Link Library                            2.00.G1                 2.00.G1                                                        
    D:\WINNT\system32\SSSensor.dll                                                                                                   30474240     86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in Webdmi.exe (724)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe                                                                                  4194304      20480              Compaq DMI Web Management Service                              Compaq Computer Corporation                    Compaq Management Agents                                      4.31                    4.31                                                           
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\DMIAGENT.dll                                                                                268435456    122880             Compaq Dmi Web Management Agent                                Compaq Computer Corporation                    Compaq Management Agents                                      4.31                    4.31                                                           
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WCDMI.dll                                                                                   1743650816   40960              DMI 2.0 client front-end                                       Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WDMIUTIL.dll                                                                                1742995456   36864              DMI 2.0 helper API                                             Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\CpqHMMO.dll                                                                                 2293760      380928             Compaq HMMO Services Provider                                  Compaq Computer Corp.                          Compaq HMMO Services Provider for Microsoft® Windows NT(TM)   CPQHMMO 1.05.03         1.05.03                                                        
    D:\WINNT\system32\MSVCP60.dll                                                                                                    2014052352   397312             Microsoft (R) C++ Runtime Library                              Microsoft Corporation                          Microsoft (R) Visual C++                                      6.00.8972.0             6.00.8972.0                                                    
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in hibserv.exe (764)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe                                                                                          4194304      90112              Compaq Power Management Service                                                                               HIBSERV Service                                               4.10.3.1                4.10.3.1                                                       
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in mdm.exe (932)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe                                                                4194304      335872             Machine Debug Manager                                          Microsoft Corporation                          Microsoft® Visual Studio .NET                                 7.10.3077               7.10.3077                                                      
    D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\1031\mdmui.dll                                                         1369833472   24576              MDM-Ressourcen                                                 Microsoft Corporation                          Microsoft® Visual Studio .NET                                 7.10.3077               7.10.3077                                                      
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in mstask.exe (936)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in Win32sl.exe (1024)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe                                                           4194304      245760             WIN32SL                                                        Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\WSDMIDCE.DLL                                                          1742864384   49152              DMI 2.0 DCE Service Provider                                   Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\WDMIUTIL.dll                                                          1742995456   36864              DMI 2.0 helper API                                             Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\WDMI2API.dll                                                          1743126528   73728              DMI 2.0 local API                                              Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\DMIAPI32.DLL                                                          1743781888   36864              WIN32 Service Layer API                                                                                        DMIAPI32                                                     2, 0, 0, 54             2, 0, 0, 54                                                    
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in mspmspsv.exe (1080)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\System32\MsPMSPSv.exe                                                                                                   16777216     53248              WMDM PMSP Service                                              Microsoft Corporation                          Microsoft (R) DRM                                             7.10.00.3059            7.10.00.3059                                                   
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in Cpqdmi.exe (1148)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe                                                                                           4194304      28672              Compaq DMI Service Extension                                   Compaq Computer Corporation                    Compaq Management Agents                                      4.36                    4.36                                                           
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\Bin\DMIAPI32.dll                                                          1743781888   36864              WIN32 Service Layer API                                                                                        DMIAPI32                                                     2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\Bin\WCDMI.dll                                                             1743650816   40960              DMI 2.0 client front-end                                       Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\Bin\WDMIUTIL.dll                                                          1742995456   36864              DMI 2.0 helper API                                             Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\Bin\WDMI2API.DLL                                                          1743126528   73728              DMI 2.0 local API                                              Intel                                          DMI 2.0 SDK                                                   2, 0, 0, 54             2, 0, 0, 54                                                    
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQCI.DLL                                                                                            268435456    118784             Compaq Component Interface                                     Compaq Computer Corporation                    Compaq Management Agents for Clients                          4.30                    4.30                                                           
    D:\PROGRA~1\Compaq\COMPAQ~2\CPQVID.DLL                                                                                           14614528     118784                                                                                                                                                                                                                                                                                
    D:\WINNT\system32\SSSensor.dll                                                                                                   17956864     86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in explorer.exe (1440)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    c:\programme\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx                                                                         37355520     32768              AcroIEHelper Module                                                                                           AcroIEHelper Module                                           1, 0, 0, 1              1, 0, 0, 1                       Adobe Systems, Incorporated   
    C:\Programme\Alwil Software\Avast4\ashShell.dll                                                                                  1693450240   73728              avast! Shell Extension                                         ALWIL Software                                 avast! Antivirus                                              4, 8, 0, 0              4, 8, 1367, 0                    ALWIL Software                
    C:\Programme\WinRAR\rarext.dll                                                                                                   47120384     180224                                                                                                                                                                                                                                                                                
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in Chkadmin.exe (1524)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\PROGRA~1\Compaq\COMPAQ~2\CHKADMIN.EXE                                                                                         4194304      45056              CHKADMIN MFC Application                                                                                      CHKADMIN Application                                          4.30                    4.30                                                           
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in lxdjamon.exe (1528)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    C:\Programme\Lexmark 1420\lxdjamon.exe                                                                                           285212672    32768              Device Monitor Application                                     Lexmark                                        Lexmark Imaging Studio                                        1.0.2594.11043          1.0.2594.11043                                                 
    D:\WINNT\system32\mscoree.dll                                                                                                    2030043136   282624             Microsoft .NET Runtime Execution Engine                        Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll                                                                         2045181952   5640192            Microsoft .NET Runtime Common Language Runtime - WorkStation   Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\system32\MSVCR80.dll                                                                                                    2014511104   634880             Microsoft® C Runtime Library                                   Microsoft Corporation                          Microsoft® Visual Studio® 2005                                8.00.50727.42           8.00.50727.42                                                  
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\mscorlib\acf4a31befa236458d8d2ffb2ee8e298\mscorlib.ni.dll                           44957696     11436032           Microsoft Common Language Runtime Class Library                Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll                                                                         2030436352   339968             Microsoft .NET Runtime Just-In-Time Compiler                   Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    C:\Programme\Lexmark 1420\App4R.Monitor.Core.dll                                                                                 58916864     57344                                                                                                                                                                                          1.0.2594.11041          1.0.2594.11041                                                 
    C:\Programme\Lexmark 1420\App4R.Monitor.Common.dll                                                                               59113472     40960                                                                                                                                                                                          1.0.2594.11039          1.0.2594.11039                                                 
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\System\8bd42d2108c5cf46ae1cd2f2e13e5bd0\System.ni.dll                               2051276800   8118272            .NET Framework                                                 Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\System.Drawing\b60b29d50e01f9409ebd1faace91c417\System.Drawing.ni.dll               2061369344   1654784            .NET Framework                                                 Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\0821e4ee40cf834999be938565da17a2\System.Windows.Forms.ni.dll   2063400960   13131776           .NET Framework                                                 Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\System.Configuration\c1af3d4e1c3ca744b71133df5958cc82\System.Configuration.ni.dll   1686700032   974848             System.Configuration.dll                                       Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\assembly\NativeImages_v2.0.50727_32\System.Xml\79326fa0405cbe4db3951cace2c09c74\System.Xml.ni.dll                       1774059520   5668864            .NET Framework                                                 Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    C:\Programme\Lexmark 1420\App4R.DevMons.MCMDevMon.dll                                                                            60293120     73728                                                                                                                                                                                          1.0.2594.11040          1.0.2594.11040                                                 
    C:\Programme\Lexmark 1420\App4R.DevMons.NetworkCardDevMon.dll                                                                    60555264     40960              NetworkCardDevMon                                              Lexmark                                        NetworkCardDevMon                                             1.0.0.0                 1.0.0.0                                                        
    C:\Programme\Lexmark 1420\App4R.DevMons.ScanDevMon.dll                                                                           60751872     40960                                                                                                                                                                                          1.0.2594.11042          1.0.2594.11042                                                 
    D:\WINNT\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll                         1735852032   311296             Microsoft .NET Runtime Object Remoting                         Microsoft Corporation                          Microsoft® .NET Framework                                     2.0.50727.42            2.0.50727.42 (RTM.050727-4200)                                 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in internat.exe (1580)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in RtWLan.exe (1544)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    D:\Programme\Wireless Network Utility\RtWLan.exe                                                                                 4194304      827392             RtWLan ( For Win98/ME/2K) Application                          Realtek Semiconductor Corp.                    RtWLan Application                                            500, 1491, 627, 2007    500, 1491, 627, 2007                                           
    D:\Programme\Wireless Network Utility\RtlICS.dll                                                                                 268435456    40960              RtlICS DLL                                                     Realtek                                        RtlICS Dynamic Link Library                                   1, 0, 320, 2007         1, 0, 320, 2007                                                
    D:\Programme\Wireless Network Utility\EnumDevLib.dll                                                                             2293760      364544             EnumDevLib DLL                                                                                                EnumDevLib Dynamic Link Library                               400, 1030, 1026, 2006   400, 1030, 1026, 2006                                          
    D:\Programme\Wireless Network Utility\RtlLib.dll                                                                                 2686976      307200             RtlLib DLL                                                     Realtek Semiconductor Corp.                    RtlLib Dynamic Link Library                                   402, 1280, 518, 2007    402, 1280, 518, 2007                                           
    D:\Programme\Wireless Network Utility\acAuth.dll                                                                                 3014656      1011712            AEGIS Authentication Library                                                                                                                                                                        4.0.2.0 2005-07-19 16:52:58                                    
    D:\Programme\Wireless Network Utility\LIBEAY32.dll                                                                               5046272      1081344            OpenSSL Shared Library                                         The OpenSSL Project, http://www.openssl.org/   The OpenSSL Toolkit                                           0.9.8b                  0.9.8b                                                         
    D:\Programme\Wireless Network Utility\IpLib.dll                                                                                  6160384      167936             TODO: <File description>                                       TODO: <Company name>                           TODO: <Product name>                                          1.0.0.1                 1.0.0.1                                                        
    D:\WINNT\system32\SSSensor.dll                                                                                                   31260672     86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in opera.exe (1752)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    C:\Opera\opera.exe                                                                                                               4194304      847872             Opera Internet Browser                                         Opera Software                                 Opera Internet Browser                                        10.63                   3516                             Opera Software ASA            
    C:\Opera\Opera.dll                                                                                                               1732837376   12587008           Opera Internet Browser                                         Opera Software                                 Opera Internet Browser                                        10.63                   3516                             Opera Software ASA            
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Module in PPFScan.exe (1292)[/b]
    
    
    Dateiname                                                                                                                        Adresse      Größe (Speicher)   Dateibeschreibung                                              Firmenname                                     Produktname                                                   Produktversion          Dateiversion                     Signatur                      
    ================================================================================================================================ ============ ================== ============================================================== ============================================== ============================================================= ======================= ================================ ============================= 
    C:\PPFScanner\PPFScan.exe                                                                                                        4194304      15659008           Systemscan von Mopao und AHT                                   _                                              PPFScanner                                                    1.0.15                  1.0.15.1                                                       
    D:\WINNT\system32\SSSensor.dll                                                                                                   268435456    86016              ScreenSaver Sensor                                             Sygate Technologies, Inc.                      Sygate ScreenSaver Sensor                                     5. 5. 0. 5              5. 5. 0. 5                       Sygate Technologies, Inc.     
    
    
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    
    
    ***** Ende des Scans 08.03.2011 um 18:45 ***
    Alles anzeigen


    Gelistet werden hier alle von Prozessen (laufenden Programmen) geladene DLLs und EXE Dateien, die nicht eindeutig von Microsoft signiert wurden.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Datei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Dateien ohne Beschreibung, ungewöhnlichen Angaben zum Hersteller oder ungewöhnliche Datei- und Pfadnamen ohne Signatur.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 19:40
    • #5
    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    º                                    º
    º    PPFScanner v3,6,111,5480        º
    º              Scanfile 4            º
    º                                    º
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    @Mopao and AHT
    
    
    Scanstart: 18.06.2018   15:57
    Microsoft Windows (Version 6.0.6002)
    Windows Vista (TM) Home Premium
    Servicepack: Service Pack 2
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1: Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
    Processor 1 Identifier: x86 Family 6 Model 23 Stepping 10
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 1600MHZ
    Processor 2: Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
    Processor 2 Identifier: x86 Family 6 Model 23 Stepping 10
    Processor 2 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  2: 2266MHZ
    Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD, G:\ = HDD, H:\ = CDROM, I:\ = CDROM, M:\ = HDD
    Disk0 MBR MD5: a36c5e4f47e84449ff07ed3517b43a31 (Windows7 MBR)
    PPFScan Version: 3,6,111,5480
    PPFScan MD5-Hash: da3a3ab5cffcfdfaaf4510c55628d137
    PPFScan SHA1-Hash: 88c0500366be36fc514a3653b59fbfa7e84fffc7
    SeDebugPrivilege: 1
    SeBackupPrivilege: 1
    SeRestorePrivilege: 1
    Call: 1
    Threads: 1 -> 4212
    Nicht geladene Module: C:\Windows\system32\rsaenh.dll; C:\Windows\system32\ncrypt.dll; C:\Windows\system32\BCRYPT.dll; C:\Windows\system32\NTMARTA.DLL; C:\Windows\system32\WLDAP32.dll; C:\Windows\system32\SAMLIB.dll
    Admin: ja
    Mandatory Policy Level: $1
    PPFScanner Ordner: C:\PPFScanner\
    User: MisterX / S-1-5-21-1917469538-3702951636-3216904853-1000
    ProgramData: C:\ProgramData
    Programfiles: C:\Program Files
    CommonProgramFiles: C:\Program Files\Common Files
    Systemroot: C:\Windows
    Systemroot aus Registry: C:\Windows
    UserProfile: C:\Users\MisterX
    Temporary Files: C:\Users\MisterX\AppData\Local\Temp
    Applicationdata: C:\Users\MisterX\AppData\Roaming
    Local Applicationdata: C:\Users\MisterX\AppData\Local
    Common Applicationdata: C:\ProgramData
    Startup: C:\Users\MisterX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    Java Version: 1.8
    Internet Explorer Version: 9.0.8112.16421
    
    
    
    
    ______________________________________________________________________________________________________________________________
    
    
    
    
    
    
    **************
    *Prozessliste*
    **************
    
    
    
    
    PID    Prozessname               Session   User                  Parent-PID   Dateiname                                                              Dateibeschreibung                                                               Firmenname                                  Kommandozeile
    ====== ========================= ========= ===================== ============ ====================================================================== =============================================================================== =========================================== =====================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================
    4      System                    0                               0
    528    smss.exe                  0         SYSTEM                4            C:\Windows\System32\smss.exe                                           Windows Session Manager                                                         Microsoft Corporation                       \SystemRoot\System32\smss.exe
    600    csrss.exe                 0         SYSTEM                588          C:\Windows\System32\csrss.exe                                          Client-Server-Laufzeitprozess                                                   Microsoft Corporation                       C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    652    wininit.exe               0         SYSTEM                588          C:\Windows\System32\wininit.exe                                        Windows-Startanwendung                                                          Microsoft Corporation                       wininit.exe
    688    services.exe              0         SYSTEM                652          C:\Windows\System32\services.exe                                       Anwendung für Dienste und Controller                                            Microsoft Corporation                       C:\Windows\system32\services.exe
    704    lsass.exe                 0         SYSTEM                652          C:\Windows\System32\lsass.exe                                          Local Security Authority Process                                                Microsoft Corporation                       C:\Windows\system32\lsass.exe
    716    lsm.exe                   0         SYSTEM                652          C:\Windows\System32\lsm.exe                                            Lokaler Sitzungs-Manager-Dienst                                                 Microsoft Corporation                       C:\Windows\system32\lsm.exe
    892    svchost.exe               0         SYSTEM                688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k DcomLaunch
    988    svchost.exe               0         NETZWERKDIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k rpcss
    1028   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    1088   svchost.exe               0         SYSTEM                688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    1100   svchost.exe               0         SYSTEM                688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k netsvcs
    1184   audiodg.exe               0         LOKALER DIENST        1028         C:\Windows\System32\audiodg.exe                                        Windows Graphisolierung für Audiogeräte                                         Microsoft Corporation
    1208   svchost.exe               0         SYSTEM                688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k GPSvcGroup
    1224   SLsvc.exe                 0         NETZWERKDIENST        688          C:\Windows\System32\SLsvc.exe                                          Microsoft-Softwarelizenzierungsdienst                                           Microsoft Corporation                       C:\Windows\system32\SLsvc.exe
    1272   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k LocalService
    1332   hpservice.exe             0         SYSTEM                688          C:\Windows\System32\hpservice.exe                                      HpService                                                                       Hewlett-Packard Company                     C:\Windows\system32\Hpservice.exe
    1348   SbieSvc.exe               0         SYSTEM                688          C:\Program Files\Sandboxie\SbieSvc.exe                                 Sandboxie Service                                                               Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SbieSvc.exe"
    1516   svchost.exe               0         NETZWERKDIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k NetworkService
    1704   AvastSvc.exe              0         SYSTEM                688          C:\Program Files\AVAST Software\Avast\AvastSvc.exe                     Avast Service                                                                   AVAST Software                              "C:\Program Files\AVAST Software\Avast\AvastSvc.exe"
    1868   spoolsv.exe               0         SYSTEM                688          C:\Windows\System32\spoolsv.exe                                        Spoolersubsystem-Anwendung                                                      Microsoft Corporation                       C:\Windows\System32\spoolsv.exe
    1896   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
    304    armsvc.exe                0         SYSTEM                688          C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe                 Adobe Acrobat Update Service                                                    Adobe Systems Incorporated                  "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe"
    328    AEADISRV.EXE              0         SYSTEM                688          C:\Windows\System32\AEADISRV.EXE                                       Andrea filters APO access service (32-bit)                                      Andrea Electronics Corporation              C:\Windows\system32\AEADISRV.EXE
    352    agrsmsvc.exe              0         SYSTEM                688          C:\Windows\System32\agrsmsvc.exe                                       Agere Soft Modem Call Progress Service                                          Agere Systems                               C:\Windows\system32\agrsmsvc.exe
    456    svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k bthsvcs
    608    escsvc.exe                0         SYSTEM                688          C:\Windows\System32\escsvc.exe                                         Epson Scanner Service (32bit)                                                   Seiko Epson Corporation                     C:\Windows\system32\EscSvc.exe
    736    HPDrvMntSvc.exe           0         SYSTEM                688          C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe                HP Quick Synchronization Service                                                Hewlett-Packard Company                     "C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe"
    1632   svchost.exe               0         NETZWERKDIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
    1940   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k regsvc
    2088   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k imgsvc
    2140   svchost.exe               0         SYSTEM                688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\System32\svchost.exe -k WerSvcGroup
    2176   SearchIndexer.exe         0         SYSTEM                688          C:\Windows\System32\SearchIndexer.exe                                  Microsoft Windows Search-Indexerstellung                                        Microsoft Corporation                       C:\Windows\system32\SearchIndexer.exe /Embedding
    3012   aswidsagent.exe           0         SYSTEM                688          C:\Program Files\AVAST Software\Avast\aswidsagent.exe                  Avast Behavior Shield                                                           AVAST Software                              "C:\Program Files\AVAST Software\Avast\aswidsagent.exe"
    3708   taskeng.exe               0         SYSTEM                1100         C:\Windows\System32\taskeng.exe                                        Aufgabenplanungsmodul                                                           Microsoft Corporation                       taskeng.exe {2D569DC2-0B88-4527-9349-69598352EA54}
    4084   DbgSvc.exe                0         SYSTEM                688          C:\Program Files\DebugDiag\DbgSvc.exe                                  Debug Diagnostic Service                                                        Microsoft Corporation                       "C:\Program Files\DebugDiag\DbgSvc.exe"
    1492   dllhost.exe               0         SYSTEM                688          C:\Windows\System32\dllhost.exe                                        COM Surrogate                                                                   Microsoft Corporation                       C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
    2512   msdtc.exe                 0         NETZWERKDIENST        688          C:\Windows\System32\msdtc.exe                                          MS-DTCconsole-Programm                                                          Microsoft Corporation                       C:\Windows\System32\msdtc.exe
    2804   DbgHost.exe               0         SYSTEM                892          C:\Program Files\DebugDiag\DbgHost.exe                                 Process debug events publisher and automation compatible debug object library   Microsoft Corporation                       "C:\Program Files\DebugDiag\DbgHost.exe" -Embedding
    3372   svchost.exe               0         LOKALER DIENST        688          C:\Windows\System32\svchost.exe                                        Hostprozess für Windows-Dienste                                                 Microsoft Corporation                       C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
    3084   HPHC_Service.exe          0         SYSTEM                688          C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe      HP Support Assistant                                                            Hewlett-Packard Company                     "C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe"
    2356   WmiPrvSE.exe              0         SYSTEM                892          C:\Windows\System32\wbem\WmiPrvSE.exe                                  WMI Provider Host                                                               Microsoft Corporation                       C:\Windows\system32\wbem\wmiprvse.exe
    3880   hpqWmiEx.exe              0         SYSTEM                688          C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe                   HP Software Framework WMI Service                                               Hewlett-Packard Company                     "C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe"
    3704   vds.exe                   0         SYSTEM                688          C:\Windows\System32\vds.exe                                            Virtueller Datenträgerdienst                                                    Microsoft Corporation                       C:\Windows\System32\vds.exe
    4716   rundll32.exe              0         SYSTEM                3708         C:\Windows\System32\rundll32.exe                                       Windows-Hostprozess (Rundll32)                                                  Microsoft Corporation                       C:\Windows\system32\rundll32.exe C:\Windows\system32\pla.dll,PlaHost "SL1" "0xb70_0x13a8_0x4f05b0adec"
    644    csrss.exe                 1         SYSTEM                636          C:\Windows\System32\csrss.exe                                          Client-Server-Laufzeitprozess                                                   Microsoft Corporation                       C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    792    winlogon.exe              1         SYSTEM                636          C:\Windows\System32\winlogon.exe                                       Windows-Anmeldeanwendung                                                        Microsoft Corporation                       winlogon.exe
    2536   taskeng.exe               1         MisterX               1100         C:\Windows\System32\taskeng.exe                                        Aufgabenplanungsmodul                                                           Microsoft Corporation                       taskeng.exe {100C21FD-A2AB-453D-82F8-092BF107204D}
    3884   dwm.exe                   1         MisterX               1088         C:\Windows\System32\dwm.exe                                            Desktopfenster-Manager                                                          Microsoft Corporation                       "C:\Windows\system32\Dwm.exe"
    3888   explorer.exe              1         MisterX               2324         C:\Windows\explorer.exe                                                Windows-Explorer                                                                Microsoft Corporation                       C:\Windows\Explorer.EXE
    3004   igfxsrvc.exe              1         MisterX               892          C:\Windows\System32\igfxsrvc.exe                                       igfxsrvc Module                                                                 Intel Corporation                           C:\Windows\system32\igfxsrvc.exe -Embedding
    3272   QLBCTRL.exe               1         MisterX               3888         C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe   Quick Launch Buttons                                                            Hewlett-Packard Development Company, L.P.   "C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe" /Start
    3604   igfxtray.exe              1         MisterX               3888         C:\Windows\System32\igfxtray.exe                                       igfxTray Module                                                                 Intel Corporation                           "C:\Windows\System32\igfxtray.exe"
    1884   hkcmd.exe                 1         MisterX               3888         C:\Windows\System32\hkcmd.exe                                          hkcmd Module                                                                    Intel Corporation                           "C:\Windows\System32\hkcmd.exe"
    4076   igfxpers.exe              1         MisterX               3888         C:\Windows\System32\igfxpers.exe                                       persistence Module                                                              Intel Corporation                           "C:\Windows\System32\igfxpers.exe"
    3856   SynTPEnh.exe              1         MisterX               3888         C:\Program Files\Synaptics\SynTP\SynTPEnh.exe                          Synaptics TouchPad Enhancements                                                 Synaptics Incorporated                      "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
    1244   VCDDaemon.exe             1         MisterX               3888         C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe       Virtual CloneDrive Daemon                                                       Elaborate Bytes AG                          "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    768    HPWAMain.exe              1         MisterX               3888         C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe    HPWAMain Module                                                                 Hewlett-Packard Development Company, L.P.   "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"
    1500   smax4pnp.exe              1         MisterX               3888         C:\Program Files\Analog Devices\Core\smax4pnp.exe                      SMax4PNP                                                                        Analog Devices, Inc.                        "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
    1432   EEventManager.exe         1         MisterX               3888         C:\Program Files\EPSON Software\Event Manager\EEventManager.exe        EEventManager Application                                                       SEIKO EPSON CORPORATION                     "C:\Program Files\EPSON Software\Event Manager\EEventManager.exe"
    3836   jusched.exe               1         MisterX               3888         C:\Program Files\Common Files\Java\Java Update\jusched.exe             Java Update Scheduler                                                           Oracle Corporation                          "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
    3724   sidebar.exe               1         MisterX               3888         C:\Program Files\Windows Sidebar\sidebar.exe                           Windows-Sidebar                                                                 Microsoft Corporation                       "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
    4016   E_FATILFE.EXE             1         MisterX               3888         C:\Windows\System32\spool\drivers\w32x86\3\E_FATILFE.EXE               EPSON Status Monitor 3                                                          SEIKO EPSON CORPORATION                     "C:\Windows\System32\spool\drivers\w32x86\3\E_FATILFE.EXE" /EPT "EPLTarget\P0000000000000000" /M "XP-312 313 315 Series"
    1624   ehtray.exe                1         MisterX               3888         C:\Windows\ehome\ehtray.exe                                            Media Center Tray Applet                                                        Microsoft Corporation                       "C:\Windows\ehome\ehtray.exe"
    2336   BTTray.exe                1         MisterX               3888         C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe                 Bluetooth Tray Application                                                      Broadcom Corporation.                       "C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe"
    2072   AvastUI.exe               1         MisterX               1652         C:\Program Files\AVAST Software\Avast\AvastUI.exe                      Avast Antivirus                                                                 AVAST Software                              AvastUI.exe /nogui
    4116   ehmsas.exe                1         MisterX               892          C:\Windows\ehome\ehmsas.exe                                            Media Center Media Status Aggregator Service                                    Microsoft Corporation                       C:\Windows\ehome\ehmsas.exe -Embedding
    4260   WiFiMsg.exe               1         MisterX               768          C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe     Module to process WiFi messages.                                                Hewlett-Packard Development Company, L.P.   "C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE"
    4296   VolCtrl.exe               1         MisterX               3272         C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe   Volume related element                                                          Hewlett-Packard Development Company, L.P.   "C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe"
    4596   HpqToaster.exe            1         MisterX               892          C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe                 HpqToaster Module                                                                                                           "C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe" -Embedding
    4628   hpCaslNotification.exe    1         MisterX               4596         C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe         hpCaslNotification                                                              Hewlett-Packard Development Company L.P.    "C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe" "<hpNotification><Toast><ID>9320</ID><Title>HP Wireless Assistant</Title><Text>        WLAN: Ein
    Bluetooth(r): Aus
    </Text><IconPath>C:\Program Files\Hewlett-Packard\HP wireless Assistant\images\wireless_on.ico</IconPath><Path>C:\Program Files\Hewlett-Packard\HP wireless Assistant\HPWAMain.exe</Path><Parameters>SHOWSTATUS</Parameters></Toast></hpNotification>"
    5432   SynTPHelper.exe           1         MisterX               3856         C:\Program Files\Synaptics\SynTP\SynTPHelper.exe                       Synaptics Pointing Device Helper                                                Synaptics Incorporated                      "C:\Program Files\Synaptics\SynTP\SynTPHelper.exe"
    4072   SbieSvc.exe               1         SYSTEM                1348         C:\Program Files\Sandboxie\SbieSvc.exe                                 Sandboxie Service                                                               Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SbieSvc.exe" Sandboxie_GuiProxy_00000001,1348
    3472   SbieCtrl.exe              1         MisterX               1348         C:\Program Files\Sandboxie\SbieCtrl.exe                                Sandboxie Control                                                               Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SbieCtrl.exe"
    4792   SandboxieRpcSs.exe        1         ANONYMOUS-ANMELDUNG   1348         C:\Program Files\Sandboxie\SandboxieRpcSs.exe                          Sandboxie COM Services (RPC)                                                    Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SandboxieRpcSs.exe"
    5688   SandboxieDcomLaunch.exe   1         ANONYMOUS-ANMELDUNG   4792         C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe                     Sandboxie COM Services (DCOM)                                                   Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe"
    5848   chrome.exe                1         ANONYMOUS-ANMELDUNG   4200         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe"
    3060   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=crashpad-handler /prefetch:7 --no-rate-limit "--database=C:\Users\MisterX\AppData\Local\Google\Chrome\User Data\Crashpad" --url=https://clients2.google.com/cr/report --annotation=channel=m --annotation=plat=Win32 --annotation=prod=Chrome --annotation=ver=49.0.2623.112 --handshake-handle=0xf4
    1240   SandboxieCrypto.exe       1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Sandboxie\SandboxieCrypto.exe                         Sandboxie COM Services (CryptSvc)                                               Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SandboxieCrypto.exe"
    5364   SbieSvc.exe               1         MisterX               1348         C:\Program Files\Sandboxie\SbieSvc.exe                                 Sandboxie Service                                                               Sandboxie Holdings, LLC                     "C:\Program Files\Sandboxie\SbieSvc.exe" Sandboxie_ComProxy_S-1-5-21-1917469538-3702951636-3216904853-1000_DefaultBox_1_0_:
    5644   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.1.2055710675\1405656142" /prefetch:1
    3448   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=gpu-process --channel="5848.13.1426163587\443499739" --disable-d3d11 --use-gl=swiftshader --supports-dual-gpus=false --swiftshader-path="C:\Users\MisterX\AppData\Local\Google\Chrome\User Data\SwiftShader\3.3.0.1" --gpu-driver-bug-workarounds=3,9,11,16,25,54 --gpu-vendor-id=0x8086 --gpu-device-id=0x2a42 --gpu-driver-vendor="Intel Corporation" --gpu-driver-version=8.15.10.2413 --ignored=" --type=renderer " /prefetch:2
    2116   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.16.1848857118\837491012" /prefetch:1
    3396   conime.exe                1         MisterX               5804         C:\Windows\System32\conime.exe                                         Console IME                                                                     Microsoft Corporation                       C:\Windows\system32\conime.exe
    3668   notepad.exe               1         ANONYMOUS-ANMELDUNG   3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" C:\Sandbox\MisterX\DefaultBox\drive\C\FRST64 LOGS\Processes.txt
    2272   notepad.exe               1         MisterX               3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\System32\notepad.exe"
    5292   notepad.exe               1         ANONYMOUS-ANMELDUNG   3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" C:\Sandbox\MisterX\DefaultBox\drive\C\FRST64 LOGS\Files.txt
    4760   notepad.exe               1         ANONYMOUS-ANMELDUNG   3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" C:\Sandbox\MisterX\DefaultBox\drive\C\FRST64 LOGS\Drivers.txt
    2292   notepad.exe               1         MisterX               3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" G:\PPF_Scan1\Drivers.txt
    3636   notepad.exe               1         ANONYMOUS-ANMELDUNG   3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" C:\Sandbox\MisterX\DefaultBox\drive\C\FRST64 LOGS\Warnings.txt
    2892   notepad.exe               1         MisterX               3888         C:\Windows\System32\notepad.exe                                        Editor                                                                          Microsoft Corporation                       "C:\Windows\system32\NOTEPAD.EXE" G:\PPF_Scan1\ppFiles.txt
    4612   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.38.1396005042\864548686" /prefetch:1
    3600   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.41.616389698\1777904384" /prefetch:1
    5976   cmd.exe                   1         MisterX               3888         C:\Windows\System32\cmd.exe                                            Windows-Befehlsprozessor                                                        Microsoft Corporation                       "C:\Windows\System32\cmd.exe"
    1460   taskmgr.exe               1                               3888
    272    chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.43.300082353\1768527785" /prefetch:1
    4380   PPFScan.exe               1         MisterX               3888         C:\PPFScanner\PPFScan.exe                                              32Bit Systemscanner von Mopao und AHT                                           ah-shareware (privat)                       "C:\PPFScanner\PPFScan.exe"
    5340   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.48.1776896462\474762899" /prefetch:1
    5808   chrome.exe                1         ANONYMOUS-ANMELDUNG   5848         C:\Program Files\Google\Chrome\Application\chrome.exe                  Google Chrome                                                                   Google Inc.                                 "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=renderer --enable-features=AutomaticTabDiscarding<AutomaticTabDiscarding,UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup,WebFontsIntervention<WebFontsIntervention --lang=de --force-fieldtrials=AppBannerTriggering/Aggressive/*AutomaticTabDiscarding/Enabled_Once_10-gen2/CaptivePortalInterstitial/Enabled/ChildAccountDetection/Disabled/*ChromeChannelStable/Enabled/*ClientSideDetectionModel/Model0/*DataReductionProxyConfigService/Enabled/DirectWriteFontProxy/UseDirectWriteFontProxy/*EnableSessionCrashedBubbleUI/Enabled/EnforceCTForProblematicRoots/disabled/*ExtensionInstallVerification/Enforce/IntelligentSessionRestore/Enabled2/*MaterialDesignDownloads/Enabled/PasswordBranding/SmartLockBrandingSavePromptOnly/*PasswordGeneration/Disabled/ReportCertificateErrors/ShowAndPossiblySend/SHA1IdentityUIWarning/Enabled/SHA1ToolbarUIJanuary2016/Warning/SHA1ToolbarUIJanuary2017/Error/SRTPromptFieldTrial/Off/SSLCommonNameMismatchHandling/Enabled/SafeBrowsingUnverifiedDownloads/DisableByParameterMostSbTypes2/Spellcheck/Default/*TriggeredResetFieldTrial/On/*UMA-Dynamic-Uniformity-Trial/Group3/*UMA-Population-Restrict/normal/*UMA-Uniformity-Trial-1-Percent/group_71/*UMA-Uniformity-Trial-10-Percent/group_02/*UMA-Uniformity-Trial-100-Percent/group_01/*UMA-Uniformity-Trial-5-Percent/group_03/*WebFontsIntervention/Enabled_Launch/*srt_reporter/Off/ --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=fetchDeferLateScripts=true,fetchIncreaseFontPriority=true,fetchIncreasePriorities=true --device-scale-factor=1 --num-raster-threads=1 --content-image-texture-target=3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553,3553 --video-image-texture-target=3553 --disable-gpu-compositing --channel="5848.51.1466760529\186067979" /prefetch:1
    6044   timeout.exe               1         MisterX               5976         C:\Windows\System32\timeout.exe                                        timeout - Hält Befehlverarbeitungen an.                                         Microsoft Corporation                       TimeOut  /t 605
    
    
    
    
    
    
    *********************
    *Versteckte Prozesse*
    *********************
    PID:196
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:280
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:1164
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2156
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2208
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2236
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2636
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2800
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:2944
    Dateiname: C:\Windows\System32\dllhost.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3420
    Dateiname: C:\Windows\System32\GfxUI.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3488
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3568
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3988
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4112
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4160
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4200
    Dateiname: C:\Program Files\Sandboxie\Start.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4256
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4308
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4372
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4428
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4824
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4832
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4860
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4864
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:4908
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5000
    Dateiname: C:\Windows\System32\dllhost.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5048
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5052
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5188
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5240
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5252
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5448
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5572
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5576
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5584
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5704
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5856
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5912
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:5968
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:6016
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:6024
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:6072
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: (PID Test)
    PID:3420
    Dateiname: C:\Windows\System32\GfxUI.exe
    Status: Zombie
    Holder-PID: 1884 (Handle 528)
    PID:4200
    Dateiname: C:\Program Files\Sandboxie\Start.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 300)
    PID:5448
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 532)
    PID:4372
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 536)
    PID:2236
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 540)
    PID:5912
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 608)
    PID:5240
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 620)
    PID:5048
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 624)
    PID:3568
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 632)
    PID:4860
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 640)
    PID:2800
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 652)
    PID:280
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 656)
    PID:6024
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 660)
    PID:4428
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 664)
    PID:2208
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 668)
    PID:3488
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 672)
    PID:4256
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 676)
    PID:6016
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 688)
    PID:1164
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 692)
    PID:4308
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 696)
    PID:5252
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 700)
    PID:2944
    Dateiname: C:\Windows\System32\dllhost.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 704)
    PID:5852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 708)
    PID:4824
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 712)
    PID:5572
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 724)
    PID:3988
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 728)
    PID:5584
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 732)
    PID:4112
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 736)
    PID:4728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 740)
    PID:5576
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 744)
    PID:3728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 748)
    PID:5828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 760)
    PID:4160
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 768)
    PID:5000
    Dateiname: C:\Windows\System32\dllhost.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 776)
    PID:2636
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 784)
    PID:5968
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 788)
    PID:4864
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 792)
    PID:4832
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 800)
    PID:5052
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 804)
    PID:5188
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 808)
    PID:4828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 812)
    PID:6072
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 820)
    PID:5704
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 824)
    PID:3852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 832)
    PID:2156
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 840)
    PID:196
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 848)
    PID:4908
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 852)
    PID:5856
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 4792 (Handle 856)
    PID:5448
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 528)
    PID:4372
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 572)
    PID:4372
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 1236)
    PID:5048
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 1652)
    PID:5048
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2372)
    PID:4860
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2404)
    PID:3568
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2420)
    PID:4160
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2512)
    PID:2236
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2612)
    PID:2208
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 2804)
    PID:2236
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3364)
    PID:2800
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3448)
    PID:5852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3552)
    PID:5240
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3660)
    PID:3568
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3764)
    PID:4308
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3856)
    PID:5052
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3884)
    PID:3488
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3896)
    PID:3488
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 3996)
    PID:4256
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4060)
    PID:4256
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4148)
    PID:280
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4348)
    PID:5240
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4424)
    PID:4832
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4488)
    PID:280
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4500)
    PID:4860
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4588)
    PID:5252
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4640)
    PID:4160
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4672)
    PID:4864
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4728)
    PID:5968
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4944)
    PID:4428
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 4956)
    PID:5968
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5056)
    PID:5912
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5228)
    PID:6024
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5284)
    PID:4728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5376)
    PID:6072
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5472)
    PID:2636
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5560)
    PID:4864
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5616)
    PID:6024
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5812)
    PID:4728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5904)
    PID:2636
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 5928)
    PID:4828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6036)
    PID:3728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6060)
    PID:5572
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6188)
    PID:4832
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6380)
    PID:3728
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6536)
    PID:6016
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6616)
    PID:5576
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6692)
    PID:5584
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6808)
    PID:4112
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6856)
    PID:4824
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 6896)
    PID:3988
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7300)
    PID:4112
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7340)
    PID:5572
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7380)
    PID:5448
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7572)
    PID:3988
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7596)
    PID:5252
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 7664)
    PID:5576
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8248)
    PID:1164
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8504)
    PID:196
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8632)
    PID:5584
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8652)
    PID:3852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8664)
    PID:5828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8740)
    PID:5828
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 8804)
    PID:1164
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9252)
    PID:5188
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9304)
    PID:6072
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9356)
    PID:4908
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9408)
    PID:196
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9700)
    PID:3852
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 9768)
    PID:5704
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10080)
    PID:5856
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10116)
    PID:2156
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10148)
    PID:5856
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10480)
    PID:4908
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10692)
    PID:5704
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10720)
    PID:5052
    Dateiname: C:\Program Files\Google\Chrome\Application\chrome.exe
    Status: Zombie
    Holder-PID: 5848 (Handle 10872)
    
    
    ______________________________________________________________________________________________________________________________
    
    
    
    
    ***** Ende des Scans 18.06.2018 um 16:25 ***
    Alles anzeigen

    Der Eintrag Prozessliste:
    Hier sind die gerade vom System sichtbar ausgeführten Prozesse (gestarteten Programme) zu finden.
    Wichtig sind hier erst mal auch die Einträge unter Kommandozeile. Über manche Microsoft Programme, zum Beispiel RUNDLL32.EXE, lassen sich über einen Kommandozeilenbefehl spezielle DLLs laden. Unter Kommandozeile sieht man, welche DLL zum Beispiel von einer RUNDLL32.EXE ausgeführt wird.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Datei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Dateien ohne Beschreibung, ungewöhnlichen Angaben zum Hersteller oder ungewöhnliche Datei- und Pfadnamen.

    Der Eintrag Versteckte Prozesse:
    Der Scanner führt hier einen kleinen RootKit Test durch und sucht dabei nach versteckten Prozessen. Der Test ist eher oberflächlich, kann aber erste Hinweise auf laufende RootKits geben.
    Status Zombie: Ein Zombie ist ein bereits beendeter Prozess, von dem noch Teile im Speicher zurückgeblieben sind. Ein Zombie deutet in der Regel nicht auf RootKits hin, sondern auf Probleme mit dem Prozesse, dessen ID unter Holder-PID angegeben wird.
    Werden beim Scan Programme gestartet oder beendet, kann es hier zu Fehlmeldungen kommen. Ein hier gemeldetes RootKit sollte durchs Scans mit weiteren RootKit Scannern abgeklärt werden.

    2 Mal editiert, zuletzt von AxT (20. Juni 2018 um 23:16)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 8. März 2011 um 20:14
    • #6

    Die MD5.TXT enthält die MD5 Summen aller Dateien aus dem System32 und dem Drivers Ordner, sowie die MD5 der EXPLORER.EXE aus dem Windows Ordner. Konnte von einer Datei keine MD5 erstellt werden, ist der Platz hinter dem -> frei.
    Eine MD5 kann nicht erstellt werden, wenn
    a) die Datei 0 Bytes groß ist
    b) der Zugriff zum Lesen der Datei verweigert wird
    Ich schaue hier zuerst immer nach Dateien, bei denen keine MD5 erstellt werden konnte. Alle ausführbaren Dateien (EXE, SYS und DLL), von denen keine MD5 erstellt werden konnte, sind erst mal verdächtig. Stammen die (laut Dateinamen) auch noch von Microsoft, ist das ein fast hundertprozentiger Hinweis auf ein TDSS RootKit.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 13:54
    • #7

    In der Datei Hidden.txt kann man Informationen über DLLs finden, die in einen Microsoft Prozess geladen wurden, die aber nicht in der DLL-Liste des Prozesses auftauchen. Ich verwende hier eine von mir vor einigen Jahren selbst entwickelte und zur Zeit noch recht effektive Scantechnik. Bis einschließlich WindowsXP darf in dieser Datei eigentlich gar nichts stehen. Ab Vista gibt es da einige DLLs, die das Betriebsystem unsichtbar in einige Systemprozesse lädt. Diese DLLs sind ausnahmslos von Microsoft.
    In meinem Testbeispiel wurde eine unsichtbare RootKit-DLL in den Prozess DWM.EXE geladen. Die Sachen, auf die man achten sollte, sind rot markiert.

    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                             º                                    º
                             º    PPFScanner v1.0 (long Scan)     º
                             º              Scanfile 3            º
                             º                                    º
                             $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                                                     @Mopao and AHT
    Scanstart: 09.03.2011   13:15
    Microsoft Windows [Version 6.1.7600]
    Windows 7 Home Premium
    Servicepack: 
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1: Intel(R) Pentium(R) M processor 1500MHz
    Processor 1 Identifier: x86 Family 6 Model 9 Stepping 5
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 1500MHZ
    Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD
    PPFScan Version: 1.0.15.1
    SeDebugPrivilege: 1
    Call: 1
    Threads: 2 -> 1484 4016 
    Nicht geladene Module: C:\Windows\system32\dwmapi.dll; C:\Windows\system32\CRYPTBASE.dll
    UAC: aktiviert
    Admin: ja
    Mandatory Policy Level: $1
    PPFScanner Ordner: D:\PPFScanner\
    User: Andreas Hötker
    ProgramData: C:\ProgramData
    Programfiles: C:\Program Files
    CommonProgramFiles: C:\Program Files\Common Files
    Systemroot: C:\Windows
    Systemroot aus Registry: C:\Windows
    UserProfile: C:\Users\Andreas Hötker
    Temporary Files: C:\Users\Andreas Hötker\AppData\Local\Temp
    Applicationdata: C:\Users\Andreas Hötker\AppData\Roaming
    Local Applicationdata: C:\Users\Andreas Hötker\AppData\Local
    Common Applicationdata: C:\ProgramData
    Startup: C:\Users\Andreas Hötker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    Java Version: nicht installiert
    Internet Explorer Version: 8.0.7600.16385
    
    
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    [b]Versteckte Module[/b]
    svchost.exe (808)
      Adresse: 1894776832
      Größe (Speicher): 12288 (12288)
      Vermutlicher Dateiname: WinMgmtR.dll
      Vermutlicher Firmenname: Microsoft Corporation
      Vermutlicher Produktname: Microsoft® Windows® Operating System
      Vermutliche Dateibeschreibung: WMI
      Relevante Textausdrücke: LCompanyName: Microsoft Corporation
                               0FileDescription: WMI
                               WinMgmtR.dll
                               B
                               OriginalFilename: WinMgmtR.dll
                               j%ProductName: Microsoft® Windows® Operating System
    
    ____________________________
    svchost.exe (808)
      Adresse: 1935015936
      Größe (Speicher): 1564672 (1564672)
      Einsprungsadresse: Offset+21793
      Vermutlicher Dateiname: tquery.dll
      Vermutlicher Firmenname: Microsoft Corporation
      Vermutlicher Produktname: Windows® Search
      Vermutliche Dateibeschreibung: tquery.dll
      Relevante Textausdrücke: msvcrt.dll
                               ntdll.dll
                               API-MS-Win-Core-NamedPipe-L1-1-0.dll
                               KERNEL32.dll
                               USER32.dll
                               ole32.dll
                               OLEAUT32.dll
                               SHLWAPI.dll
                               TQUERY.DLL
                               API-MS-WIN-Service-winsvc-L1-1-0.dll
                               API-MS-WIN-Service-Management-L1-1-0.dll
                               ADVAPI32.dll
                               PROPSYS.dll
                               WINTRUST.dll
                               API-MS-Win-Security-SDDL-L1-1-0.dll
                               srvcli.dll
                               netutils.dll
                               SHELL32.dll
                               SHLWAPI.dll
                               OLEAUT32.dll
                               ole32.dll
                               USER32.dll
                               KERNEL32.dll
                               API-MS-Win-Core-NamedPipe-L1-1-0.dll
                               ntdll.dll
                               msvcrt.dll
                               ??????????????kernel32.dll
                               ?.dll
                               ????????????????@????????????tQuery.dll
                               ???????????????????????????????????????????????????????????????????????x?????????????????????????????????????tquery.dll
                               ????????0??????????????????0?????????????????,??n?????????????????????????????????????????????????????jj?(V??????(V?&???????????W?advapi32.dll
                               ????????W??API-MS-Win-Core-LocalRegistry-L1-1-0.dll
                               ???????????????????k??????????????????????????e???????????????r???????s?DBGHELP.DLL
                               LCompanyName: Microsoft Corporation
                               >FileDescription: tquery.dll
                               tquery.dll
                               >OriginalFilename: tquery.dll
                               @ProductName: Windows® Search
    
    ____________________________
    svchost.exe (808)
      Adresse: 1971781632
      Größe (Speicher): 270336 (270336)
      Einsprungsadresse: Offset+4960
      Vermutlicher Dateiname: wevtapi.dll
      Vermutlicher Firmenname: Microsoft Corporation
      Vermutlicher Produktname: Microsoft® Windows® Operating System
      Vermutliche Dateibeschreibung: Eventing Consumption and Configuration API
      Relevante Textausdrücke: ntdll.dll
                               msvcrt.dll
                               API-MS-Win-Security-Base-L1-1-0.dll
                               KERNEL32.dll
                               wevtapi.dll
                               RPCRT4.dll
                               API-MS-Win-Security-SDDL-L1-1-0.dll
                               KERNEL32.dll
                               API-MS-Win-Security-Base-L1-1-0.dll
                               msvcrt.dll
                               ntdll.dll
                               LCompanyName: Microsoft Corporation
                               ~+FileDescription: Eventing Consumption and Configuration API
                               wevtapi.dll
                               @
                               OriginalFilename: wevtapi.dll
                               j%ProductName: Microsoft® Windows® Operating System
    
    ____________________________
    [COLOR=red]dwm.exe (1148)
    [/COLOR]  Adresse: 1827405824
      Größe (Speicher): 417792 (417792)
      Einsprungsadresse: Offset+375968
      [COLOR=red]Vermutlicher Firmenname: _
    [/COLOR]  [COLOR=red]Vermutlicher Produktname: DCIThreadHunter
      Vermutliche Dateibeschreibung: Testrootkit DLL
    [/COLOR]  Relevante Textausdrücke: c>·ÝÿÿÁser32.dll
                               user32.dll
                               Shell32.dll
                               urlmon.dll
                               eÈ[^_ÉÃ.DLL
                               <?xml version='1.0' encoding='UTF-8' standalone='yes'?>
    
                        <assembly xmlns='urn:schemas-microsoft-com:asm.v1' manifestVersion='1.0'>
    
                        <assemblyIdentity
    
                            version='1.0.0.0'
    
                            processorArchitecture='X86'
    
                            name='CompanyName.ProductName.YourApplication'
    
                            type='win32'
    
                        />
    
                        <description>Your application description here.</description>
    
                        <dependency>
    
                            <dependentAssembly>
    
                                <assemblyIdentity
    
                                    type='win32'
    
                                    name='Microsoft.Windows.Common-Controls'
    
                                    version='6.0.0.0'
    
                                    processorArchitecture='X86'
    
                                    publicKeyToken='6595b64144ccf1df'
    
                                    language='*'
    
                                />
    
                            </dependentAssembly>
    
                        </dependency>
    
                        </assembly>
    
                        PAD: 0]
                               KERNEL32.DLL
                               COMCTL32.DLL
                               COMDLG32.DLL
                               GDI32.dll
                               msvcrt.dll
                               OLE32.dll
                               SHELL32.DLL
                               USER32.dll
                               WINMM.DLL
                               scw.dll
                               @ProductName: DCIThreadHunter
                               HFileDescription: Testrootkit DLL
                               $CompanyName: _
    
    ____________________________
    iexplore.exe (3072)
      Adresse: 1947795456
      Größe (Speicher): 53248 (53248)
      Vermutlicher Dateiname: MSHTMLER.DLL
      Vermutlicher Firmenname: Microsoft Corporation
      Vermutlicher Produktname: Windows® Internet Explorer
      Vermutliche Dateibeschreibung: Microsoft® HTML Editing Component's Resource DLL
      Relevante Textausdrücke: LCompanyName: Microsoft Corporation
                               ?1FileDescription: Microsoft® HTML Editing Component's Resource DLL
                               MSHTMLER.DLL
                               B
                               OriginalFilename: MSHTMLER.DLL
                               VProductName: Windows® Internet Explorer
    
    ____________________________
     
    [b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
    
    
    ***** Ende des Scans 09.03.2011 um 13:47 ***
    Alles anzeigen
  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 14:00
    • #8

    In der Scandatei Warnings.txt findet man Hinweise darauf, ob Zugriffe auf ein Objekt verweigert wurden, hinter denen sich ein RootKit verbergen kann. Alles was hier mit "Zugriff verweigert" steht (besonders Registryschlüssel), sollte als Alarmmeldung wahrgenommen werden. Diese Einträge sollten (wenn auffällig) mit weiteren RootKit-Scans überprüft werden.
    Desweiteren findet man hier Dateien mit ungültigen Signatureinträgen. Alle Dateien mit dem Vermerk "...nicht vertrauenswürdig..." sollten auf Malware hin überprüft werden!

    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                             º                                    º
                             º    PPFScanner v2.4 (long Scan)     º
                             º              Scanfile 9            º
                             º                                    º
                             $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                                                     @Mopao and AHT
    Scanstart: 01.12.2011   20:54
    Microsoft Windows (Version 6.0.6002]
    Windows Vista (TM) Home Premium
    Servicepack: Service Pack 2
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
    Processor 1 Identifier: x86 Family 15 Model 104 Stepping 2
    Processor 1 Vendor: AuthenticAMD
    Geschwindigkeit von Prozessor  1: 1600MHZ
    Processor 2: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
    Processor 2 Identifier: x86 Family 15 Model 104 Stepping 2
    Processor 2 Vendor: AuthenticAMD
    Geschwindigkeit von Prozessor  2: 1600MHZ
    Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = CDROM, G:\ = HDD
    PPFScan Version: 2,4,37,2626
    SeDebugPrivilege: 1
    Call: 1
    Threads: 4 -> 1840 2956 5184 2732 
    Nicht geladene Module: C:\Windows\system32\rsaenh.dll; C:\Windows\system32\ncrypt.dll; C:\Windows\system32\BCRYPT.dll; C:\Windows\system32\NTMARTA.DLL; C:\Windows\system32\WLDAP32.dll; C:\Windows\system32\SAMLIB.dll
    Admin: ja
    Mandatory Policy Level: $1
    PPFScanner Ordner: C:\PureBasic\PPFscanner\
    User: Andreas Hötker / S-1-5-21-2909440590-226754125-777164434-1000
    ProgramData: C:\ProgramData
    Programfiles: C:\Program Files
    CommonProgramFiles: C:\Program Files\Common Files
    Systemroot: C:\Windows
    Systemroot aus Registry: C:\Windows
    UserProfile: C:\Users\Andreas Hötker
    Temporary Files: C:\Users\Andreas Hötker\AppData\Local\temp
    Applicationdata: C:\Users\Andreas Hötker\AppData\Roaming
    Local Applicationdata: C:\Users\Andreas Hötker\AppData\Local
    Common Applicationdata: C:\ProgramData
    Startup: C:\Users\Andreas Hötker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    Java Version: 1.6
    Internet Explorer Version: 9.0.8112.16421
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Avira\AntiVir Desktop\TEMP\avguard2.tmp
    Warnung: Zugriff verweigert
     (read)
     ->C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\64dd35aaf564050a8b3d36cad6346796_55790d3e-876c-4782-af9d-1d8232177834
    Warnung: Zugriff verweigert
     (read)
     ->C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\79b771cde2e6bb67be28faf85d6f256f_55790d3e-876c-4782-af9d-1d8232177834
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.1312.Crwl
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.1312.gthr
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk1.gthr
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk2.gthr
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.Ntfy393.gthr
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010004.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010005.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010006.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010008.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000A.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000B.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000B.wsb
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000C.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010012.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010013.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010014.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010016.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010018.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010019.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001B.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001C.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001D.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001E.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001001F.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010020.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010021.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010022.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010024.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010025.wid
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\INDEX.000
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\CiPT0000.000
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\Used0000.000
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore\CiST0000.000
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-11022006-050241.log
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\Adobe\Reader 10.0\Reader\Onix32.dll
    Warnung: Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.
     (signature)
     ->C:\Program Files\PureBasic\Compilers\porc.dll
    Warnung: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.
     (signature)
     ->C:\Program Files\PureBasic\Compilers\polink.exe
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltkrn15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltimgutl15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltimgefx15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltimgcor15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltimgclr15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltfil15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltefx15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltdis15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Ltclr15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lftif15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lftga15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lfpsd15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lfpng15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lfgif15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lffax15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lfcmp15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Shared Files\Lfbmp15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltimgclr15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltkrn15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltimgutl15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltimgefx15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltimgcor15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltfil15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltefx15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltdis15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Ltclr15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lftga15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lfpsd15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lfpng15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lfgif15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lfbmp15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lftif15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lffax15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\PowerDirector\Lfcmp15u.dll
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Program Files\CyberLink\Power2Go\P2GVB.ax
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    Warnung: Zugriff verweigert
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\CardSpace\CardSpace.db
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Feeds\Microsoft-Feeds~\MSN Nachrichten~.feed-ms
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat{bc727dc1-cf61-11dd-986e-001e680aa22c}.TM.blf
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat{bc727dc1-cf61-11dd-986e-001e680aa22c}.TMContainer00000000000000000001.regtrans-ms
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\UsrClass.dat{bc727dc1-cf61-11dd-986e-001e680aa22c}.TMContainer00000000000000000002.regtrans-ms
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows Sidebar\Settings.ini
    Warnung: Zugriff verweigert
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\AcroIEHelpe046.dll
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\ehmsas.txt
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\~DF31C1.tmp
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\~DF31D2.tmp
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\~DF987B.tmp
    Warnung: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
     (read)
     ->C:\Users\Andreas Hötker\AppData\Local\temp\~DF9886.tmp
    Warnung: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
     (signature)
     ->C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0FGV1ES2\streamcatcher2_free.exe
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    ***** Ende des Scans 01.12.2011 um 22:11 ***
    Alles anzeigen



    Tauchen in dieser Datei hinweise auf IAT Hooks oder Patches in einer bestimmten DLL auf, kann das auf das Vorhandensein eines Usermode Rootkits hindeuten.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 14:07
    • #9

    Aus der Scandatei Scripting.txt kann man ersehen, ob beim Ausführen von Scripten alles geklappt hat und was schief gelaufen ist.
    Die Datei wird meist erst wichtig, wenn der User irgendwelche Probleme beim Scan meldet.
    An wichtigen Daten werden dort eigentlich nur Zugriffslisten abgelegt, wenn folgende Scriptingbefehle verwendet werden:

    • FILE_ACES
    • SET_FILE_ACE_IN_DACL
    • READ_FILE_IL
    • READ_FILE_IL_NO_EXPAND
    • SET_FILE_IL
    • SET_FILE_IL_NO_EXPAND
    • SET_REGKEY_ACE_IN_DACL
    • REGKEY_ACES
    • READ_REGKEY_IL
    • SET_REGKEY_IL

    2 Mal editiert, zuletzt von AxT (20. Juni 2018 um 21:56)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 14:43
    • #10
    Code
    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                             º                                    º
                             º    PPFScanner v1.0 (long Scan)     º
                             º              Scanfile 1            º
                             º                                    º
                             $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                                                     @Mopao and AHT
    Scanstart: 09.03.2011   13:15
    Microsoft Windows [Version 6.1.7600]
    Windows 7 Home Premium
    Servicepack: 
    läuft auf 32-Bit Windows
    Boot: Normal boot
    Processor 1: Intel(R) Pentium(R) M processor 1500MHz
    Processor 1 Identifier: x86 Family 6 Model 9 Stepping 5
    Processor 1 Vendor: GenuineIntel
    Geschwindigkeit von Prozessor  1: 1500MHZ
    Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD
    PPFScan Version: 1.0.15.1
    SeDebugPrivilege: 1
    Call: 1
    Threads: 2 -> 1484 4016 
    Nicht geladene Module: C:\Windows\system32\dwmapi.dll; C:\Windows\system32\CRYPTBASE.dll
    UAC: aktiviert
    Admin: ja
    Mandatory Policy Level: $1
    PPFScanner Ordner: D:\PPFScanner\
    User: Andreas Hötker
    ProgramData: C:\ProgramData
    Programfiles: C:\Program Files
    CommonProgramFiles: C:\Program Files\Common Files
    Systemroot: C:\Windows
    Systemroot aus Registry: C:\Windows
    UserProfile: C:\Users\Andreas Hötker
    Temporary Files: C:\Users\Andreas Hötker\AppData\Local\Temp
    Applicationdata: C:\Users\Andreas Hötker\AppData\Roaming
    Local Applicationdata: C:\Users\Andreas Hötker\AppData\Local
    Common Applicationdata: C:\ProgramData
    Startup: C:\Users\Andreas Hötker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    Java Version: nicht installiert
    Internet Explorer Version: 8.0.7600.16385
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\[/B]
    09.03.2011 13:03     C:\System Volume Information
    09.03.2011 12:58     C:\pagefile.sys --------- 1073741824
    09.03.2011 12:58     C:\hiberfil.sys --------- 603627520
    01.02.2011 02:18     C:\Program Files
    31.01.2011 11:22     C:\PPF_Scan1
    31.01.2011 10:48     C:\Windows
    30.01.2011 16:43     C:\ProgramData
    31.12.2010 15:51     C:\PPFScanner
    11.12.2010 03:56     C:\PPFS_Tools
    10.12.2010 21:29     C:\PPFS_Sicherung
    10.11.2010 15:28     C:\Sicherung
    09.11.2010 11:39     C:\PPFS_Scan1
    01.06.2010 12:09     C:\Scanfiles
    17.05.2010 20:13     C:\Sandbox
    20.03.2010 12:20     C:\RECYCLER
    31.10.2009 19:59     C:\Users
    31.10.2009 19:59     C:\Recovery
    31.10.2009 19:59     C:\Programme
    31.10.2009 19:59     C:\Dokumente und Einstellungen
    31.10.2009 19:59     C:\$Recycle.Bin
    14.07.2009 05:53     C:\Documents and Settings
    14.07.2009 03:37     C:\PerfLogs
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows[/B]
    09.03.2011 13:15     C:\Windows\Temp
    09.03.2011 13:05     C:\Windows\WindowsUpdate.log --------- 1298218
    09.03.2011 13:04     C:\Windows\winsxs
    09.03.2011 13:04     C:\Windows\Prefetch
    09.03.2011 12:58     C:\Windows\setupact.log --------- 27587
    09.03.2011 12:58     C:\Windows\bootstat.dat --------- 67584
    27.02.2011 12:30     C:\Windows\System32
    01.02.2011 02:18     C:\Windows\Installer
    01.02.2011 02:18     C:\Windows\assembly
    31.01.2011 10:48     C:\Windows\Sandboxie.ini --------- 2462
    30.01.2011 16:43     C:\Windows\Downloaded Program Files
    30.01.2011 16:33     C:\Windows\PFRO.log --------- 4658
    30.01.2011 02:00     C:\Windows\Tasks
    29.12.2010 20:26     C:\Windows\inf
    11.12.2010 02:41     C:\Windows\ntbtlog.txt --------- 199818
    16.11.2010 23:24     C:\Windows\Microsoft.NET
    13.11.2010 10:20     C:\Windows\SoftwareDistribution
    02.11.2010 20:51     C:\Windows\ehome
    02.11.2010 20:51     C:\Windows\AppPatch
    05.12.2009 09:36     C:\Windows\Logs
    04.11.2009 14:57     C:\Windows\PROFED32.INI --------- 174
    03.11.2009 09:32     C:\Windows\Minidump
    03.11.2009 09:32     C:\Windows\MEMORY.DMP --------- 140909057
    02.11.2009 07:11     C:\Windows\debug
    01.11.2009 22:36     C:\Windows\PROFAN.LOG --------- 102
    31.10.2009 20:16     C:\Windows\ativpsrm.bin --------- 0
    31.10.2009 20:05     C:\Windows\DPINST.LOG --------- 7778
    31.10.2009 19:59     C:\Windows\Panther
    31.10.2009 19:53     C:\Windows\TSSysprep.log --------- 1313
    31.10.2009 19:50     C:\Windows\DtcInstall.log --------- 1774
    14.07.2009 09:59     C:\Windows\Globalization
    14.07.2009 09:57     C:\Windows\ShellNew
    14.07.2009 09:57     C:\Windows\PolicyDefinitions
    14.07.2009 09:47     C:\Windows\Speech
    14.07.2009 09:47     C:\Windows\servicing
    14.07.2009 09:47     C:\Windows\IME
    14.07.2009 09:47     C:\Windows\Help
    14.07.2009 09:47     C:\Windows\DigitalLocker
    14.07.2009 09:47     C:\Windows\de-DE
    14.07.2009 05:54     C:\Windows\win.ini --------- 403
    14.07.2009 05:52     C:\Windows\Web
    14.07.2009 05:52     C:\Windows\twain_32
    14.07.2009 05:52     C:\Windows\system
    14.07.2009 05:52     C:\Windows\schemas
    14.07.2009 05:52     C:\Windows\Resources
    14.07.2009 05:52     C:\Windows\Performance
    14.07.2009 05:52     C:\Windows\Offline Web Pages
    14.07.2009 05:52     C:\Windows\Media
    14.07.2009 05:52     C:\Windows\L2Schemas
    14.07.2009 05:52     C:\Windows\Fonts
    14.07.2009 05:52     C:\Windows\diagnostics
    14.07.2009 05:52     C:\Windows\Cursors
    14.07.2009 05:52     C:\Windows\Branding
    14.07.2009 05:52     C:\Windows\Boot
    14.07.2009 05:52     C:\Windows\addins
    14.07.2009 05:46     C:\Windows\TAPI
    14.07.2009 05:41     C:\Windows\WindowsShell.Manifest --------- 749
    14.07.2009 05:39     C:\Windows\setuperr.log --------- 0
    14.07.2009 05:34     C:\Windows\Setup
    14.07.2009 05:34     C:\Windows\ServiceProfiles
    14.07.2009 03:37     C:\Windows\Vss
    14.07.2009 03:37     C:\Windows\security
    14.07.2009 03:37     C:\Windows\Registration
    14.07.2009 03:37     C:\Windows\PLA
    14.07.2009 03:37     C:\Windows\AppCompat
    14.07.2009 03:05     C:\Windows\SchCache
    14.07.2009 03:04     C:\Windows\tracing
    14.07.2009 03:04     C:\Windows\ModemLogs
    14.07.2009 03:03     C:\Windows\LiveKernelReports
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\System[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\system32[/B]
    09.03.2011 13:15     C:\Windows\system32\config
    09.03.2011 13:07     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 14816
    09.03.2011 13:07     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 14816
    09.03.2011 13:05     C:\Windows\system32\catroot2
    09.03.2011 13:05     C:\Windows\system32\catroot
    19.02.2011 16:47     C:\Windows\system32\FNTCACHE.DAT --------- 265640
    19.02.2011 16:46     C:\Windows\system32\drivers
    11.02.2011 21:44     C:\Windows\system32\MRT.exe --------- 37443528
    30.01.2011 02:00     C:\Windows\system32\Tasks
    29.12.2010 20:26     C:\Windows\system32\PerfStringBackup.INI --------- 1498506
    29.12.2010 20:26     C:\Windows\system32\perfh009.dat --------- 616008
    29.12.2010 20:26     C:\Windows\system32\perfh007.dat --------- 654166
    29.12.2010 20:26     C:\Windows\system32\perfc009.dat --------- 106388
    29.12.2010 20:26     C:\Windows\system32\perfc007.dat --------- 130006
    29.12.2010 19:59     C:\Windows\system32\migration
    29.12.2010 19:59     C:\Windows\system32\de-DE
    18.11.2010 16:34     C:\Windows\system32\LogFiles
    13.11.2010 12:18     C:\Windows\system32\wdi
    13.11.2010 10:22     C:\Windows\system32\Wat
    02.11.2010 20:43     C:\Windows\system32\en-US
    05.10.2010 21:23     C:\Windows\system32\DriverStore
    27.01.2010 03:09     C:\Windows\system32\wpcap.dll --------- 281104 ----- [CACE Technologies, Inc.]
    27.01.2010 03:09     C:\Windows\system32\pthreadVC.dll --------- 53299
    27.01.2010 03:09     C:\Windows\system32\Packet.dll --------- 96784 ----- [CACE Technologies, Inc.]
    05.12.2009 09:44     C:\Windows\system32\Macromed
    31.10.2009 20:37     C:\Windows\system32\Boot
    31.10.2009 20:11     C:\Windows\system32\restore
    31.10.2009 20:05     C:\Windows\system32\CodeIntegrity
    31.10.2009 20:02     C:\Windows\system32\wbem
    31.10.2009 19:59     C:\Windows\system32\Recovery
    31.10.2009 19:53     C:\Windows\system32\sysprep
    14.07.2009 09:47     C:\Windows\system32\XPSViewer
    14.07.2009 09:47     C:\Windows\system32\winrm
    14.07.2009 09:47     C:\Windows\system32\WinBioPlugIns
    14.07.2009 09:47     C:\Windows\system32\WCN
    14.07.2009 09:47     C:\Windows\system32\slmgr
    14.07.2009 09:47     C:\Windows\system32\Setup
    14.07.2009 09:47     C:\Windows\system32\Printing_Admin_Scripts
    14.07.2009 09:47     C:\Windows\system32\oobe
    14.07.2009 09:47     C:\Windows\system32\MUI
    14.07.2009 09:47     C:\Windows\system32\migwiz
    14.07.2009 09:47     C:\Windows\system32\Dism
    14.07.2009 09:47     C:\Windows\system32\de
    14.07.2009 09:47     C:\Windows\system32\com
    14.07.2009 09:47     C:\Windows\system32\0407
    14.07.2009 05:56     C:\Windows\system32\umstartup.etl --------- 21504
    14.07.2009 05:54     C:\Windows\system32\wfp
    14.07.2009 05:52     C:\Windows\system32\WindowsPowerShell
    14.07.2009 05:52     C:\Windows\system32\WinBioDatabase
    14.07.2009 05:52     C:\Windows\system32\Speech
    14.07.2009 05:47     C:\Windows\system32\umstartup000.etl --------- 9216
    14.07.2009 05:42     C:\Windows\system32\migwiz.lnk --------- 1244
    14.07.2009 05:42     C:\Windows\system32\mapisvc.inf --------- 535
    14.07.2009 05:42     C:\Windows\system32\FxsTmp
    14.07.2009 05:42     C:\Windows\system32\desktop.ini --------- 73
    14.07.2009 05:41     C:\Windows\system32\spool
    14.07.2009 05:34     C:\Windows\system32\Microsoft
    14.07.2009 03:37     C:\Windows\system32\zh-TW
    14.07.2009 03:37     C:\Windows\system32\zh-HK
    14.07.2009 03:37     C:\Windows\system32\zh-CN
    14.07.2009 03:37     C:\Windows\system32\winevt
    14.07.2009 03:37     C:\Windows\system32\uk-UA
    14.07.2009 03:37     C:\Windows\system32\tr-TR
    14.07.2009 03:37     C:\Windows\system32\th-TH
    14.07.2009 03:37     C:\Windows\system32\sv-SE
    14.07.2009 03:37     C:\Windows\system32\sr-Latn-CS
    14.07.2009 03:37     C:\Windows\system32\sppui
    14.07.2009 03:37     C:\Windows\system32\spp
    14.07.2009 03:37     C:\Windows\system32\SMI
    14.07.2009 03:37     C:\Windows\system32\sl-SI
    14.07.2009 03:37     C:\Windows\system32\sk-SK
    14.07.2009 03:37     C:\Windows\system32\ru-RU
    14.07.2009 03:37     C:\Windows\system32\ro-RO
    14.07.2009 03:37     C:\Windows\system32\ras
    14.07.2009 03:37     C:\Windows\system32\pt-PT
    14.07.2009 03:37     C:\Windows\system32\pt-BR
    14.07.2009 03:37     C:\Windows\system32\pl-PL
    14.07.2009 03:37     C:\Windows\system32\nl-NL
    14.07.2009 03:37     C:\Windows\system32\NetworkList
    14.07.2009 03:37     C:\Windows\system32\nb-NO
    14.07.2009 03:37     C:\Windows\system32\Msdtc
    14.07.2009 03:37     C:\Windows\system32\manifeststore
    14.07.2009 03:37     C:\Windows\system32\lv-LV
    14.07.2009 03:37     C:\Windows\system32\lt-LT
    14.07.2009 03:37     C:\Windows\system32\ko-KR
    14.07.2009 03:37     C:\Windows\system32\ja-JP
    14.07.2009 03:37     C:\Windows\system32\it-IT
    14.07.2009 03:37     C:\Windows\system32\IME
    14.07.2009 03:37     C:\Windows\system32\icsxml
    14.07.2009 03:37     C:\Windows\system32\ias
    14.07.2009 03:37     C:\Windows\system32\hu-HU
    14.07.2009 03:37     C:\Windows\system32\hr-HR
    14.07.2009 03:37     C:\Windows\system32\he-IL
    14.07.2009 03:37     C:\Windows\system32\fr-FR
    14.07.2009 03:37     C:\Windows\system32\fi-FI
    14.07.2009 03:37     C:\Windows\system32\et-EE
    14.07.2009 03:37     C:\Windows\system32\es-ES
    14.07.2009 03:37     C:\Windows\system32\el-GR
    14.07.2009 03:37     C:\Windows\system32\da-DK
    14.07.2009 03:37     C:\Windows\system32\cs-CZ
    14.07.2009 03:37     C:\Windows\system32\bg-BG
    14.07.2009 03:37     C:\Windows\system32\ar-SA
    14.07.2009 03:37     C:\Windows\system32\AdvancedInstallers
    14.07.2009 03:05     C:\Windows\system32\inetsrv
    14.07.2009 03:04     C:\Windows\system32\NDF
    14.07.2009 03:03     C:\Windows\system32\GroupPolicyUsers
    14.07.2009 03:03     C:\Windows\system32\GroupPolicy
    14.07.2009 02:06     C:\Windows\system32\imageres.dll --------- 20268032
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\system32\Drivers[/B]
    29.12.2010 20:02     C:\Windows\system32\Drivers\avipbb.sys --------- 135096 ----- [Avira GmbH]
    05.12.2010 21:36     C:\Windows\system32\Drivers\avgntflt.sys --------- 61960 ----- [Avira GmbH]
    27.01.2010 03:09     C:\Windows\system32\Drivers\npf.sys --------- 50704 ----- [CACE Technologies, Inc.]
    01.11.2009 13:31     C:\Windows\system32\Drivers\ssmdrv.sys --------- 28520 ----- [Avira GmbH]
    31.10.2009 20:04     C:\Windows\system32\Drivers\UMDF
    31.10.2009 20:04     C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf --------- 0
    14.07.2009 09:47     C:\Windows\system32\Drivers\de-DE
    14.07.2009 03:37     C:\Windows\system32\Drivers\etc
    10.06.2009 22:27     C:\Windows\system32\Drivers\MsftWdf_Kernel_01009_Inbox_Critical.Wdf --------- 3
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\Tasks[/B]
    09.03.2011 12:58     C:\Windows\Tasks\SA.DAT --------- 6
    14.07.2009 05:53     C:\Windows\Tasks\SCHEDLGU.TXT --------- 31120
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\system32\spool\prtprocs[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]'.JOB' Dateien im Ordner 'Tasks'[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]'autorun.inf' Files[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]'.LNK' Dateien in Autostartordnern [/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\Temp (ausführbare Dateien)[/B]
    09.11.2010 11:33     C:\Windows\Temp\TMP000000283D305E9669622EE0 --------- 524288
    25.08.2010 09:06     C:\Windows\Temp\TMP0000002AF5F348104178BE3C --------- 524288
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Users\Andreas Hötker\AppData\Local\Temp (ausführbare Dateien)[/B]
    27.02.2011 09:39     C:\Users\Andreas Hötker\AppData\Local\Temp\C331.dir\InstallFlashPlayer.exe --------- 2871968 ----- [Adobe Systems Incorporated]
    30.01.2011 01:57     C:\Users\Andreas Hötker\AppData\Local\Temp\TFRE638.tmp --------- 45624 ----- [Google Inc]
    30.01.2011 00:20     C:\Users\Andreas Hötker\AppData\Local\Temp\4E1B.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    09.01.2011 13:50     C:\Users\Andreas Hötker\AppData\Local\Temp\BC69.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    31.12.2010 15:47     C:\Users\Andreas Hötker\AppData\Local\Temp\4216.dir\InstallFlashPlayer.exe --------- 2827728 ----- [Adobe Systems Incorporated]
    31.12.2010 15:47     C:\Users\Andreas Hötker\AppData\Local\Temp\20FB.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    11.12.2010 03:53     C:\Users\Andreas Hötker\AppData\Local\Temp\23BE.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    11.12.2010 03:26     C:\Users\Andreas Hötker\AppData\Local\Temp\5877.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    11.12.2010 02:50     C:\Users\Andreas Hötker\AppData\Local\Temp\4A7E.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    14.11.2010 20:32     C:\Users\Andreas Hötker\AppData\Local\Temp\B612.dir\InstallFlashPlayer.exe --------- 2827728 ----- [Adobe Systems Incorporated]
    14.11.2010 20:32     C:\Users\Andreas Hötker\AppData\Local\Temp\47D1.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    04.10.2010 10:31     C:\Users\Andreas Hötker\AppData\Local\Temp\SandboxieInstall.exe --------- 1744616 ----- [SANDBOXIE L.T.D]
    13.09.2010 08:26     C:\Users\Andreas Hötker\AppData\Local\Temp\DF9.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    18.03.2010 15:02     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\update.exe --------- 512769
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aescript.dll --------- 1024378
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aesbx.dll --------- 254323
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aerdl.dll --------- 541043
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aeoffice.dll --------- 201083
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aeheur.dll --------- 2470262
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aehelp.dll --------- 237941
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aegen.dll --------- 373107
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aecore.dll --------- 188789
    16.03.2010 15:55     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccgenrc.dll --------- 39784
    16.03.2010 15:45     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\setup.exe --------- 665256 ----- [Avira GmbH]
    16.03.2010 15:43     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccgen.dll --------- 870248
    16.03.2010 15:38     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avsmtp.dll --------- 63848
    16.03.2010 15:36     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avguard.exe --------- 267432 ----- [Avira GmbH]
    15.03.2010 11:25     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avghook.dll --------- 435560
    11.03.2010 10:01     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\extdlgfw.dll --------- 237928
    10.03.2010 09:38     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\fact.exe --------- 348840 ----- [Avira GmbH]
    09.03.2010 17:46     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccavscanexrc.dll --------- 14696
    09.03.2010 16:21     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\guardhlp.exe --------- 17064 ----- [Avira GmbH]
    09.03.2010 16:13     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccavscanex.dll --------- 454504
    07.03.2010 18:33     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\luke.dll --------- 104296
    07.03.2010 18:28     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccscanw.dll --------- 94568
    07.03.2010 18:24     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccprofil.dll --------- 651112
    07.03.2010 18:02     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avscplr.dll --------- 83304
    07.03.2010 17:57     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avscan.exe --------- 433832 ----- [Avira GmbH]
    07.03.2010 17:48     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avarkt.dll --------- 227176
    05.03.2010 17:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\rchelp.dll --------- 69992
    05.03.2010 15:08     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avbb.dll --------- 546664
    05.03.2010 10:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\rctext.dll --------- 98664
    05.03.2010 09:43     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccmsg.dll --------- 290664
    04.03.2010 14:29     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\cchips.dll --------- 315752
    03.03.2010 15:52     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\presetup.exe --------- 588456 ----- [Avira GmbH]
    03.03.2010 12:23     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccscanrc.dll --------- 35688
    03.03.2010 12:22     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccgrdrc.dll --------- 25448
    02.03.2010 15:01     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aepack.dll --------- 426356
    02.03.2010 11:05     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\msgclient.dll --------- 104296
    02.03.2010 10:34     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avwebloader.exe --------- 214184 ----- [Avira GmbH]
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Program Files\Common Files (ausführbare Dateien)[/B]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\ReaderUpdater.exe --------- 338856 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeExtractFiles.dll --------- 70584 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe --------- 932288 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AcrobatUpdater.exe --------- 338856 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\pdfshell.dll --------- 390552 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.DEU --------- 301056
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroPDF.dll --------- 702352 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroPDF.DEU --------- 312832
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll --------- 62376 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll --------- 64928 ----- [Adobe Systems, Incorporated]
    16.10.2010 11:50     C:\Program Files\Common Files\AskToolbarInstaller.exe --------- 3056008 ----- [Ask.com]
    26.01.2010 10:11     C:\Program Files\Common Files\WinPcapNmap.exe --------- 444283
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\ProgramData (ausführbare Dateien)[/B]
    30.01.2011 01:57     C:\ProgramData\Google\Google Toolbar\Update\gtbEE9.tmp.exe --------- 523440 ----- [Google Inc]
    10.11.2010 22:03     C:\ProgramData\Adobe\Setup\{AC76BA86-7AD7-1031-7B44-AA0000000001}\setup.exe --------- 337352 ----- [Adobe Systems, Incorporated]
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Program Files (Folders)[/B]
    19.02.2011 16:46     C:\Program Files\Internet Explorer
    01.02.2011 02:18     C:\Program Files\n-tv
    30.01.2011 02:00     C:\Program Files\Google
    30.01.2011 01:58     C:\Program Files\Common Files
    30.01.2011 01:58     C:\Program Files\Adobe
    29.12.2010 19:59     C:\Program Files\Windows Mail
    13.11.2010 11:48     C:\Program Files\WinPcap
    13.11.2010 11:48     C:\Program Files\VDownloader
    02.11.2010 20:51     C:\Program Files\Windows Media Player
    02.11.2010 20:42     C:\Program Files\Microsoft.NET
    04.10.2010 10:32     C:\Program Files\Sandboxie
    31.10.2009 20:25     C:\Program Files\NeoSmart Technologies
    31.10.2009 19:59     C:\Program Files\Windows NT
    31.10.2009 19:59     C:\Program Files\Gemeinsame Dateien
    14.07.2009 09:56     C:\Program Files\Windows Journal
    14.07.2009 09:56     C:\Program Files\Microsoft Games
    14.07.2009 09:56     C:\Program Files\DVD Maker
    14.07.2009 09:47     C:\Program Files\Windows Sidebar
    14.07.2009 09:47     C:\Program Files\Windows Photo Viewer
    14.07.2009 09:47     C:\Program Files\Windows Defender
    14.07.2009 05:53     C:\Program Files\Uninstall Information
    14.07.2009 05:52     C:\Program Files\Windows Portable Devices
    14.07.2009 05:52     C:\Program Files\Reference Assemblies
    14.07.2009 05:52     C:\Program Files\MSBuild
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Program Files (ausführbare Dateien)[/B]
    30.01.2011 01:59     C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll --------- 843832 ----- [Google Inc]
    30.01.2011 01:59     C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\gtn.dll --------- 149560 ----- [Google Inc]
    30.01.2011 01:59     C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\gth.dll --------- 49208 ----- [Google Inc]
    30.01.2011 01:55     C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe --------- 39408 ----- [Google Inc]
    30.01.2011 01:55     C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe --------- 182768 ----- [Google Inc]
    13.11.2010 11:48     C:\Program Files\WinPcap\uninstall.exe --------- 60338
    13.11.2010 11:47     C:\Program Files\VDownloader\unins000.exe --------- 1198913
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\ReaderUpdater.exe --------- 338856 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeExtractFiles.dll --------- 70584 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe --------- 932288 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\ARM\1.0\AcrobatUpdater.exe --------- 338856 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\pdfshell.dll --------- 390552 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.DEU --------- 301056
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroPDF.dll --------- 702352 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroPDF.DEU --------- 312832
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll --------- 62376 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll --------- 64928 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\ViewerPS.dll --------- 17304 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\sqlite.dll --------- 249232 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\SPPlugins\ADMPlugin.apl --------- 1396224
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\ScCore.dll --------- 589712 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\rt3d.dll --------- 2207632 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\reader_sl.exe --------- 35736 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\tesselate.x3d --------- 22424 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\prcr.x3d --------- 3150224 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\drvSOFT.x3d --------- 217488 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\drvDX9.x3d --------- 814992 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\drvDX8.x3d --------- 435600 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\3difr.x3d --------- 269200 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins3d\2d.x3d --------- 551304 ----- [Adobe Systems, Incorporated]
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\weblink.api --------- 306275
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Updater.api --------- 169059
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Spelling.api --------- 277091
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\SendMail.api --------- 154723
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Search.api --------- 430179
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\SaveAsRTF.api --------- 406115
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\reflow.api --------- 347747
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\ReadOutLoud.api --------- 112227
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\PPKLite.api --------- 7598691
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\PDDom.api --------- 430691
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\WindowsMedia.mpp --------- 218112
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\WindowsMedia.DEU --------- 2560
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\QuickTime.mpp --------- 278528
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\QuickTime.DEU --------- 2560
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\MCIMPP.mpp --------- 93696
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\Mcimpp.DEU --------- 8192
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\Flash.mpp --------- 120832
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia\MPP\Flash.DEU --------- 2560
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\Multimedia.api --------- 1526883
    10.11.2010 12:49     C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\MakeAccessible.api --------- 2312803
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Users\Andreas Hötker\AppData\Roaming (ausführbare Dateien)[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Users\Andreas Hötker\AppData\Local (ausführbare Dateien)[/B]
    04.03.2011 14:28     C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Burn\Burn\WindowsXP-KB936929-SP3-x86-DEU.exe --------- 328324136
    27.02.2011 14:49     C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Burn\Burn\Net Framework\dotnetfx35.exe --------- 242743296
    27.02.2011 14:18     C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Burn\Burn\Net Framework\dotNetFx40_Full_x86_x64.exe --------- 50449456
    27.02.2011 09:39     C:\Users\Andreas Hötker\AppData\Local\Temp\C331.dir\InstallFlashPlayer.exe --------- 2871968 ----- [Adobe Systems Incorporated]
    14.02.2011 11:00     C:\Users\Andreas Hötker\AppData\Local\Microsoft\Windows\Burn\Burn\PPFScanner\PPFScan.exe --------- 1759737
    30.01.2011 01:57     C:\Users\Andreas Hötker\AppData\Local\Temp\TFRE638.tmp --------- 45624 ----- [Google Inc]
    30.01.2011 00:20     C:\Users\Andreas Hötker\AppData\Local\Temp\4E1B.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    09.01.2011 13:50     C:\Users\Andreas Hötker\AppData\Local\Temp\BC69.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    31.12.2010 15:47     C:\Users\Andreas Hötker\AppData\Local\Temp\4216.dir\InstallFlashPlayer.exe --------- 2827728 ----- [Adobe Systems Incorporated]
    31.12.2010 15:47     C:\Users\Andreas Hötker\AppData\Local\Temp\20FB.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    11.12.2010 03:53     C:\Users\Andreas Hötker\AppData\Local\Temp\23BE.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    11.12.2010 03:26     C:\Users\Andreas Hötker\AppData\Local\Temp\5877.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    11.12.2010 02:50     C:\Users\Andreas Hötker\AppData\Local\Temp\4A7E.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    14.11.2010 20:32     C:\Users\Andreas Hötker\AppData\Local\Temp\B612.dir\InstallFlashPlayer.exe --------- 2827728 ----- [Adobe Systems Incorporated]
    14.11.2010 20:32     C:\Users\Andreas Hötker\AppData\Local\Temp\47D1.tmp --------- 311248 ----- [Adobe Systems Incorporated]
    04.10.2010 10:31     C:\Users\Andreas Hötker\AppData\Local\Temp\SandboxieInstall.exe --------- 1744616 ----- [SANDBOXIE L.T.D]
    13.09.2010 08:26     C:\Users\Andreas Hötker\AppData\Local\Temp\DF9.tmp --------- 311760 ----- [Adobe Systems Incorporated]
    18.03.2010 15:02     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\update.exe --------- 512769
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aescript.dll --------- 1024378
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aesbx.dll --------- 254323
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aerdl.dll --------- 541043
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aeoffice.dll --------- 201083
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aeheur.dll --------- 2470262
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aehelp.dll --------- 237941
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aegen.dll --------- 373107
    17.03.2010 11:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aecore.dll --------- 188789
    16.03.2010 15:55     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccgenrc.dll --------- 39784
    16.03.2010 15:45     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\setup.exe --------- 665256 ----- [Avira GmbH]
    16.03.2010 15:43     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccgen.dll --------- 870248
    16.03.2010 15:38     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avsmtp.dll --------- 63848
    16.03.2010 15:36     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avguard.exe --------- 267432 ----- [Avira GmbH]
    15.03.2010 11:25     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avghook.dll --------- 435560
    11.03.2010 10:01     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\extdlgfw.dll --------- 237928
    10.03.2010 09:38     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\fact.exe --------- 348840 ----- [Avira GmbH]
    09.03.2010 17:46     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccavscanexrc.dll --------- 14696
    09.03.2010 16:21     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\guardhlp.exe --------- 17064 ----- [Avira GmbH]
    09.03.2010 16:13     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccavscanex.dll --------- 454504
    07.03.2010 18:33     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\luke.dll --------- 104296
    07.03.2010 18:28     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccscanw.dll --------- 94568
    07.03.2010 18:24     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccprofil.dll --------- 651112
    07.03.2010 18:02     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avscplr.dll --------- 83304
    07.03.2010 17:57     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avscan.exe --------- 433832 ----- [Avira GmbH]
    07.03.2010 17:48     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avarkt.dll --------- 227176
    05.03.2010 17:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\rchelp.dll --------- 69992
    05.03.2010 15:08     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avbb.dll --------- 546664
    05.03.2010 10:09     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\rctext.dll --------- 98664
    05.03.2010 09:43     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccmsg.dll --------- 290664
    04.03.2010 14:29     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\cchips.dll --------- 315752
    03.03.2010 15:52     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\presetup.exe --------- 588456 ----- [Avira GmbH]
    03.03.2010 12:23     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccscanrc.dll --------- 35688
    03.03.2010 12:22     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\de-de\ccgrdrc.dll --------- 25448
    02.03.2010 15:01     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\aepack.dll --------- 426356
    02.03.2010 11:05     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\msgclient.dll --------- 104296
    02.03.2010 10:34     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avwebloader.exe --------- 214184 ----- [Avira GmbH]
    02.03.2010 10:28     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avgnt.exe --------- 282792 ----- [Avira GmbH]
    02.03.2010 10:22     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\avconfig.dll --------- 487784
    01.03.2010 22:32     C:\Users\Andreas Hötker\AppData\Local\Temp\FlashPlayerUpdate.exe --------- 1955784
    01.03.2010 09:05     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\xp\avipbb.sys --------- 124784 ----- [Avira GmbH]
    01.03.2010 09:00     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\2k\avipbb.sys --------- 122768 ----- [Avira GmbH]
    01.03.2010 08:55     C:\Users\Andreas Hötker\AppData\Local\Temp\RarSFX0\ccsched.dll --------- 433000
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Users\Andreas Hötker\Appdata\LocalLow (ausführbare Dateien)[/B]
     
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]Users (C:\USERS\)[/B]
    All Users
    Andreas Hötker
    Default
    Default User
    Public
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]C:\Windows\System32\drivers\etc\hosts[/B]
    _______________
    Einträge: 0
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    [B]Registry[/B]
     
    [B][HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main][/B]
    Search Page = [URL='http://go.microsoft.com/fwlink/?LinkId=54896']Bing[/URL]
    Start Page  = [URL='http://go.microsoft.com/fwlink/?LinkId=69157']MSN.com[/URL]
     
    [B][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main][/B]
    Search Page =  [URL='http://go.microsoft.com/fwlink/?LinkId=54896']Bing[/URL]
    Start Page  = [URL='http://www.google.com/']Google[/URL]
     
    [B][HKEY_LOCAL_MACHINE\SOFTWARE][/B]
    [B]09.03.2011[/B]
     Microsoft
    [B]27.02.2011[/B]
     Classes
    [B]30.01.2011[/B]
     MozillaPlugins
     Google
     Adobe
     Policies
    [B]13.11.2010[/B]
     WinPcap
     VDownloader
    [B]13.09.2010[/B]
     Macromedia
    [B]17.05.2010[/B]
     mdr
    [B]01.05.2010[/B]
     BrowserChoice
    [B]03.11.2009[/B]
     DriverHunter
     DCHIDE
     DCPROT
    [B]31.10.2009[/B]
     NeoSmart Technologies
     X-AVCSD
     Avira
     ATI Technologies
     AMD
     Agere
     SRS Labs
     Realtek
    [B]14.07.2009[/B]
     Sonic
     RegisteredApplications
     Clients
     ODBC
     Intel
     
    [B][HKEY_CURRENT_USER\SOFTWARE][/B]
    [B]09.03.2011[/B]
     Microsoft
    [B]01.02.2011[/B]
     ntvplus
    [B]30.01.2011[/B]
     Adobe
     Google
     Netscape
    [B]11.12.2010[/B]
     Classes
    [B]16.11.2010[/B]
     AppDataLow
    [B]13.11.2010[/B]
     Softonic
    [B]01.05.2010[/B]
     Tasks and Token
    [B]23.02.2010[/B]
     ATI Technologies Inc.
     n-tv
     Macromedia
    [B]03.11.2009[/B]
     DCIThreadHunter
     ProcHunter
    [B]01.11.2009[/B]
     ProcTerminator
    [B]31.10.2009[/B]
     Avira
     Realtek
     Policies
     
    [B][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][/B]
    SoundMan                    = SOUNDMAN.EXE
    AGRSMMSG                    = AGRSMMSG.exe
    avgnt                       = "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    Adobe Reader Speed Launcher = "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
    Adobe ARM                   = "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
     
    [B][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][/B]
    swg = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
     
    [B][HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run][/B]
     
    [B][HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] (Local System)[/B]
     
    [B][HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run] (Local Service)[/B]
    Sidebar = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
     
    [B][HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run] (Network Service)[/B]
    Sidebar = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
     
    [B][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows][/B]
    Load = 
    Run  = 
     
    [B][HKEY_USERS\.default\Software\Microsoft\Windows NT\CurrentVersion\Windows][/B]
    Load = 
    Run  = 
     
    [B][HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows] (Local System)[/B]
    Load = 
    Run  = 
     
    [B][HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows] (Local Service)[/B]
    Load = 
    Run  = 
     
    [B][HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows] (Network Service)[/B]
    Load = 
    Run  = 
     
    [B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa][/B]
    Authentication Packages = msv1_0
    Notification Packages   = scecli
     
    [B][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon][/B]
    Userinit = C:\Windows\system32\userinit.exe,
    Shell    = explorer.exe
    Taskman  = not found
     
    [B][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows][/B]
    APPInit_DLLs = not found
     
    [B][HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls][/B]
     
    [B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces][/B]
    CLSID                                    DhcpNameServer   
    ======================================== ================ 
    {0DF979D8-C8B2-4864-9E41-AFF8E840C724}                    
    {3677DD9C-6C8D-465A-B2B2-930D9A353661}   192.168.1.1                 
    {e29ac6c2-7037-11de-816d-806e6f6e6963}                    
     
    [B][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify][/B]
     
    [B]Browser Helper Objekte[/B]
    [B][HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects][/B]
    CLSID                                    Dateiname                                                                  BHO-Name                      
    ======================================== ========================================================================== ============================= 
    {18DF081C-E8AD-4283-A596-FA578C2EBDC3}   C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll   Adobe PDF Link Helper         
    {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}   C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll        Google Toolbar Notifier BHO   
     
    [B]ShellServiceObjectDelayLoad Registrykey[/B]
    [B][HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad][/B]
    CLSID                                    Dateiname                                                                  SSODL Name   
    ======================================== ========================================================================== ============ 
    {E6FB5E20-DE35-11CF-9C87-00AA005127ED}                                                                              WebCheck     
     
    [B]Registryschlüssel unter 'Print Processors' Schlüssel (CurrentControlSet)[/B]
    [B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Print Processors][/B]
    Dateiname      Schlüsselname   Ordner   Datum        Signatur   
    ============== =============== ======== ============ ========== 
    winprint.dll   winprint        W32X86   14.07.2009   Microsoft Windows
     
    [B]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2[/B]
     
    [B][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32][/B]
    vidc.mrle      = msrle32.dll
    vidc.msvc      = msvidc32.dll
    msacm.imaadpcm = imaadp32.acm
    msacm.msg711   = msg711.acm
    msacm.msgsm610 = msgsm32.acm
    msacm.msadpcm  = msadp32.acm
    midimapper     = midimap.dll
    wavemapper     = msacm32.drv
    vidc.uyvy      = msyuv.dll
    vidc.yuy2      = msyuv.dll
    vidc.yvyu      = msyuv.dll
    vidc.iyuv      = iyuv_32.dll
    vidc.i420      = iyuv_32.dll
    vidc.yvu9      = tsbyuv.dll
    msacm.l3acm    = C:\Windows\System32\l3codeca.acm
    vidc.cvid      = iccvid.dll
    wave           = wdmaud.drv
    midi           = wdmaud.drv
    mixer          = wdmaud.drv
     
    [B]Layered Service Provider[/B]
    [B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries][/B]
     
    [B]Layered Service Provider[/B]
    [B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries][/B]
     
    [B][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options][/B]
    [B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
     
    ***** Ende des Scans 09.03.2011 um 13:47 ***
    Alles anzeigen



    Beim Dateilisting in der FILES.TXT steht vorne immer das Änderungsdatum der Datei. Es kann sein, dass hier statt der Datumsangabe ein XX.XX.XXXX steht. Die besagte Datei ist dann lesegeschützt und kann nicht zum Lesen geöffnet werden - oft eine Maßnahme von Rootkits, um sich zu schützen. Durch das XX rutschen die Dateien im Listing nach oben und fallen sofort auf - das ist absichtlich so!

    1.Rubrik = Rootverzeichnis des Laufwerks, auf dem Windows installiert ist (C:\ ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner des jeweiligen Rootverzeichnisses im Startlaufwerk von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

    2.Rubrik = Das Windows Verzeichnis (C:\Windows ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im Windows Ordner, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert. Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die EXPLORER.EXE auf, kann diese von einem SpyEye Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde.

    3.Rubrik = Das Verzeichnis System im Windows Ordner (C:\Windows\System ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 14:53
    • #11

    4.Rubrik = Das Verzeichnis System32 im Windows Ordner (C:\Windows\System32 ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System32 Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die WINLOGON.EXE auf, kann diese von einem SpyEye Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde. Püfsummen der Dateien findet man in der Scandatei MD5.txt.

    5.Rubrik = Das Verzeichnis System32\Drvers im Windows Ordner
    (C:\Windows\System32\Drivers ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System32\Drivers Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die Atapi.sys auf, kann diese von einem TDSS Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde. Püfsummen der Dateien findet man in der Scandatei MD5.txt.

    6.Rubrik = Das Verzeichnis Tasks im Windows Ordner (C:\Windows\Tasks ):
    Windows bietet die Möglichkeit, zeigsteuert durch den Task Planer Programme ausführen zu lassen. Die Tasks, die ausgeführt werden, werden bis Windows XP als Dateien (Endung in der Regel .JOB) in diesem Ordner gespeichert. Hier ist darauf zu achten, welche Dateien sich in diesem Ordner befinden. Was dort mit diesen Dateien gestartet wird, wird an anderer Stelle noch gelistet.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 9. März 2011 um 17:23
    • #12

    Die 7.Rubrik = Print Processors Ordner
    (C:\Windows\system32\spool\prtprocs ):
    Hier befinden sich automatisch gestartete Unterstützungsprogramme und DLLs für den Drucker. Gelistet werden hier alle sichtbaren Dateien in diesem Verzeichnis, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Zu achten ist hier auf ungewöhnliche Dateinamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

    Die 8.Rubrik = Tasks:
    Hier ist ersichtlich, welche Dateien über die .JOB Dateien im Tasks Ordner gestartet werden. Desweiteren werden hier auch Tasks ab Vista gelistet. Zu achten ist hier nicht nur auf die Dateien, die der Task direkt ausführt, sondern auch auf die Parameter. Es ist möglich (zum Beispile mit rundll32.exe) eine Microsoft Datei zu starten und über die Parameter weitere Malware auszuführen. Die gestartete Datei steht hinter dem Pfeil unter dem Namen der Datei, die den Task startet. In eckgen Klammern steht eine evtl. vorhandene Signatur.
    Beispiel:

    Code
    b]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/b]
     
    [b]Tasks[/b]
    C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
      ->C:\WINDOWS\System32\Macromed\Flash\FlashPlayerUpdateService.exe----[Adobe Systems Incorporated]
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit
      ->%SystemRoot%\ehome\ehPrivJob.exe----[Microsoft Windows]
          Schlüsselname: {04699375-5AFB-4BAF-9F2A-09D8C0497F4E}
          Parameter: /DRMInit
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\RemoteAssistance\RemoteAssistanceTask
      ->%windir%\system32\RAServer.exe----[Microsoft Windows]
          Schlüsselname: {0C3AF200-FADC-49E5-880E-DEE192C8B79A}
          Parameter: /offerraupdate
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Windows Error Reporting\QueueReporting
      ->%windir%\system32\wermgr.exe ----[Microsoft Windows]
          Schlüsselname: {11893D5E-54A0-4C6B-AB0D-D9FA527334A9}
          Parameter: -queuereporting
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver
      ->%windir%\system32\DFDWiz.exe----[Microsoft Windows]
          Schlüsselname: {2630A7DE-91FE-4B0E-AC4B-C8C37A7E0040}
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict2
      ->rundll32
          Schlüsselname: {2FDBDC47-7148-49DB-9D32-32E6A003C996}
          Parameter: ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem
    C:\WINDOWS\System32\Tasks\Adobe Flash Player Updater
      ->C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe----[Adobe Systems Incorporated]
          Schlüsselname: {40600C04-5CEF-4F4F-A65F-334868193CFE}
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\RAC\RACAgent
      ->%windir%\system32\RacAgent.exe----[Microsoft Windows]
          Schlüsselname: {44980BEE-7809-44A9-AC24-D6E578A3B7DF}
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask
      ->BthUdTask.exe
          Schlüsselname: {4D7BC85C-5A41-4963-8CDD-6D9D55F757DB}
          Parameter: $(Arg0)
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Tcpip\WSHReset
      ->%systemroot%\system32\netsh.exe----[Microsoft Windows]
          Schlüsselname: {54A08F1F-8208-4E1F-B134-35F904C44806}
          Parameter: interface tcp set heuristic wsh=default
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo
      ->%windir%\system32\gatherWiredInfo.vbs----[Microsoft Windows]
          Schlüsselname: {561375CB-FF5A-417B-B297-BA73DE149581}
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery
      ->%SystemRoot%\ehome\ehPrivJob.exe----[Microsoft Windows]
          Schlüsselname: {57030356-4699-4E1F-9939-F9D4460CD4DA}
          Parameter: /OCURDiscovery
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\OCURActivate
      ->%SystemRoot%\ehome\ehPrivJob.exe----[Microsoft Windows]
          Schlüsselname: {5936C79A-731F-4716-BE59-35B58194ECE5}
          Parameter: /OCURActivate
    C:\WINDOWS\System32\Tasks\User_Feed_Synchronization-{7E560B4A-8AC3-4A68-B125-C9AF42989BDB}
      ->C:\Windows\system32\msfeedssync.exe----[Microsoft Windows]
          Schlüsselname: {66F26601-75F8-4293-8B86-A98AA191A8DD}
          Parameter: sync
    C:\WINDOWS\System32\Tasks\WPD\SqmUpload_S-1-5-21-2909440590-226754125-777164434-1000
      ->%windir%\system32\rundll32.exe----[Microsoft Windows]
          Schlüsselname: {69A50E6C-049A-4A8D-8A32-66361FA624B4}
          Parameter: portabledeviceapi.dll,#1
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\MUI\LPRemove
      ->%windir%\system32\lpremove.exe----[Microsoft Windows]
          Schlüsselname: {7D1D6269-74B5-4E9C-A522-AB7125AC1D16}
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
      ->%SystemRoot%\ehome\mcupdate
          Schlüsselname: {858BD5FB-61C3-4D83-8392-B9855BE4DF1D}
          Parameter: $(Arg0) -gc
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator
      ->%SystemRoot%\System32\wsqmcons.exe----[Microsoft Windows]
          Schlüsselname: {89194558-47E7-4A9E-B507-6C91CE4E6504}
    C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineCore
      ->C:\Program Files\Google\Update\GoogleUpdate.exe----[Google Inc]
          Schlüsselname: {8AE59D2C-71F2-4729-B452-B3CB1480206B}
          Parameter: /c
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\PLA\SL1
      ->C:\WINDOWS\system32\rundll32.exe----[Microsoft Windows]
          Schlüsselname: {95F07E5D-A495-469E-830F-65F29211B298}
          Parameter: C:\WINDOWS\system32\pla.dll,PlaHost "SL1" "$(Arg0)"
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Defrag\ScheduledDefrag
      ->%windir%\system32\defrag.exe----[Microsoft Windows]
          Schlüsselname: {99B9521C-F109-4B7B-BDDF-99CF656525E0}
          Parameter: -c -i
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\SystemRestore\SR
      ->%windir%\system32\rundll32.exe----[Microsoft Windows]
          Schlüsselname: {A1868F64-ED08-49A9-9F86-F62ED855AFFD}
          Parameter: /d srrstr.dll,ExecuteScheduledSPPCreation
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\OptinNotification
      ->%SystemRoot%\System32\wsqmcons.exe----[Microsoft Windows]
          Schlüsselname: {A61555D3-7840-45C1-A5A9-0D49851DE37A}
          Parameter: -n 0x1C577FA2B69CAD0
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath
      ->%SystemRoot%\ehome\ehPrivJob.exe----[Microsoft Windows]
          Schlüsselname: {B0C3FDC1-6390-43BE-927C-2CCE6A3E7B91}
          Parameter: /DoUpdateRecordPath $(Arg0)
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\VistaSP1CEIP
      ->%systemroot%\servicing\vsp1ceip.exe----[Microsoft Windows]
          Schlüsselname: {B2385D43-05D7-4386-8D6C-7C71B7AFCE82}
          Parameter: /delete /tn "\Microsoft\Windows\Customer Experience Improvement Program\VistaSP1CEIP" /f
    C:\WINDOWS\System32\Tasks\{062515AA-6600-4CEE-8698-F7CEF2B4B2D9}
      ->C:\WINDOWS\system32\pcalua.exe----[Microsoft Windows]
          Schlüsselname: {B697A368-1806-410B-8649-CC2F01684F17}
          Parameter: -a C:\Eigenes\Tests\Test151.exe -d C:\Eigenes\Tests
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo
      ->%windir%\system32\gatherWirelessInfo.vbs----[Microsoft Windows]
          Schlüsselname: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8}
    C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineUA
      ->C:\Program Files\Google\Update\GoogleUpdate.exe----[Google Inc]
          Schlüsselname: {E8492545-083F-4F8F-804F-27C79BCAD400}
          Parameter: /ua /installsource scheduler
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig
      ->sc.exe
          Schlüsselname: {F55F85D3-8FDE-479E-82E0-A9BB339AA8E2}
          Parameter: config upnphost start= auto
    C:\WINDOWS\System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict1
      ->rundll32
          Schlüsselname: {F8D6E476-24FE-4649-A4D7-985706B29128}
          Parameter: ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem
    
    
    %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
    Alles anzeigen
  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 10. März 2011 um 17:03
    • #13

    11.Rubrik = ausführbare Dateien im Temp Ordner des Windows Verzeichnisses (C:\Windows\TEMP ):
    Hier werden alle Dateien im Temp Ordner des Windowsverzeichnisses gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    12.Rubrik = ausführbare Dateien im temporären Verzeichnis (C:\Users\Andreas Hötker\AppData\Local\Temp => %TEMP% ):
    Hier werden alle Dateien im temporären Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    13.Rubrik = ausführbare Dateien im CommonProgramFiles Verzeichnis von Windows (C:\Program Files\Common Files):
    Hier werden alle Dateien im CommonProgramFiles Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 10. März 2011 um 21:04
    • #14

    14.Rubrik = ausführbare Dateien im Common Applicationdata Verzeichnis von Windows (C:\ProgramData ):
    Hier werden alle Dateien im Common Applicationdata Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    15.Rubrik = direkte Unterordner im Windowsordner für installierte Programme (C:\Program Files ):
    Hier werden die direkten Unterordner im Ordner der installierten Programme gelistet. Das ganze lässt einen Rückschluss darauf zu, welche Programme der User betreibt und wann die installiert wurden.

    16.Rubrik = ausführbare Dateien im Windowsordner für installierte Programme (C:\Program Files ):
    Hier werden alle Dateien im Windowsordner für installierte Programme gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    17.Rubrik = ausführbare Dateien im Applicationdata Windowsordner (C:\Users\Andreas Hötker\AppData\Roaming ):
    Hier werden alle Dateien im Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    18.Rubrik = ausführbare Dateien im Local Applicationdata Windowsordner (C:\Users\Andreas Hötker\AppData\Local ):
    Hier werden alle Dateien im Local Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    19.Rubrik = ausführbare Dateien im Locallow Applicationdata Windowsordner (C:\Users\Andreas Hötker\Appdata\LocalLow ):
    Hier werden alle Dateien im Locallow Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 11. März 2011 um 12:19
    • #15

    20.Rubrik = die im System vorhandenen Benutzer (Unterordner von C:\Users ):
    Hier werden die direkten Unterordner des Ordners für installierte Benutzer gelistet. Im Prinzip entspricht das den dem System bekannten Benutzern.

    21.Rubrik = die HOSTS Datei (C:\Windows\System32\drivers\etc\hosts ):
    Hier werden die Einträge in der Windows Hosts Datei gelistet. Die Einträge von einigen Anti-Spyware Programmen werden dabei standardmäßig ausgeblendet. Die Dateieinträge bewirken eine Umleitung eines bestimmten Domainnamens auf eine IP. Ein solcher Eintrag sieht wie folgt aus:

    Code
    127.0.0.1 032439.com


    Die 127.0.0.1 ist hier die IP, auf die umgeleitet wird. Die 032439.com die Domain, die umgeleitet wird. In diesem Fall wird die Internetadresse 032439.com auf die lokale IP 127.0.0.1 umgeleitet und damit die Seite geblockt - es wird gar keine Verbindung hergestellt.
    Ganz unten in dieser Rubrik steht unter dem Strich, wie viele Einträge die HOSTS Datei in Wirklichkeit enthält. Man kann also sehen, ob irgendetwas automatisch ausgeblendet wurde.
    Hier sollte darauf geachtet werden, ob evtl. Seiten von Virenscannern auf den Localhost 127.0.0.1 umgeleitet werden (Updates werden geblockt), oder ob irgendwelche Domains auf andere IP's im Netz umgeleitet werden.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 11. März 2011 um 13:52
    • #16

    Der nächste größere Abschnitt der Datei Files.txt beschäftigt sich mit der Registry.

    Rubrik 22 und 23 = Start- und Suchseiten des InternetExplorers (HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main und HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main):
    Es werden die Werte Sarch Page und Start Page der oben angegebenen Registryschlüssel ausgelesen. Hier sollte man darauf achten, ob ungewöhnliche Internetseiten dort verzeichnet sind.

    Rubrik 24 und 25 = Unterschlüssel im Schlüsel für installierte Programme
    (HKEY_LOCAL_MACHINE\SOFTWARE und HKEY_CURRENT_USER\SOFTWARE):
    Einträge in diesen zwei Rubriken haben folgendes Format:

    Code
    [b]09.03.2011[/b]
    Microsoft
    [b]27.02.2011[/b]
    Classes
    [b]30.01.2011[/b]
    MozillaPlugins
    Google
    Adobe
    Policies
    [b]13.11.2010[/b]
    WinPcap
    VDownloader
    Alles anzeigen


    Fettgedruck findet man oben ein Datum - das ist das Datum der letzten Änderung des Schlüssels und ist quasi als Installationsdatum zu werten. Darunter befinden sich die Schlüssel, die an diesem Tag erstellt wurden.
    Man erhält dadurch einen weiteren Überblick über die auf dem Rechner installierten Programme.

    Rubrik 26 bis 31 = über die Run Registryschlüssel gestartete Programme
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run):
    Die Einträge haben hier folgendes Format...

    Code
    swg = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"


    Rechts vom = Zeichen steht das gestartete Programm, links steht der Name des Registrywerts, unter dem der Eintrag verzeichnet ist.
    Zu achten ist hier auf ungewöhliche Pfad- und Programmnamen.

    3 Mal editiert, zuletzt von AxT (18. Dezember 2013 um 06:37)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 11. März 2011 um 14:01
    • #17

    Rubrik 32 bis 36 = Load und Run Werte in den CurrentVersion\Windows Registryschlüsseln
    (HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\.default\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows):
    Es werden die Werte Load und Run der oben angegebenen Registryschlüssel ausgelesen.
    Rechts vom = Zeichen steht das gestartete Programm, links steht der Name des Registrywerts, unter dem der Eintrag verzeichnet ist.
    Zu achten ist hier auf ungewöhliche Pfad- und Programmnamen.

    37.Rubrik = Werte Authentication Packages und Notification Packages im LSA Registryschlüssel (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa):
    Der Wert Notification Packages gibt einen Satz von DLLs an, der geladen wird, wenn Passwörter in Windows erstellt oder geändert werden. Der Standardwert ist hier scecli. Tauchen hier weitere DLL-Namen auf, ist jeder Eintrag hier als "verdächtig" abzuklären.
    Der Wert Authentication Packages gibt einen Satz von DLLs an, der geladen wird, wenn ein User sich in Windows einloggt. Der Standardwert ist hier msv1_0. Tauchen hier weitere DLL-Namen auf, ist jeder Eintrag als "verdächtig" abzuklären.

    38.Rubrik = Userinit, Shell und Taskman Werte im Registryschlüssel Winlogon
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon):
    Der Wert Userinit gibt einen Satz von Programmen an, die beim Einloggen in Windows gestartet werden (durch Kommas getrennt). Der Standardwert ist hier userinit.exe aus dem System32 Verzeichnis von Windows. Tauchen hier weitere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.
    Der Wert Shell gibt das Programm an, das Windows als Shellumgebung dienen soll. Der Sandardwert ist hier der WindowsExplorer - explorer.exe aus dem Windowsverzeichnis. Tauchen hier andere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.
    Der Wert Taskman gibt das Programm an, das Windows als Taskmanager verwenden soll. Standardmäßig ist dieser Eintrag nicht vorhanden oder steht auf Taskmgr.exe. Tauchen hier andere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:38)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 11. März 2011 um 15:25
    • #18

    39.Rubrik = APPInit_DLLs Wert im Registryschlüssel CurrentVersion\Windows
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows):
    Es wird der Wert APPInit_DLLs im oben angegebenen Registryschlüssel ausgelesen. Dieser Wert gibt einen Satz von DLLs an, der von jeder Wndowsanwendung beim Starten geladen wird. Dieser Wert enthält normalerweise keine Einträge. Jede hier angegebene Datei ist abzuklären.

    40.Rubrik = AppCertDlls Registrykey (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls):
    Über die Werte in diesem Registryschlüssel lassen sich speziell darauf zugeschnittene DLLs in bestimmte Prozesse injizieren. Normalerweise ist der Schlüssel leer. Jeder hier auftauchende Dateiname ist abzuklären.
    Die hier angegebenen DLLs laden sich, wenn die User32.dll (zuständig für GUID) in einen Prozess geladen wird. Beim Laden der DLL wird in der DLL die Funktion CreateProcessNotify aufgerufen und unter anderem der Name der Anwendung übergeben, die die DLL lädt.

    41.Rubrik = DHCP-Nameserver
    (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces):
    Dieser Schlüssel enthält eine Liste mit IPs, die bei der Umwandlung von Domainnamen in IP Adressen aufgerufen werden. Die dort enthaltenen IPs (unter DhcpNameServer) sind zu überprüfen. Unter CLSID steht der Unterschlüssel, unter dem die IP gespeichert ist.

    42.Rubrik = über Winlogon\Notify geladene DLLs
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify):
    Die hier aufgelisteten DLLs werden in Winlogon.exe geladen, wenn bestimmte definierte Ereignisse auftreten (z.B. einloggen, ausloggen, hochfahren, herunterfahren). Links neben dem = Zeichen steht der Unterschlüssel, unter dem der DLL-Eintrag zu finde ist - rechts der Name der DLL. Jeder hier auftauchende Dateiname ist abzuklären.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:39)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 11. März 2011 um 17:00
    • #19

    43.Rubrik = Browser Helper Objekte
    (HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects):
    Diese Rubrik enthält eine Liste von DLLs, die in den InternetExplorer geladen werden. Jede hier angegebene Datei ist abzuklären.

    44.Rubrik = über den ShellServiceObjectDelayLoad Registryschlüssel geladene DLLs
    (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad):
    Die hier aufgeführten DLLs werden automatisch beim Systemstart in den WindowsExplorer geladen. Jede hier angegebene Datei ist abzuklären.

    45.Rubrik = über den Print Processors Registryschlüssel geladene DLLs
    (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad):
    Die hier aufgeführten DLLs werden automatisch beim Systemstart in den Druckerprozess spoolsv.exe geladen. Jede hier angegebene Datei ist abzuklären. Signaturen werden hier mit ausgelesen.

    46.Rubrik = Autostartpunkte im MountPoints2 Registryschlüssel
    (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2):
    Listet die über erfolgreich ausgeführte autorun.inf Dateien erstellten Einträge im MountPoints2 Schlüssel. Hier läst sich auch erkennen, ob auf gerade nicht angeschlosenen Geräten eine AUTORUN.INF Datei abgelegt wurde, die Malware startet. Hier kann man auch unter Umständen sehen, auf welchen Geräten diese liegen. Hier sind zwei USB-Sticks betroffen:

    Code
    [b]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2[/b]
    {3b9c49fd-6790-11dd-87d6-d69dbbe078d8}
    shell -> None
    shell\Open\Command -> wscript.exe .\.vbs
    shell\AutoRun\Command -> wscript.exe .\.vbs
    (_??_USBSTOR#Disk&Ven_MEDIATEK&Prod__FLASH_DISK&Rev_6227#317509428611220&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b})
    {3b9c4a05-6790-11dd-87d6-d69dbbe078d8}
    shell -> None
    shell\Open\Command -> wscript.exe .\.vbs
    shell\AutoRun\Command -> wscript.exe .\.vbs
    (_??_USBSTOR#Disk&Ven_MEDIATEK&Prod__FLASH_DISK&Rev_6227#317509428611220&1#{53f56307-b6bf-11d0-94f2-00a0c91efb8b})
    Alles anzeigen

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:40)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 12. März 2011 um 13:49
    • #20

    47.Rubrik = Geladene Codecs im Drivers32 Schlüssel
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32):
    Hier werden die beim Ausführen von Video und Audio Dateien benötigten Codecs gelistet. Jede Datei ist abzuklären.

    48.Rubrik und 49.Rubrik = Layered Service Provider
    (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_EntriesHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries):
    Hier werden die Layered Service Provider - DLLs, die sich in den TCP IP Stack laden. Alle DLLs, die der Scanner als von Microsoft signiert erkennt, werden ausgeblendet. Zu überprüfen sind vor allem unsignierte DLLs mit ungewöhlichen Namen und Pfaden.

    50.Rubrik = Debugging Registrykey
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options):
    Windows bietet die Möglichkeit, den Aufruf einer Anwendung (EXE-Datei) so umzuleiten, dass anstatt dessen eine ganz andere Anwendung aufgerufen wird. Innerhalb dieses Schlüssels darf nichts an Umleitungen verzeichnet sein! Alle Umleitungen, die hier aufgeführt sind, gehören mit großer Sicherheit zu Malware.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:41)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden

Windows 11

  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™