| Autor |
Beitrag |
Hidden
 
Beiträge: 2242
Erhaltene Danke: 55
Win10
VS Code, Delphi 2010 Prof.
|
Verfasst: Fr 23.04.10 18:39
Hi 
 AHT: Dein Programm findet bei mir keine versteckten Prozesse, auch wenn HPD welche findet. Mein System wird allerdings auch als XP "erkannt": 1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:
116:
117:
118:
119:
120:
121:
122:
123:
124:
125:
126:
127:
128:
129:
130:
131:
132:
133:
134:
135:
136:
137:
138:
139:
140:
141:
142:
143:
144:
145:
146:
147:
148:
149:
150:
151:
152:
153:
154:
155:
156:
157:
158:
159:
160:
161:
162:
163:
164:
165:
166:
167:
168:
169:
170:
171:
172:
173:
174:
175:
176:
177:
178:
179:
180:
181:
182:
183:
184:
185:
186:
187:
188:
189:
190:
191:
192:
193:
194:
195:
196:
197:
198:
199:
200:
201:
202:
203:
204:
205:
206:
207:
208:
209:
210:
211:
212:
213:
214:
215:
216:
217:
218:
219:
220:
221:
222:
223:
224:
225:
226:
227:
228:
229:
230:
231:
232:
233:
234:
235:
236:
237:
238:
239:
240:
241:
242:
243:
244:
245:
246:
247:
248:
249:
250:
251:
252:
253:
254:
255:
256:
257:
258:
259:
260:
261:
262:
263:
264:
265:
266:
267:
268:
269:
270:
271:
272:
273:
274:
275:
276:
277:
278:
279:
280:
281:
282:
283:
284:
285:
286:
287:
288:
289:
290:
291:
292:
293:
294:
295:
296:
297:
298:
299:
300:
301:
302:
303:
304:
305:
306:
307:
308:
309:
310:
311:
312:
313:
314:
315:
316:
317:
318:
319:
320:
321:
322:
323:
324:
325:
326:
327:
328:
329:
330:
331:
332:
333:
334:
335:
336:
337:
338:
339:
340:
341:
342:
343:
344:
345:
346:
347:
348:
349:
350:
351:
352:
353:
354:
355:
356:
357:
358:
359:
360:
361:
362:
363:
364:
365:
366:
367:
368:
369:
370:
371:
372:
373:
374:
375:
376:
377:
378:
379:
380:
381:
382:
383:
384:
385:
386:
387:
388:
389:
390:
391:
392:
393:
394:
395:
396:
397:
398:
399:
400:
401:
402:
403:
404:
405:
406:
407:
408:
409:
410:
411:
412:
413:
414:
415:
416:
417:
418:
419:
420:
421:
422:
423:
424:
425:
426:
427:
428:
429:
430:
431:
432:
433:
434:
435:
436:
437:
438:
439:
440:
441:
442:
443:
444:
445:
446:
447:
448:
449:
450:
451:
452:
453:
454:
455:
456:
457:
458:
459:
460:
461:
462:
463:
464:
465:
466:
467:
468:
469:
470:
471:
472:
473:
474:
475:
476:
477:
478:
479:
480:
481:
482:
483:
484:
485:
486:
487:
488:
489:
490:
491:
492:
493:
494:
495:
496:
497:
498:
499:
500:
501:
502:
503:
504:
505:
506:
507:
508:
509:
510:
511:
512:
513:
514:
515:
516:
517:
518:
519:
520:
521:
522:
523:
524:
525:
526:
527:
528:
529:
530:
531:
532:
533:
534:
535:
536:
537:
538:
539:
540:
541:
542:
543:
544:
545:
546:
547:
548:
549:
550:
551:
552:
553:
554:
555:
556:
557:
558:
559:
560:
561:
562:
563:
564:
565:
566:
567:
568:
569:
570:
571:
572:
573:
574:
575:
576:
577:
578:
579:
580:
581:
582:
583:
584:
585:
586:
587:
588:
589:
590:
591:
592:
593:
594:
595:
596:
597:
598:
599:
600:
601:
602:
603:
604:
605:
606:
607:
608:
609:
610:
611:
612:
613:
614:
615:
616:
617:
618:
619:
620:
621:
622:
623:
624:
625:
626:
627:
628:
629:
630:
631:
632:
633:
634:
635:
636:
637:
638:
639:
640:
641:
642:
643:
644:
645:
646:
647:
648:
649:
650:
651:
652:
653:
654:
655:
656:
657:
658:
659:
660:
661:
662:
663:
664:
665:
666:
667:
668:
669:
670:
671:
672:
673:
674:
675:
676:
677:
678:
679:
680:
681:
682:
683:
684:
685:
686:
687:
688:
689:
690:
691:
692:
693:
694:
695:
696:
697:
698:
699:
700:
701:
702:
703:
704:
705:
706:
707:
708:
709:
710:
711:
712:
713:
714:
715:
716:
717:
718:
719:
720:
721:
722:
723:
724:
725:
726:
727:
728:
729:
730:
731:
732:
733:
734:
735:
736:
737:
738:
739:
740:
741:
742:
743:
744:
745:
746:
747:
748:
749:
750:
751:
752:
753:
754:
755:
756:
757:
758:
759:
760:
761:
762:
763:
764:
765:
766:
767:
768:
769:
770:
771:
772:
773:
774:
775:
776:
777:
778:
779:
780:
781:
782:
783:
784:
785:
786:
787:
788:
789:
790:
791:
792:
793:
794:
795:
796:
797:
798:
799:
800:
801:
802:
803:
804:
805:
806:
807:
808:
809:
810:
811:
812:
813:
814:
815:
816:
817:
818:
819:
820:
821:
822:
823:
824:
825:
826:
827:
828:
829:
830:
831:
832:
833:
834:
835:
836:
837:
838:
839:
840:
841:
842:
843:
844:
845:
846:
847:
848:
849:
850:
851:
852:
853:
854:
855:
856:
857:
858:
859:
860:
861:
862:
863:
864:
865:
866:
867:
868:
869:
870:
871:
872:
873:
874:
875:
876:
877:
878:
879:
880:
881:
882:
883:
884:
885:
886:
887:
888:
889:
890:
891:
892:
893:
894:
895:
896:
897:
898:
899:
900:
901:
902:
903:
904:
905:
906:
907:
908:
909:
910:
911:
912:
913:
914:
915:
916:
917:
918:
919:
920:
921:
922:
923:
924:
925:
926:
927:
928:
929:
930:
931:
932:
933:
934:
935:
936:
937:
938:
939:
940:
941:
942:
943:
944:
945:
946:
947:
948:
949:
950:
951:
952:
953:
954:
955:
956:
957:
958:
959:
960:
961:
962:
963:
964:
965:
966:
967:
968:
969:
970:
971:
972:
973:
974:
975:
976:
977:
978:
979:
980:
981:
982:
983:
984:
985:
986:
987:
988:
989:
990:
991:
992:
993:
994:
995:
996:
997:
998:
999:
1000:
1001:
1002:
1003:
1004:
1005:
1006:
1007:
1008:
1009:
1010:
1011:
1012:
1013:
1014:
1015:
1016:
1017:
1018:
1019:
1020:
1021:
1022:
1023:
1024:
1025:
1026:
1027:
1028:
1029:
1030:
1031:
1032:
1033:
1034:
1035:
1036:
1037:
1038:
1039:
1040:
1041:
1042:
1043:
1044:
1045:
1046:
1047:
1048:
1049:
1050:
1051:
1052:
1053:
1054:
1055:
1056:
1057:
1058:
1059:
1060:
1061:
1062:
1063:
1064:
1065:
1066:
1067:
1068:
1069:
1070:
1071:
1072:
1073:
1074:
1075:
1076:
1077:
1078:
1079:
1080:
1081:
1082:
1083:
1084:
1085:
1086:
1087:
1088:
1089:
1090:
1091:
1092:
1093:
1094:
1095:
1096:
1097:
1098:
1099:
1100:
1101:
1102:
1103:
1104:
1105:
1106:
1107:
1108:
1109:
1110:
1111:
1112:
1113:
1114:
1115:
1116:
1117:
1118:
1119:
1120:
1121:
1122:
1123:
1124:
1125:
1126:
1127:
1128:
1129:
1130:
1131:
1132:
1133:
1134:
1135:
1136:
1137:
1138:
1139:
1140:
1141:
1142:
1143:
1144:
1145:
1146:
1147:
1148:
1149:
1150:
1151:
1152:
1153:
1154:
1155:
1156:
1157:
1158:
1159:
1160:
1161:
1162:
1163:
1164:
1165:
1166:
1167:
1168:
1169:
1170:
1171:
1172:
1173:
1174:
1175:
1176:
1177:
1178:
1179:
1180:
1181:
1182:
1183:
1184:
1185:
1186:
1187:
1188:
1189:
1190:
1191:
1192:
1193:
1194:
1195:
1196:
1197:
1198:
1199:
1200:
1201:
1202:
1203:
1204:
1205:
1206:
1207:
1208:
1209:
1210:
1211:
1212:
1213:
1214:
1215:
1216:
1217:
1218:
1219:
1220:
1221:
1222:
1223:
1224:
1225:
1226:
1227:
1228:
1229:
1230:
1231:
1232:
1233:
1234:
1235:
1236:
1237:
1238:
1239:
1240:
1241:
1242:
1243:
1244:
1245:
1246:
1247:
1248:
1249:
1250:
1251:
1252:
1253:
1254:
1255:
1256:
1257:
1258:
1259:
1260:
1261:
1262:
1263:
1264:
1265:
1266:
1267:
1268:
1269:
1270:
1271:
1272:
1273:
1274:
1275:
1276:
1277:
1278:
1279:
1280:
1281:
1282:
1283:
1284:
1285:
1286:
1287:
1288:
1289:
1290:
1291:
1292:
1293:
1294:
1295:
1296:
1297:
1298:
1299:
1300:
1301:
1302:
1303:
1304:
1305:
1306:
1307:
1308:
1309:
1310:
1311:
1312:
1313:
1314:
1315:
1316:
1317:
1318:
1319:
1320:
1321:
1322:
1323:
1324:
1325:
1326:
1327:
1328:
1329:
1330:
1331:
1332:
1333:
1334:
1335:
1336:
1337:
1338:
1339:
1340:
1341:
1342:
1343:
1344:
1345:
1346:
1347:
1348:
1349:
1350:
1351:
1352:
1353:
1354:
1355:
1356:
1357:
1358:
1359:
1360:
1361:
1362:
1363:
1364:
1365:
1366:
1367:
1368:
1369:
1370:
1371:
1372:
1373:
1374:
1375:
1376:
1377:
1378:
1379:
1380:
1381:
1382:
1383:
1384:
1385:
1386:
1387:
1388:
1389:
1390:
1391:
1392:
1393:
1394:
1395:
1396:
1397:
1398:
1399:
1400:
1401:
1402:
1403:
1404:
1405:
1406:
1407:
1408:
1409:
1410:
1411:
1412:
1413:
1414:
1415:
1416:
1417:
1418:
1419:
1420:
1421:
1422:
1423:
1424:
1425:
1426:
1427:
1428:
1429:
1430:
1431:
1432:
1433:
1434:
1435:
1436:
1437:
1438:
1439:
1440:
1441:
1442:
1443:
1444:
1445:
1446:
1447:
1448:
1449:
1450:
1451:
1452:
1453:
1454:
1455:
1456:
1457:
1458:
1459:
1460:
1461:
1462:
1463:
1464:
1465:
1466:
1467:
1468:
1469:
1470:
1471:
1472:
1473:
1474:
1475:
1476:
1477:
1478:
1479:
1480:
1481:
1482:
1483:
1484:
1485:
1486:
1487:
1488:
1489:
1490:
1491:
1492:
1493:
1494:
1495:
1496:
1497:
1498:
1499:
1500:
1501:
1502:
1503:
1504:
1505:
1506:
1507:
1508:
1509:
1510:
1511:
1512:
1513:
1514:
1515:
1516:
1517:
1518:
1519:
1520:
1521:
1522:
1523:
1524:
1525:
1526:
1527:
1528:
1529:
1530:
1531:
1532:
1533:
1534:
1535:
1536:
1537:
1538:
1539:
1540:
1541:
1542:
1543:
1544:
1545:
1546:
1547:
1548:
1549:
1550:
1551:
1552:
1553:
1554:
1555:
1556:
1557:
1558:
1559:
1560:
1561:
1562:
1563:
1564:
1565:
1566:
1567:
1568:
1569:
1570:
1571:
1572:
1573:
1574:
1575:
1576:
1577:
1578:
1579:
1580:
1581:
1582:
1583:
1584:
1585:
1586:
1587:
1588:
1589:
1590:
1591:
1592:
1593:
1594:
1595:
1596:
1597:
1598:
1599:
1600:
1601:
1602:
1603:
1604:
1605:
1606:
1607:
1608:
1609:
1610:
1611:
1612:
1613:
1614:
1615:
1616:
1617:
1618:
1619:
1620:
1621:
1622:
1623:
1624:
1625:
1626:
1627:
1628:
1629:
1630:
1631:
1632:
1633:
1634:
1635:
1636:
1637:
1638:
1639:
1640:
1641:
1642:
1643:
1644:
1645:
1646:
1647:
1648:
1649:
1650:
1651:
1652:
1653:
1654:
1655:
1656:
1657:
1658:
1659:
1660:
1661:
1662:
1663:
1664:
1665:
1666:
1667:
1668:
1669:
1670:
1671:
1672:
1673:
1674:
1675:
1676:
1677:
1678:
1679:
1680:
1681:
1682:
1683:
1684:
1685:
1686:
1687:
1688:
1689:
1690:
1691:
1692:
1693:
1694:
1695:
1696:
1697:
1698:
1699:
1700:
1701:
1702:
1703:
1704:
1705:
1706:
1707:
1708:
1709:
1710:
1711:
1712:
1713:
1714:
1715:
1716:
1717:
1718:
1719:
1720:
1721:
1722:
1723:
1724:
1725:
1726:
1727:
1728:
1729:
1730:
1731:
1732:
1733:
1734:
1735:
1736:
1737:
1738:
1739:
1740:
1741:
1742:
1743:
1744:
1745:
1746:
1747:
1748:
1749:
1750:
1751:
1752:
1753:
1754:
1755:
1756:
1757:
1758:
1759:
1760:
1761:
1762:
1763:
1764:
1765:
1766:
1767:
1768:
1769:
1770:
1771:
1772:
1773:
1774:
1775:
1776:
1777:
1778:
1779:
1780:
1781:
1782:
1783:
1784:
1785:
1786:
1787:
1788:
1789:
1790:
1791:
1792:
1793:
1794:
1795:
1796:
1797:
1798:
1799:
1800:
1801:
1802:
1803:
1804:
1805:
1806:
1807:
1808:
1809:
1810:
1811:
1812:
1813:
1814:
1815:
1816:
1817:
1818:
1819:
1820:
1821:
1822:
1823:
1824:
1825:
1826:
1827:
1828:
1829:
1830:
1831:
1832:
1833:
1834:
1835:
1836:
1837:
1838:
1839:
1840:
1841:
1842:
1843:
1844:
1845:
1846:
1847:
1848:
1849:
1850:
1851:
1852:
1853:
1854:
1855:
1856:
1857:
1858:
1859:
1860:
1861:
1862:
1863:
1864:
1865:
1866:
1867:
1868:
1869:
1870:
1871:
1872:
1873:
1874:
1875:
1876:
1877:
1878:
1879:
1880:
1881:
1882:
1883:
1884:
1885:
1886:
1887:
1888:
1889:
1890:
1891:
1892:
1893:
1894:
1895:
1896:
1897:
1898:
1899:
1900:
1901:
1902:
1903:
1904:
1905:
1906:
1907:
1908:
1909:
1910:
1911:
1912:
1913:
1914:
1915:
1916:
1917:
1918:
1919:
1920:
1921:
1922:
1923:
1924:
1925:
1926:
1927:
1928:
1929:
1930:
1931:
1932:
1933:
1934:
1935:
1936:
1937:
1938:
1939:
1940:
1941:
1942:
1943:
1944:
1945:
1946:
1947:
1948:
1949:
1950:
1951:
1952:
1953:
1954:
1955:
1956:
1957:
1958:
1959:
1960:
1961:
1962:
1963:
1964:
1965:
1966:
1967:
1968:
1969:
1970:
1971:
1972:
1973:
1974:
1975:
1976:
1977:
1978:
1979:
1980:
1981:
1982:
1983:
1984:
1985:
1986:
1987:
1988:
1989:
1990:
1991:
1992:
1993:
1994:
1995:
1996:
1997:
1998:
1999:
2000:
2001:
2002:
2003:
2004:
2005:
2006:
2007:
2008:
2009:
2010:
| Windowsversion: WindowsXP ()
Computername: DESKTOP-DK10
Username: Daniel
Rechte: Test läuft ohne Adminrechte!
Global Flags: 0
Systemzeit: Freitag, der 23. April 2010 18:33Uhr 18.383Sekunden
System läuft seit: 30194 Sekunden
Test Nummer: 2
Getestete PIDs: 4 bis 16000
________________________________________________
[*** Gefundene Treiber ***]
Treibermodul: ntoskrnl.exe
Imagename: \SystemRoot\system32\ntoskrnl.exe
Dateiname: C:\Windows\system32\ntoskrnl.exe
Ladeadresse: 44457984 ($02A66000)
Belegt im Speicher: 6144000 Bytes ($005DC000)
Loadcount: 108
Statusflags: $8004000
Beschreibung des Treibers: NT Kernel & System
Interner Name: ntkrnlmp.exe
Dateiversion: 6.1.7600.16539 (win7_gdr.100226-1909)
Ursprungs-Dateiname: ntkrnlmp.exe
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16539
Treibermodul: hal.dll
Imagename: \SystemRoot\system32\hal.dll
Ladeadresse: 44158976 ($02A1D000)
Belegt im Speicher: 299008 Bytes ($00049000)
Loadcount: 27
Statusflags: $8004000
Treibermodul: kdcom.dll
Imagename: \SystemRoot\system32\kdcom.dll
Ladeadresse: 12398592 ($00BD3000)
Belegt im Speicher: 40960 Bytes ($0000A000)
Loadcount: 3
Statusflags: $8004000
Treibermodul: mcupdate_GenuineIntel.dll
Imagename: \SystemRoot\system32\mcupdate_GenuineIntel.dll
Ladeadresse: 13541376 ($00CEA000)
Belegt im Speicher: 278528 Bytes ($00044000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: PSHED.dll
Imagename: \SystemRoot\system32\PSHED.dll
Dateiname: C:\Windows\system32\PSHED.dll
Ladeadresse: 13819904 ($00D2E000)
Belegt im Speicher: 81920 Bytes ($00014000)
Loadcount: 3
Statusflags: $D104000
Beschreibung des Treibers: Plattformspezifischer Hardwarefehlertreiber
Interner Name: pshed.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: pshed.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: CLFS.SYS
Imagename: \SystemRoot\system32\CLFS.SYS
Ladeadresse: 13901824 ($00D42000)
Belegt im Speicher: 385024 Bytes ($0005E000)
Loadcount: 3
Statusflags: $9104000
Treibermodul: CI.dll
Imagename: \SystemRoot\system32\CI.dll
Ladeadresse: 12582912 ($00C00000)
Belegt im Speicher: 786432 Bytes ($000C0000)
Loadcount: 2
Statusflags: $D104000
Treibermodul: Wdf01000.sys
Imagename: \SystemRoot\system32\drivers\Wdf01000.sys
Ladeadresse: 15323136 ($00E9D000)
Belegt im Speicher: 671744 Bytes ($000A4000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: WDFLDR.SYS
Imagename: \SystemRoot\system32\drivers\WDFLDR.SYS
Ladeadresse: 15994880 ($00F41000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 14
Statusflags: $D104000
Treibermodul: ACPI.sys
Imagename: \SystemRoot\system32\DRIVERS\ACPI.sys
Ladeadresse: 16056320 ($00F50000)
Belegt im Speicher: 356352 Bytes ($00057000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: WMILIB.SYS
Imagename: \SystemRoot\system32\DRIVERS\WMILIB.SYS
Ladeadresse: 16412672 ($00FA7000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 19
Statusflags: $D104000
Treibermodul: msisadrv.sys
Imagename: \SystemRoot\system32\DRIVERS\msisadrv.sys
Ladeadresse: 16449536 ($00FB0000)
Belegt im Speicher: 40960 Bytes ($0000A000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: pci.sys
Imagename: \SystemRoot\system32\DRIVERS\pci.sys
Ladeadresse: 16490496 ($00FBA000)
Belegt im Speicher: 208896 Bytes ($00033000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: vdrvroot.sys
Imagename: \SystemRoot\system32\DRIVERS\vdrvroot.sys
Ladeadresse: 16699392 ($00FED000)
Belegt im Speicher: 53248 Bytes ($0000D000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: partmgr.sys
Imagename: \SystemRoot\System32\drivers\partmgr.sys
Ladeadresse: 14680064 ($00E00000)
Belegt im Speicher: 86016 Bytes ($00015000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: volmgr.sys
Imagename: \SystemRoot\system32\DRIVERS\volmgr.sys
Ladeadresse: 14766080 ($00E15000)
Belegt im Speicher: 86016 Bytes ($00015000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: volmgrx.sys
Imagename: \SystemRoot\System32\drivers\volmgrx.sys
Ladeadresse: 14852096 ($00E2A000)
Belegt im Speicher: 376832 Bytes ($0005C000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: pciide.sys
Imagename: \SystemRoot\system32\DRIVERS\pciide.sys
Ladeadresse: 15228928 ($00E86000)
Belegt im Speicher: 28672 Bytes ($00007000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: PCIIDEX.SYS
Imagename: \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
Ladeadresse: 15257600 ($00E8D000)
Belegt im Speicher: 65536 Bytes ($00010000)
Loadcount: 1
Statusflags: $D104000
Treibermodul: mountmgr.sys
Imagename: \SystemRoot\System32\drivers\mountmgr.sys
Ladeadresse: 13369344 ($00CC0000)
Belegt im Speicher: 106496 Bytes ($0001A000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: atapi.sys
Imagename: \SystemRoot\system32\DRIVERS\atapi.sys
Ladeadresse: 13475840 ($00CDA000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: ataport.SYS
Imagename: \SystemRoot\system32\DRIVERS\ataport.SYS
Ladeadresse: 14286848 ($00DA0000)
Belegt im Speicher: 172032 Bytes ($0002A000)
Loadcount: 1
Statusflags: $D104000
Treibermodul: amdxata.sys
Imagename: \SystemRoot\system32\DRIVERS\amdxata.sys
Ladeadresse: 14458880 ($00DCA000)
Belegt im Speicher: 45056 Bytes ($0000B000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: fltmgr.sys
Imagename: \SystemRoot\system32\drivers\fltmgr.sys
Ladeadresse: 17494016 ($010AF000)
Belegt im Speicher: 311296 Bytes ($0004C000)
Loadcount: 6
Statusflags: $9104000
Treibermodul: fileinfo.sys
Imagename: \SystemRoot\system32\drivers\fileinfo.sys
Ladeadresse: 17805312 ($010FB000)
Belegt im Speicher: 81920 Bytes ($00014000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: Ntfs.sys
Imagename: \SystemRoot\System32\Drivers\Ntfs.sys
Ladeadresse: 18931712 ($0120E000)
Belegt im Speicher: 1716224 Bytes ($001A3000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: msrpc.sys
Imagename: \SystemRoot\System32\Drivers\msrpc.sys
Ladeadresse: 17887232 ($0110F000)
Belegt im Speicher: 385024 Bytes ($0005E000)
Loadcount: 9
Statusflags: $D104000
Treibermodul: ksecdd.sys
Imagename: \SystemRoot\System32\Drivers\ksecdd.sys
Ladeadresse: 20647936 ($013B1000)
Belegt im Speicher: 106496 Bytes ($0001A000)
Loadcount: 17
Statusflags: $9104000
Treibermodul: cng.sys
Imagename: \SystemRoot\System32\Drivers\cng.sys
Ladeadresse: 18272256 ($0116D000)
Belegt im Speicher: 471040 Bytes ($00073000)
Loadcount: 3
Statusflags: $9104000
Treibermodul: pcw.sys
Imagename: \SystemRoot\System32\drivers\pcw.sys
Ladeadresse: 20754432 ($013CB000)
Belegt im Speicher: 69632 Bytes ($00011000)
Loadcount: 1
Statusflags: $9104020
Treibermodul: Fs_Rec.sys
Imagename: \SystemRoot\System32\Drivers\Fs_Rec.sys
Ladeadresse: 20824064 ($013DC000)
Belegt im Speicher: 40960 Bytes ($0000A000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: ndis.sys
Imagename: \SystemRoot\system32\drivers\ndis.sys
Ladeadresse: 21852160 ($014D7000)
Belegt im Speicher: 991232 Bytes ($000F2000)
Loadcount: 27
Statusflags: $9104000
Treibermodul: NETIO.SYS
Imagename: \SystemRoot\system32\drivers\NETIO.SYS
Ladeadresse: 20971520 ($01400000)
Belegt im Speicher: 393216 Bytes ($00060000)
Loadcount: 23
Statusflags: $D104000
Treibermodul: ksecpkg.sys
Imagename: \SystemRoot\System32\Drivers\ksecpkg.sys
Ladeadresse: 21364736 ($01460000)
Belegt im Speicher: 176128 Bytes ($0002B000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: tcpip.sys
Imagename: \SystemRoot\System32\drivers\tcpip.sys
Ladeadresse: 23072768 ($01601000)
Belegt im Speicher: 2084864 Bytes ($001FD000)
Loadcount: 1
Statusflags: $9104020
Treibermodul: fwpkclnt.sys
Imagename: \SystemRoot\System32\drivers\fwpkclnt.sys
Ladeadresse: 21540864 ($0148B000)
Belegt im Speicher: 303104 Bytes ($0004A000)
Loadcount: 8
Statusflags: $D104000
Treibermodul: volsnap.sys
Imagename: \SystemRoot\system32\DRIVERS\volsnap.sys
Ladeadresse: 16777216 ($01000000)
Belegt im Speicher: 311296 Bytes ($0004C000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: spldr.sys
Imagename: \SystemRoot\System32\Drivers\spldr.sys
Ladeadresse: 22843392 ($015C9000)
Belegt im Speicher: 32768 Bytes ($00008000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: rdyboost.sys
Imagename: \SystemRoot\System32\drivers\rdyboost.sys
Ladeadresse: 17088512 ($0104C000)
Belegt im Speicher: 237568 Bytes ($0003A000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: mup.sys
Imagename: \SystemRoot\System32\Drivers\mup.sys
Ladeadresse: 22876160 ($015D1000)
Belegt im Speicher: 73728 Bytes ($00012000)
Loadcount: 3
Statusflags: $9104000
Treibermodul: hwpolicy.sys
Imagename: \SystemRoot\System32\drivers\hwpolicy.sys
Ladeadresse: 22949888 ($015E3000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: fvevol.sys
Imagename: \SystemRoot\System32\DRIVERS\fvevol.sys
Ladeadresse: 25989120 ($018C9000)
Belegt im Speicher: 237568 Bytes ($0003A000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: disk.sys
Imagename: \SystemRoot\system32\DRIVERS\disk.sys
Ladeadresse: 26226688 ($01903000)
Belegt im Speicher: 90112 Bytes ($00016000)
Loadcount: 1
Statusflags: $9104000
Treibermodul: CLASSPNP.SYS
Imagename: \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
Ladeadresse: 26316800 ($01919000)
Belegt im Speicher: 196608 Bytes ($00030000)
Loadcount: 1
Statusflags: $D104000
Treibermodul: cdrom.sys
Imagename: \SystemRoot\system32\DRIVERS\cdrom.sys
Ladeadresse: 26734592 ($0197F000)
Belegt im Speicher: 172032 Bytes ($0002A000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: Null.SYS
Imagename: \SystemRoot\System32\Drivers\Null.SYS
Ladeadresse: 26906624 ($019A9000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: Beep.SYS
Imagename: \SystemRoot\System32\Drivers\Beep.SYS
Ladeadresse: 26943488 ($019B2000)
Belegt im Speicher: 28672 Bytes ($00007000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: vga.sys
Imagename: \SystemRoot\System32\drivers\vga.sys
Ladeadresse: 26972160 ($019B9000)
Belegt im Speicher: 57344 Bytes ($0000E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: VIDEOPRT.SYS
Imagename: \SystemRoot\System32\drivers\VIDEOPRT.SYS
Ladeadresse: 27029504 ($019C7000)
Belegt im Speicher: 151552 Bytes ($00025000)
Loadcount: 5
Statusflags: $4D104000
Treibermodul: watchdog.sys
Imagename: \SystemRoot\System32\drivers\watchdog.sys
Ladeadresse: 27181056 ($019EC000)
Belegt im Speicher: 65536 Bytes ($00010000)
Loadcount: 5
Statusflags: $4D104000
Treibermodul: RDPCDD.sys
Imagename: \SystemRoot\System32\DRIVERS\RDPCDD.sys
Ladeadresse: 25165824 ($01800000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rdpencdd.sys
Imagename: \SystemRoot\system32\drivers\rdpencdd.sys
Ladeadresse: 25202688 ($01809000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rdprefmp.sys
Imagename: \SystemRoot\system32\drivers\rdprefmp.sys
Ladeadresse: 25239552 ($01812000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: Msfs.SYS
Imagename: \SystemRoot\System32\Drivers\Msfs.SYS
Ladeadresse: 25276416 ($0181B000)
Belegt im Speicher: 45056 Bytes ($0000B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: Npfs.SYS
Imagename: \SystemRoot\System32\Drivers\Npfs.SYS
Ladeadresse: 25321472 ($01826000)
Belegt im Speicher: 69632 Bytes ($00011000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: tdx.sys
Imagename: \SystemRoot\system32\DRIVERS\tdx.sys
Ladeadresse: 25391104 ($01837000)
Belegt im Speicher: 122880 Bytes ($0001E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: TDI.SYS
Imagename: \SystemRoot\system32\DRIVERS\TDI.SYS
Ladeadresse: 25513984 ($01855000)
Belegt im Speicher: 53248 Bytes ($0000D000)
Loadcount: 7
Statusflags: $4D104000
Treibermodul: afd.sys
Imagename: \SystemRoot\system32\drivers\afd.sys
Ladeadresse: 46645248 ($02C7C000)
Belegt im Speicher: 565248 Bytes ($0008A000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: netbt.sys
Imagename: \SystemRoot\System32\DRIVERS\netbt.sys
Ladeadresse: 47210496 ($02D06000)
Belegt im Speicher: 282624 Bytes ($00045000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: wfplwf.sys
Imagename: \SystemRoot\system32\DRIVERS\wfplwf.sys
Ladeadresse: 47493120 ($02D4B000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: pacer.sys
Imagename: \SystemRoot\system32\DRIVERS\pacer.sys
Ladeadresse: 47529984 ($02D54000)
Belegt im Speicher: 155648 Bytes ($00026000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: netbios.sys
Imagename: \SystemRoot\system32\DRIVERS\netbios.sys
Ladeadresse: 47685632 ($02D7A000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: wanarp.sys
Imagename: \SystemRoot\system32\DRIVERS\wanarp.sys
Ladeadresse: 47747072 ($02D89000)
Belegt im Speicher: 110592 Bytes ($0001B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: termdd.sys
Imagename: \SystemRoot\system32\DRIVERS\termdd.sys
Ladeadresse: 47857664 ($02DA4000)
Belegt im Speicher: 81920 Bytes ($00014000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rdbss.sys
Imagename: \SystemRoot\system32\DRIVERS\rdbss.sys
Ladeadresse: 46137344 ($02C00000)
Belegt im Speicher: 331776 Bytes ($00051000)
Loadcount: 4
Statusflags: $49104000
Treibermodul: nsiproxy.sys
Imagename: \SystemRoot\system32\drivers\nsiproxy.sys
Ladeadresse: 46469120 ($02C51000)
Belegt im Speicher: 49152 Bytes ($0000C000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mssmbios.sys
Imagename: \SystemRoot\system32\DRIVERS\mssmbios.sys
Ladeadresse: 46518272 ($02C5D000)
Belegt im Speicher: 45056 Bytes ($0000B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: discache.sys
Imagename: \SystemRoot\System32\drivers\discache.sys
Ladeadresse: 46563328 ($02C68000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: dfsc.sys
Imagename: \SystemRoot\System32\Drivers\dfsc.sys
Ladeadresse: 47939584 ($02DB8000)
Belegt im Speicher: 122880 Bytes ($0001E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: blbdrive.sys
Imagename: \SystemRoot\system32\DRIVERS\blbdrive.sys
Ladeadresse: 48062464 ($02DD6000)
Belegt im Speicher: 69632 Bytes ($00011000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: avipbb.sys
Imagename: \SystemRoot\system32\DRIVERS\avipbb.sys
Ladeadresse: 25567232 ($01862000)
Belegt im Speicher: 139264 Bytes ($00022000)
Loadcount: 1
Statusflags: $49104020
Treibermodul: tunnel.sys
Imagename: \SystemRoot\system32\DRIVERS\tunnel.sys
Ladeadresse: 25706496 ($01884000)
Belegt im Speicher: 155648 Bytes ($00026000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: intelppm.sys
Imagename: \SystemRoot\system32\DRIVERS\intelppm.sys
Ladeadresse: 48132096 ($02DE7000)
Belegt im Speicher: 90112 Bytes ($00016000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: atikmdag.sys
Imagename: \SystemRoot\system32\DRIVERS\atikmdag.sys
Ladeadresse: 76238848 ($048B5000)
Belegt im Speicher: 6385664 Bytes ($00617000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: dxgkrnl.sys
Imagename: \SystemRoot\System32\drivers\dxgkrnl.sys
Ladeadresse: 82624512 ($04ECC000)
Belegt im Speicher: 999424 Bytes ($000F4000)
Loadcount: 2
Statusflags: $49104000
Treibermodul: dxgmms1.sys
Imagename: \SystemRoot\System32\drivers\dxgmms1.sys
Ladeadresse: 75497472 ($04800000)
Belegt im Speicher: 286720 Bytes ($00046000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: HDAudBus.sys
Imagename: \SystemRoot\system32\DRIVERS\HDAudBus.sys
Ladeadresse: 75784192 ($04846000)
Belegt im Speicher: 147456 Bytes ($00024000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: usbuhci.sys
Imagename: \SystemRoot\system32\DRIVERS\usbuhci.sys
Ladeadresse: 75931648 ($0486A000)
Belegt im Speicher: 53248 Bytes ($0000D000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: USBPORT.SYS
Imagename: \SystemRoot\system32\DRIVERS\USBPORT.SYS
Ladeadresse: 61292544 ($03A74000)
Belegt im Speicher: 352256 Bytes ($00056000)
Loadcount: 2
Statusflags: $4D104000
Treibermodul: usbehci.sys
Imagename: \SystemRoot\system32\DRIVERS\usbehci.sys
Ladeadresse: 61644800 ($03ACA000)
Belegt im Speicher: 69632 Bytes ($00011000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: Rt64win7.sys
Imagename: \SystemRoot\system32\DRIVERS\Rt64win7.sys
Ladeadresse: 61714432 ($03ADB000)
Belegt im Speicher: 204800 Bytes ($00032000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: 1394ohci.sys
Imagename: \SystemRoot\system32\DRIVERS\1394ohci.sys
Ladeadresse: 61919232 ($03B0D000)
Belegt im Speicher: 253952 Bytes ($0003E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: i8042prt.sys
Imagename: \SystemRoot\system32\DRIVERS\i8042prt.sys
Ladeadresse: 62173184 ($03B4B000)
Belegt im Speicher: 122880 Bytes ($0001E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: kbdclass.sys
Imagename: \SystemRoot\system32\DRIVERS\kbdclass.sys
Ladeadresse: 62296064 ($03B69000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: CompositeBus.sys
Imagename: \SystemRoot\system32\DRIVERS\CompositeBus.sys
Ladeadresse: 62357504 ($03B78000)
Belegt im Speicher: 65536 Bytes ($00010000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: AgileVpn.sys
Imagename: \SystemRoot\system32\DRIVERS\AgileVpn.sys
Ladeadresse: 62423040 ($03B88000)
Belegt im Speicher: 90112 Bytes ($00016000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rasl2tp.sys
Imagename: \SystemRoot\system32\DRIVERS\rasl2tp.sys
Ladeadresse: 62513152 ($03B9E000)
Belegt im Speicher: 147456 Bytes ($00024000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: ndistapi.sys
Imagename: \SystemRoot\system32\DRIVERS\ndistapi.sys
Ladeadresse: 62660608 ($03BC2000)
Belegt im Speicher: 49152 Bytes ($0000C000)
Loadcount: 2
Statusflags: $49104000
Treibermodul: ndiswan.sys
Imagename: \SystemRoot\system32\DRIVERS\ndiswan.sys
Ladeadresse: 62709760 ($03BCE000)
Belegt im Speicher: 192512 Bytes ($0002F000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: raspppoe.sys
Imagename: \SystemRoot\system32\DRIVERS\raspppoe.sys
Ladeadresse: 60817408 ($03A00000)
Belegt im Speicher: 110592 Bytes ($0001B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: raspptp.sys
Imagename: \SystemRoot\system32\DRIVERS\raspptp.sys
Ladeadresse: 60928000 ($03A1B000)
Belegt im Speicher: 135168 Bytes ($00021000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rassstp.sys
Imagename: \SystemRoot\system32\DRIVERS\rassstp.sys
Ladeadresse: 61063168 ($03A3C000)
Belegt im Speicher: 106496 Bytes ($0001A000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mouclass.sys
Imagename: \SystemRoot\system32\DRIVERS\mouclass.sys
Ladeadresse: 61169664 ($03A56000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: swenum.sys
Imagename: \SystemRoot\system32\DRIVERS\swenum.sys
Ladeadresse: 61231104 ($03A65000)
Belegt im Speicher: 8192 Bytes ($00002000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: ks.sys
Imagename: \SystemRoot\system32\DRIVERS\ks.sys
Ladeadresse: 69820416 ($04296000)
Belegt im Speicher: 274432 Bytes ($00043000)
Loadcount: 4
Statusflags: $4D104000
Treibermodul: umbus.sys
Imagename: \SystemRoot\system32\DRIVERS\umbus.sys
Ladeadresse: 70094848 ($042D9000)
Belegt im Speicher: 73728 Bytes ($00012000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: usbhub.sys
Imagename: \SystemRoot\system32\DRIVERS\usbhub.sys
Ladeadresse: 70168576 ($042EB000)
Belegt im Speicher: 368640 Bytes ($0005A000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: NDProxy.SYS
Imagename: \SystemRoot\System32\Drivers\NDProxy.SYS
Ladeadresse: 70537216 ($04345000)
Belegt im Speicher: 86016 Bytes ($00015000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: HdAudio.sys
Imagename: \SystemRoot\system32\drivers\HdAudio.sys
Ladeadresse: 70623232 ($0435A000)
Belegt im Speicher: 376832 Bytes ($0005C000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: portcls.sys
Imagename: \SystemRoot\system32\drivers\portcls.sys
Ladeadresse: 71000064 ($043B6000)
Belegt im Speicher: 249856 Bytes ($0003D000)
Loadcount: 1
Statusflags: $4D104000
Treibermodul: drmk.sys
Imagename: \SystemRoot\system32\drivers\drmk.sys
Ladeadresse: 69206016 ($04200000)
Belegt im Speicher: 139264 Bytes ($00022000)
Loadcount: 1
Statusflags: $4D104000
Treibermodul: ksthunk.sys
Imagename: \SystemRoot\system32\drivers\ksthunk.sys
Ladeadresse: 69345280 ($04222000)
Belegt im Speicher: 24576 Bytes ($00006000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: win32k.sys
Imagename: \SystemRoot\System32\win32k.sys
Ladeadresse: 917504 ($000E0000)
Belegt im Speicher: 3207168 Bytes ($0030F000)
Loadcount: 4
Statusflags: $69104000
Treibermodul: Dxapi.sys
Imagename: \SystemRoot\System32\drivers\Dxapi.sys
Ladeadresse: 69369856 ($04228000)
Belegt im Speicher: 49152 Bytes ($0000C000)
Loadcount: 1
Statusflags: $4D104000
Treibermodul: crashdmp.sys
Imagename: \SystemRoot\System32\Drivers\crashdmp.sys
Ladeadresse: 69419008 ($04234000)
Belegt im Speicher: 57344 Bytes ($0000E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: dump_dumpata.sys
Imagename: \SystemRoot\System32\Drivers\dump_dumpata.sys
Ladeadresse: 69476352 ($04242000)
Belegt im Speicher: 49152 Bytes ($0000C000)
Loadcount: 2
Statusflags: $49104000
Treibermodul: dump_atapi.sys
Imagename: \SystemRoot\System32\Drivers\dump_atapi.sys
Ladeadresse: 69525504 ($0424E000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: dump_dumpfve.sys
Imagename: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Ladeadresse: 69562368 ($04257000)
Belegt im Speicher: 77824 Bytes ($00013000)
Loadcount: 1
Statusflags: $49104020
Treibermodul: monitor.sys
Imagename: \SystemRoot\system32\DRIVERS\monitor.sys
Ladeadresse: 69640192 ($0426A000)
Belegt im Speicher: 57344 Bytes ($0000E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: TSDDD.dll
Imagename: \SystemRoot\System32\TSDDD.dll
Ladeadresse: 5373952 ($00520000)
Belegt im Speicher: 40960 Bytes ($0000A000)
Loadcount: 1
Statusflags: $69104000
Treibermodul: USBSTOR.SYS
Imagename: \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Ladeadresse: 69697536 ($04278000)
Belegt im Speicher: 110592 Bytes ($0001B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: USBD.SYS
Imagename: \SystemRoot\system32\DRIVERS\USBD.SYS
Ladeadresse: 69808128 ($04293000)
Belegt im Speicher: 8192 Bytes ($00002000)
Loadcount: 2
Statusflags: $4D104000
Treibermodul: cdd.dll
Imagename: \SystemRoot\System32\cdd.dll
Ladeadresse: 8192000 ($007D0000)
Belegt im Speicher: 159744 Bytes ($00027000)
Loadcount: 1
Statusflags: $69104000
Treibermodul: luafv.sys
Imagename: \SystemRoot\system32\drivers\luafv.sys
Ladeadresse: 75984896 ($04877000)
Belegt im Speicher: 143360 Bytes ($00023000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: avgntflt.sys
Imagename: \SystemRoot\system32\DRIVERS\avgntflt.sys
Ladeadresse: 83623936 ($04FC0000)
Belegt im Speicher: 118784 Bytes ($0001D000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: WudfPf.sys
Imagename: \SystemRoot\system32\drivers\WudfPf.sys
Ladeadresse: 83742720 ($04FDD000)
Belegt im Speicher: 135168 Bytes ($00021000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: lltdio.sys
Imagename: \SystemRoot\system32\DRIVERS\lltdio.sys
Ladeadresse: 76128256 ($0489A000)
Belegt im Speicher: 86016 Bytes ($00015000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: nwifi.sys
Imagename: \SystemRoot\system32\DRIVERS\nwifi.sys
Ladeadresse: 74395648 ($046F3000)
Belegt im Speicher: 339968 Bytes ($00053000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: ndisuio.sys
Imagename: \SystemRoot\system32\DRIVERS\ndisuio.sys
Ladeadresse: 74735616 ($04746000)
Belegt im Speicher: 77824 Bytes ($00013000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: rspndr.sys
Imagename: \SystemRoot\system32\DRIVERS\rspndr.sys
Ladeadresse: 74813440 ($04759000)
Belegt im Speicher: 98304 Bytes ($00018000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: HTTP.sys
Imagename: \SystemRoot\system32\drivers\HTTP.sys
Ladeadresse: 73400320 ($04600000)
Belegt im Speicher: 819200 Bytes ($000C8000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: bowser.sys
Imagename: \SystemRoot\system32\DRIVERS\bowser.sys
Ladeadresse: 74219520 ($046C8000)
Belegt im Speicher: 122880 Bytes ($0001E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mpsdrv.sys
Imagename: \SystemRoot\System32\drivers\mpsdrv.sys
Ladeadresse: 74911744 ($04771000)
Belegt im Speicher: 98304 Bytes ($00018000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mrxsmb.sys
Imagename: \SystemRoot\system32\DRIVERS\mrxsmb.sys
Ladeadresse: 75010048 ($04789000)
Belegt im Speicher: 184320 Bytes ($0002D000)
Loadcount: 3
Statusflags: $49104000
Treibermodul: mrxsmb10.sys
Imagename: \SystemRoot\system32\DRIVERS\mrxsmb10.sys
Ladeadresse: 103325696 ($0628A000)
Belegt im Speicher: 319488 Bytes ($0004E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mrxsmb20.sys
Imagename: \SystemRoot\system32\DRIVERS\mrxsmb20.sys
Ladeadresse: 103645184 ($062D8000)
Belegt im Speicher: 143360 Bytes ($00023000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: peauth.sys
Imagename: \SystemRoot\system32\drivers\peauth.sys
Ladeadresse: 103788544 ($062FB000)
Belegt im Speicher: 679936 Bytes ($000A6000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: secdrv.SYS
Imagename: \SystemRoot\System32\Drivers\secdrv.SYS
Ladeadresse: 104468480 ($063A1000)
Belegt im Speicher: 45056 Bytes ($0000B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: srvnet.sys
Imagename: \SystemRoot\System32\DRIVERS\srvnet.sys
Ladeadresse: 104513536 ($063AC000)
Belegt im Speicher: 184320 Bytes ($0002D000)
Loadcount: 3
Statusflags: $49104000
Treibermodul: SbieDrv.sys
Imagename: \??\I:\Sandboxie\SbieDrv.sys
Dateiname: I:\Sandboxie\SbieDrv.sys
Ladeadresse: 104697856 ($063D9000)
Belegt im Speicher: 151552 Bytes ($00025000)
Loadcount: 1
Statusflags: $49104020
Beschreibung des Treibers: Sandboxie Kernel Mode Driver
Interner Name: SbieDrv
Dateiversion: 3.44
Ursprungs-Dateiname: SbieDrv.sys
Firma: tzuk
Copyright: Copyright © 2004-2010 by Ronen Tzur
Produktname: Sandboxie
Produktversion: 3.44
Kommentar:
Registriert als Service unter dem Namen: SbieDrv
Registriert als Service unter dem Registryschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbieDrv
Treibermodul: tcpipreg.sys
Imagename: \SystemRoot\System32\drivers\tcpipreg.sys
Ladeadresse: 102760448 ($06200000)
Belegt im Speicher: 73728 Bytes ($00012000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: srv2.sys
Imagename: \SystemRoot\System32\DRIVERS\srv2.sys
Ladeadresse: 102834176 ($06212000)
Belegt im Speicher: 430080 Bytes ($00069000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: srv.sys
Imagename: \SystemRoot\System32\DRIVERS\srv.sys
Ladeadresse: 105508864 ($0649F000)
Belegt im Speicher: 622592 Bytes ($00098000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: LUsbFilt.Sys
Imagename: \SystemRoot\System32\Drivers\LUsbFilt.Sys
Ladeadresse: 106131456 ($06537000)
Belegt im Speicher: 65536 Bytes ($00010000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: hidusb.sys
Imagename: \SystemRoot\system32\DRIVERS\hidusb.sys
Ladeadresse: 106196992 ($06547000)
Belegt im Speicher: 57344 Bytes ($0000E000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: HIDCLASS.SYS
Imagename: \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
Ladeadresse: 106254336 ($06555000)
Belegt im Speicher: 102400 Bytes ($00019000)
Loadcount: 1
Statusflags: $4D104000
Treibermodul: HIDPARSE.SYS
Imagename: \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
Ladeadresse: 106356736 ($0656E000)
Belegt im Speicher: 36864 Bytes ($00009000)
Loadcount: 3
Statusflags: $4D104000
Treibermodul: LHidFilt.Sys
Imagename: \SystemRoot\system32\DRIVERS\LHidFilt.Sys
Ladeadresse: 106393600 ($06577000)
Belegt im Speicher: 81920 Bytes ($00014000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: mouhid.sys
Imagename: \SystemRoot\system32\DRIVERS\mouhid.sys
Ladeadresse: 106475520 ($0658B000)
Belegt im Speicher: 53248 Bytes ($0000D000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: LMouFilt.Sys
Imagename: \SystemRoot\system32\DRIVERS\LMouFilt.Sys
Ladeadresse: 106528768 ($06598000)
Belegt im Speicher: 81920 Bytes ($00014000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: WUDFRd.sys
Imagename: \SystemRoot\system32\DRIVERS\WUDFRd.sys
Ladeadresse: 106610688 ($065AC000)
Belegt im Speicher: 200704 Bytes ($00031000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: fastfat.SYS
Imagename: \SystemRoot\System32\Drivers\fastfat.SYS
Ladeadresse: 104857600 ($06400000)
Belegt im Speicher: 221184 Bytes ($00036000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: asyncmac.sys
Imagename: \SystemRoot\system32\DRIVERS\asyncmac.sys
Ladeadresse: 143335424 ($088B2000)
Belegt im Speicher: 45056 Bytes ($0000B000)
Loadcount: 1
Statusflags: $49104000
Treibermodul: ntdll.dll
Imagename: \Windows\System32\ntdll.dll
Dateiname: C:\Windows\system32\ntdll.dll
Ladeadresse: 2001076224 ($77460000)
Belegt im Speicher: 1748992 Bytes ($001AB000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: DLL für NT-Layer
Interner Name: ntdll.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: ntdll.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: smss.exe
Imagename: \Windows\System32\smss.exe
Ladeadresse: 1208745984 ($480C0000)
Belegt im Speicher: 131072 Bytes ($00020000)
Loadcount: 1
Statusflags: $0
Treibermodul: apisetschema.dll
Imagename: \Windows\System32\apisetschema.dll
Dateiname: C:\Windows\system32\apisetschema.dll
Ladeadresse: -8912896 ($FF780000)
Belegt im Speicher: 327680 Bytes ($00050000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: ApiSet Schema DLL
Interner Name: apisetschema
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: apisetschema
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: autochk.exe
Imagename: \Windows\System32\autochk.exe
Dateiname: C:\Windows\system32\autochk.exe
Ladeadresse: -15925248 ($FF0D0000)
Belegt im Speicher: 790528 Bytes ($000C1000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Auto Check Utility
Interner Name: AutoChk
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: AutoChk.Exe.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: imm32.dll
Imagename: \Windows\System32\imm32.dll
Dateiname: C:\Windows\system32\imm32.dll
Ladeadresse: -9175040 ($FF740000)
Belegt im Speicher: 188416 Bytes ($0002E000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Multi-User Windows IMM32 API Client DLL
Interner Name: imm32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: imm32
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: urlmon.dll
Imagename: \Windows\System32\urlmon.dll
Dateiname: C:\Windows\system32\urlmon.dll
Ladeadresse: -10747904 ($FF5C0000)
Belegt im Speicher: 1540096 Bytes ($00178000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: OLE32-Erweiterung für Win32
Interner Name: UrlMon.dll
Dateiversion: 8.00.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: UrlMon.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Windows® Internet Explorer
Produktversion: 8.00.7600.16385
Treibermodul: ole32.dll
Imagename: \Windows\System32\ole32.dll
Dateiname: C:\Windows\system32\ole32.dll
Ladeadresse: -12910592 ($FF3B0000)
Belegt im Speicher: 2101248 Bytes ($00201000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Microsoft OLE für Windows
Interner Name: OLE32.DLL
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: OLE32.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: wininet.dll
Imagename: \Windows\System32\wininet.dll
Dateiname: C:\Windows\system32\wininet.dll
Ladeadresse: -14155776 ($FF280000)
Belegt im Speicher: 1220608 Bytes ($0012A000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Interneterweiterungen für Win32
Interner Name: wininet.dll
Dateiversion: 8.00.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: wininet.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Windows® Internet Explorer
Produktversion: 8.00.7600.16385
Treibermodul: difxapi.dll
Imagename: \Windows\System32\difxapi.dll
Dateiname: C:\Windows\system32\difxapi.dll
Ladeadresse: -14680064 ($FF200000)
Belegt im Speicher: 524288 Bytes ($00080000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Driver Install Frameworks for API library module
Interner Name: DIFxAPI
Dateiversion: 2.1
Ursprungs-Dateiname: DIFxAPI.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Driver Install Frameworks API (DIFxAPI)
Produktversion: 2.1
Treibermodul: comdlg32.dll
Imagename: \Windows\System32\comdlg32.dll
Dateiname: C:\Windows\system32\comdlg32.dll
Ladeadresse: -15335424 ($FF160000)
Belegt im Speicher: 622592 Bytes ($00098000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: DLL für gemeinsame Dialoge
Interner Name: comdlg32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: comdlg32.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: user32.dll
Imagename: \Windows\System32\user32.dll
Dateiname: C:\Windows\system32\user32.dll
Ladeadresse: 2000027648 ($77360000)
Belegt im Speicher: 1024000 Bytes ($000FA000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Multi-User Windows USER API Client DLL
Interner Name: user32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: user32
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: msvcrt.dll
Imagename: \Windows\System32\msvcrt.dll
Dateiname: C:\Windows\system32\msvcrt.dll
Ladeadresse: -15990784 ($FF0C0000)
Belegt im Speicher: 651264 Bytes ($0009F000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Windows NT CRT DLL
Interner Name: msvcrt.dll
Dateiversion: 7.0.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: msvcrt.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 7.0.7600.16385
Treibermodul: imagehlp.dll
Imagename: \Windows\System32\imagehlp.dll
Dateiname: C:\Windows\system32\imagehlp.dll
Ladeadresse: -16121856 ($FF0A0000)
Belegt im Speicher: 94208 Bytes ($00017000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Windows NT Image Helper
Interner Name: IMAGEHLP.DLL
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: IMAGEHLP.DLL
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: kernel32.dll
Imagename: \Windows\System32\kernel32.dll
Dateiname: C:\Windows\system32\kernel32.dll
Ladeadresse: 1998848000 ($77240000)
Belegt im Speicher: 1175552 Bytes ($0011F000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Client-DLL für Windows NT-Basis-API
Interner Name: kernel32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: kernel32
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: shell32.dll
Imagename: \Windows\System32\shell32.dll
Dateiname: C:\Windows\system32\shell32.dll
Ladeadresse: -30343168 ($FE310000)
Belegt im Speicher: 14180352 Bytes ($00D86000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Allgemeine Windows-Shell-DLL
Interner Name: SHELL32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: SHELL32.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: shlwapi.dll
Imagename: \Windows\System32\shlwapi.dll
Dateiname: C:\Windows\system32\shlwapi.dll
Ladeadresse: -30867456 ($FE290000)
Belegt im Speicher: 462848 Bytes ($00071000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Shell Light-weight-Dienstprogrammbibliothek
Interner Name: SHLWAPI
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: SHLWAPI.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: normaliz.dll
Imagename: \Windows\System32\normaliz.dll
Dateiname: C:\Windows\system32\normaliz.dll
Ladeadresse: 2002976768 ($77630000)
Belegt im Speicher: 12288 Bytes ($00003000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Unicode Normalization DLL
Interner Name: normaliz
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: normaliz.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: nsi.dll
Imagename: \Windows\System32\nsi.dll
Dateiname: C:\Windows\system32\nsi.dll
Ladeadresse: -30932992 ($FE280000)
Belegt im Speicher: 32768 Bytes ($00008000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: NSI User-mode interface DLL
Interner Name: nsi.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: nsi.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: ws2_32.dll
Imagename: \Windows\System32\ws2_32.dll
Dateiname: C:\Windows\system32\ws2_32.dll
Ladeadresse: -31260672 ($FE230000)
Belegt im Speicher: 315392 Bytes ($0004D000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Windows Socket 2.0-32-Bit-DLL
Interner Name: ws2_32.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: ws2_32.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: iertutil.dll
Imagename: \Windows\System32\iertutil.dll
Dateiname: C:\Windows\system32\iertutil.dll
Ladeadresse: -33751040 ($FDFD0000)
Belegt im Speicher: 2457600 Bytes ($00258000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Run time utility for Internet Explorer
Interner Name: IeRtUtil.dll
Dateiversion: 8.00.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: IeRtUtil.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Windows® Internet Explorer
Produktversion: 8.00.7600.16385
Treibermodul: oleaut32.dll
Imagename: \Windows\System32\oleaut32.dll
Dateiname: C:\Windows\system32\oleaut32.dll
Ladeadresse: -34668544 ($FDEF0000)
Belegt im Speicher: 880640 Bytes ($000D7000)
Loadcount: 1
Statusflags: $0
Interner Name: OLEAUT32.DLL
Dateiversion: 6.1.7600.16385
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktversion: 6.1.7600.16385
Treibermodul: setupapi.dll
Imagename: \Windows\System32\setupapi.dll
Dateiname: C:\Windows\system32\setupapi.dll
Ladeadresse: -36634624 ($FDD10000)
Belegt im Speicher: 1929216 Bytes ($001D7000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Windows Setup-API
Interner Name: SETUPAPI.DLL
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: SETUPAPI.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: rpcrt4.dll
Imagename: \Windows\System32\rpcrt4.dll
Dateiname: C:\Windows\system32\rpcrt4.dll
Ladeadresse: -37879808 ($FDBE0000)
Belegt im Speicher: 1236992 Bytes ($0012E000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Remoteprozeduraufruf-Laufzeitumgebung
Interner Name: rpcrt4.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: rpcrt4.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: advapi32.dll
Imagename: \Windows\System32\advapi32.dll
Dateiname: C:\Windows\system32\advapi32.dll
Ladeadresse: -38797312 ($FDB00000)
Belegt im Speicher: 897024 Bytes ($000DB000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Erweiterte Windows 32 Base-API
Interner Name: advapi32.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: advapi32.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: lpk.dll
Imagename: \Windows\System32\lpk.dll
Dateiname: C:\Windows\system32\lpk.dll
Ladeadresse: -38862848 ($FDAF0000)
Belegt im Speicher: 57344 Bytes ($0000E000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Language Pack
Interner Name: LanguagePack
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: LanguagePack
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: sechost.dll
Imagename: \Windows\System32\sechost.dll
Dateiname: C:\Windows\system32\sechost.dll
Ladeadresse: -38993920 ($FDAD0000)
Belegt im Speicher: 126976 Bytes ($0001F000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Host for SCM/SDDL/LSA Lookup APIs
Interner Name: sechost.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: sechost.dll.mui
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: msctf.dll
Imagename: \Windows\System32\msctf.dll
Dateiname: C:\Windows\system32\msctf.dll
Ladeadresse: -40108032 ($FD9C0000)
Belegt im Speicher: 1085440 Bytes ($00109000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: MSCTF-Server-DLL
Interner Name: MSCTF
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: MSCTF.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: Wldap32.dll
Imagename: \Windows\System32\Wldap32.dll
Dateiname: C:\Windows\system32\Wldap32.dll
Ladeadresse: -40435712 ($FD970000)
Belegt im Speicher: 327680 Bytes ($00050000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Win32 LDAP-API-DLL
Interner Name: WLDAP32.DLL
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: WLDAP32.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: clbcatq.dll
Imagename: \Windows\System32\clbcatq.dll
Dateiname: C:\Windows\system32\clbcatq.dll
Ladeadresse: -41091072 ($FD8D0000)
Belegt im Speicher: 626688 Bytes ($00099000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: COM+ Configuration Catalog
Interner Name: CLBCATQ.DLL
Dateiversion: 2001.12.8530.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: CLBCATQ.DLL
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: usp10.dll
Imagename: \Windows\System32\usp10.dll
Dateiname: C:\Windows\system32\usp10.dll
Ladeadresse: -41943040 ($FD800000)
Belegt im Speicher: 827392 Bytes ($000CA000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Uniscribe Unicode script processor
Interner Name: Uniscribe
Dateiversion: 1.0626.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: Uniscribe
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft(R) Uniscribe Unicode script processor
Produktversion: 1.0626.7600.16385
Treibermodul: psapi.dll
Imagename: \Windows\System32\psapi.dll
Dateiname: C:\Windows\system32\psapi.dll
Ladeadresse: 2002911232 ($77620000)
Belegt im Speicher: 28672 Bytes ($00007000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Process Status Helper
Interner Name: PSAPI
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: PSAPI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: gdi32.dll
Imagename: \Windows\System32\gdi32.dll
Dateiname: C:\Windows\system32\gdi32.dll
Ladeadresse: -42401792 ($FD790000)
Belegt im Speicher: 421888 Bytes ($00067000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: GDI Client DLL
Interner Name: gdi32
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: gdi32
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: comctl32.dll
Imagename: \Windows\System32\comctl32.dll
Dateiname: C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll
Ladeadresse: -43057152 ($FD6F0000)
Belegt im Speicher: 655360 Bytes ($000A0000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Bibliothek für Steuerelemente
Interner Name: comctl32
Dateiversion: 6.10 (win7_rtm.090713-1255)
Ursprungs-Dateiname: comctl32.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: devobj.dll
Imagename: \Windows\System32\devobj.dll
Dateiname: C:\Windows\system32\devobj.dll
Ladeadresse: -43188224 ($FD6D0000)
Belegt im Speicher: 106496 Bytes ($0001A000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Device Information Set DLL
Interner Name: devinfoset.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: devinfoset.DLL
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: KernelBase.dll
Imagename: \Windows\System32\KernelBase.dll
Dateiname: C:\Windows\system32\KernelBase.dll
Ladeadresse: -43646976 ($FD660000)
Belegt im Speicher: 438272 Bytes ($0006B000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Client-DLL für Windows NT-Basis-API
Interner Name: Kernelbase
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: Kernelbase
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: wintrust.dll
Imagename: \Windows\System32\wintrust.dll
Dateiname: C:\Windows\system32\wintrust.dll
Ladeadresse: -43909120 ($FD620000)
Belegt im Speicher: 237568 Bytes ($0003A000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Microsoft Trust Verification APIs
Interner Name: WINTRUST.DLL
Dateiversion: 6.1.7600.16493 (win7_gdr.091228-1501)
Ursprungs-Dateiname: WINTRUST.DLL
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16493
Treibermodul: cfgmgr32.dll
Imagename: \Windows\System32\cfgmgr32.dll
Dateiname: C:\Windows\system32\cfgmgr32.dll
Ladeadresse: -44171264 ($FD5E0000)
Belegt im Speicher: 221184 Bytes ($00036000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Configuration Manager DLL
Interner Name: cfgmgr32.dll
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: CFGMGR32.DLL
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
Treibermodul: crypt32.dll
Imagename: \Windows\System32\crypt32.dll
Dateiname: C:\Windows\system32\crypt32.dll
Ladeadresse: -45678592 ($FD470000)
Belegt im Speicher: 1466368 Bytes ($00166000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Krypto-API32
Interner Name: CRYPT32.DLL
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: CRYPT32.DLL.MUI
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Treibermodul: msasn1.dll
Imagename: \Windows\System32\msasn1.dll
Dateiname: C:\Windows\system32\msasn1.dll
Ladeadresse: -45744128 ($FD460000)
Belegt im Speicher: 61440 Bytes ($0000F000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: ASN.1 Runtime APIs
Interner Name: msasn1.dll
Dateiversion: 6.1.7600.16415 (win7_gdr.090828-1615)
Ursprungs-Dateiname: msasn1.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16415
Treibermodul: normaliz.dll
Imagename: \Windows\SysWOW64\normaliz.dll
Dateiname: C:\Windows\system32\normaliz.dll
Ladeadresse: 2002845696 ($77610000)
Belegt im Speicher: 12288 Bytes ($00003000)
Loadcount: 1
Statusflags: $0
Beschreibung des Treibers: Unicode Normalization DLL
Interner Name: normaliz
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Ursprungs-Dateiname: normaliz.dll
Firma: Microsoft Corporation
Copyright: © Microsoft Corporation. All rights reserved.
Produktname: Microsoft® Windows® Operating System
Produktversion: 6.1.7600.16385
________________________________________________
[*** Sichtbare Prozesse ***]
PID: 0
Prozessname:
PID: 4
Prozessname: System
PID: 288
Prozessname: smss.exe
PID: 380
Prozessname: csrss.exe
PID: 444
Prozessname: wininit.exe
PID: 468
Prozessname: csrss.exe
PID: 500
Prozessname: services.exe
PID: 516
Prozessname: lsass.exe
PID: 524
Prozessname: lsm.exe
PID: 636
Prozessname: svchost.exe
PID: 756
Prozessname: svchost.exe
PID: 808
Prozessname: winlogon.exe
PID: 832
Prozessname: atiesrxx.exe
PID: 896
Prozessname: svchost.exe
PID: 932
Prozessname: svchost.exe
PID: 972
Prozessname: svchost.exe
PID: 332
Prozessname: svchost.exe
PID: 320
Prozessname: svchost.exe
PID: 1212
Prozessname: atieclxx.exe
PID: 1296
Prozessname: spoolsv.exe
PID: 1344
Prozessname: sched.exe
PID: 1372
Prozessname: svchost.exe
PID: 1492
Prozessname: avguard.exe
PID: 1520
Prozessname: BSQLServer.exe
PID: 1556
Prozessname: avshadow.exe
PID: 1564
Prozessname: conhost.exe
PID: 1648
Prozessname: SbieSvc.exe
PID: 1724
Prozessname: svchost.exe
Prozesspfad:
Geöffnet mit Zugriffsrechten: $100000
Anzahl geöffneter Handles auf den Prozess: 5
Pointer Count: 70
PID: 1772
Prozessname: TeamViewer_Service.exe
PID: 2104
Prozessname: WUDFHost.exe
PID: 2484
Prozessname: dwm.exe
Prozesspfad: C:\Windows\System32\dwm.exe
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 192millisec
Zeit des Prozesses im Kernelmode: 50sec 528ms
Zeit des Prozesses im Usermode: 2 Minuten 42sec 381ms
PID des Elternprozesses: 932
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 5
Pointer Count: 282
Exitcode: 259
PID: 2508
Prozessname: explorer.exe
Prozesspfad: C:\Windows\explorer.exe
Beschreibung des Programmes: Windows-Explorer
Dateiversion: 6.1.7600.16385 (win7_rtm.090713-1255)
Firma: Microsoft Corporation
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.1.7600.16385
Entwickelt für Betriebssystem: 32-Bit Windows unter NT
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 208millisec
Zeit des Prozesses im Kernelmode: 55sec 380ms
Zeit des Prozesses im Usermode: 47sec 829ms
PID des Elternprozesses: 2472
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 7
Pointer Count: 493
Exitcode: 259
PID: 2656
Prozessname: SetPoint.exe
Prozesspfad: I:\Logitech\SetPointP\SetPoint.exe
Beschreibung des Programmes: Logitech SetPoint Event Manager (UNICODE)
Dateiversion: 6.00.84
Firma: Logitech, Inc.
Produktname: Logitech SetPoint
Produktversion: 6.00.84
Entwickelt für Betriebssystem: 16-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 395millisec
Zeit des Prozesses im Kernelmode: 78ms
Zeit des Prozesses im Usermode: 78ms
PID des Elternprozesses: 2508
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 7
Pointer Count: 103
Exitcode: 259
PID: 2688
Prozessname: firefox.exe
Prozesspfad: I:\Mozilla Firefox\firefox.exe
Beschreibung des Programmes: Firefox
Dateiversion: 1.9.2.3
Firma: Mozilla Corporation
Produktname: Firefox
Produktversion: 3.6.3
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 411millisec
Zeit des Prozesses im Kernelmode: 7 Minuten 42sec 854ms
Zeit des Prozesses im Usermode: 2 Stunden 29 Minuten 41sec 804ms
PID des Elternprozesses: 2508
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 7
Pointer Count: 413
Exitcode: 259
PID: 2700
Prozessname: WidgetEngine.exe
Prozesspfad: I:\WidgetEngine\WidgetEngine.exe
Beschreibung des Programmes: Desktop Widget Engine
Dateiversion: 0.7.2.263
Firma:
Produktname: Desktop Widget Engine
Produktversion: 0.7.2
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 442millisec
Zeit des Prozesses im Kernelmode: eine Sekunde 388ms
Zeit des Prozesses im Usermode: 4sec 71ms
PID des Elternprozesses: 2508
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 3
Pointer Count: 76
Exitcode: 259
PID: 2716
Prozessname: Skype.exe
Prozesspfad: I:\Skype\Phone\Skype.exe
Beschreibung des Programmes: Skype
Dateiversion: 4.2.0.158
Firma: Skype Technologies S.A.
Produktname: Skype
Produktversion: 4.2
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 457millisec
Zeit des Prozesses im Kernelmode: 25sec 209ms
Zeit des Prozesses im Usermode: eine Minute 17sec 875ms
PID des Elternprozesses: 2508
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 5
Pointer Count: 250
Exitcode: 259
PID: 2756
Prozessname: KHALMNPR.exe
Prozesspfad: C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.exe
Beschreibung des Programmes: Logitech KHAL Main Process
Dateiversion: 4.90.80
Firma: Logitech, Inc.
Produktname: Logitech SetPoint
Produktversion: 4.90.80
Entwickelt für Betriebssystem: 16-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 473millisec
Zeit des Prozesses im Kernelmode: 109ms
Zeit des Prozesses im Usermode: 62ms
PID des Elternprozesses: 2656
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 5
Pointer Count: 113
Exitcode: 259
PID: 2808
Prozessname: avgnt.exe
Prozesspfad: I:\Avira\AntiVir Desktop\avgnt.exe
Beschreibung des Programmes: Antivirus System Tray Tool
Dateiversion: 10.00.13.17
Firma: Avira GmbH
Produktname: AntiVir Desktop
Produktversion: 10.00.13.17
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 520millisec
Zeit des Prozesses im Kernelmode: 343ms
Zeit des Prozesses im Usermode: 2sec 340ms
PID des Elternprozesses: 2728
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $10F592
Anzahl geöffneter Handles auf den Prozess: 6
Pointer Count: 76
Exitcode: 259
PID: 2816
Prozessname: taskhost.exe
Prozesspfad: C:\Windows\System32\taskhost.exe
Startzeit des Prozesses: 23.4.2010 um 10:11Uhr, 22sec 520millisec
Zeit des Prozesses im Kernelmode: 670ms
Zeit des Prozesses im Usermode: 296ms
PID des Elternprozesses: 500
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 6
Pointer Count: 168
Exitcode: 259
PID: 1840
Prozessname: SearchIndexer.exe
PID: 3284
Prozessname: svchost.exe
PID: 3352
Prozessname: svchost.exe
Prozesspfad:
Geöffnet mit Zugriffsrechten: $100000
Anzahl geöffneter Handles auf den Prozess: 11
Pointer Count: 180
PID: 3592
Prozessname: svchost.exe
PID: 2972
Prozessname: audiodg.exe
Prozesspfad: C:\Windows\System32\audiodg.exe
Startzeit des Prozesses: 23.4.2010 um 18:12Uhr, 52sec 379millisec
Zeit des Prozesses im Kernelmode: eine Sekunde 294ms
Zeit des Prozesses im Usermode: 2sec 449ms
PID des Elternprozesses: 896
Geöffnet mit Zugriffsrechten: $1000
Anzahl geöffneter Handles auf den Prozess: 4
Pointer Count: 62
Exitcode: 259
PID: 3556
Prozessname: Zombie.exe
Prozesspfad: J:\xDownloads\PH\Zombie.exe
Beschreibung des Programmes: Nach Zombieprozessen scannen
Dateiversion: 2,0,12,1
Firma: _
Produktname: Zombie
Produktversion: 2,0,12
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 18:32Uhr, 2sec 109millisec
Zeit des Prozesses im Kernelmode: 21sec 356ms
Zeit des Prozesses im Usermode: 13sec 462ms
PID des Elternprozesses: 2508
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 6
Pointer Count: 70
Exitcode: 259
PID: 1288
Prozessname: MpCmdRun.exe
PID: 2120
Prozessname: HPD.exe
Prozesspfad: J:\xDownloads\HPD1.0\HPD.exe
Beschreibung des Programmes: Detects hidden Windows processes.
Dateiversion: 1.0.0.0
Firma: EvilSoft.de
Produktname: Hidden Process Detector
Produktversion: 1.0.0.0
Entwickelt für Betriebssystem: 32-Bit Windows
Startzeit des Prozesses: 23.4.2010 um 18:33Uhr, 12sec 948millisec
Zeit des Prozesses im Kernelmode: 296ms
Zeit des Prozesses im Usermode: 62ms
PID des Elternprozesses: 2508
Adresse des PEB's: 2130567168
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 5
Pointer Count: 28
Exitcode: 259
PID: 1308
Prozessname: conhost.exe
Prozesspfad: C:\Windows\System32\conhost.exe
Startzeit des Prozesses: 23.4.2010 um 18:33Uhr, 12sec 958millisec
Zeit des Prozesses im Kernelmode: 62ms
Zeit des Prozesses im Usermode: 15ms
PID des Elternprozesses: 468
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 4
Pointer Count: 35
Exitcode: 259
________________________________________________
[*** Gefundene PID's ohne sichtbaren Prozess ***]
________________________________________________ |
lg, _________________ Centaur spears can block many spells, but no one tries to block if they see that the spell is a certain shade of green. For this purpose it is useful to know some green stunning hexes. (HPMoR)
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 19:05
Windows7? 32Bit oder 64Bit?
_________________ ____________________
MfG AHT
Zuletzt bearbeitet von AHT am Sa 24.04.10 14:03, insgesamt 1-mal bearbeitet
|
|
Hidden
Beiträge: 2242
Erhaltene Danke: 55
Win10
VS Code, Delphi 2010 Prof.
|
Verfasst: Fr 23.04.10 19:20
Win7x64, mit oder ohne Admin das Selbe. Der prozess wird aber auch nicht aufgelistet, also entweder ist es ein Fehlalarm, und du erkennst es, oder du findest die PID gar nicht erst.
lg,
_________________ Centaur spears can block many spells, but no one tries to block if they see that the spell is a certain shade of green. For this purpose it is useful to know some green stunning hexes. (HPMoR)
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 19:28
Ist leider kein 64Bit Programm - da läuft das unter Umständen nicht korrekt. Deine Vermutung mit AntiVir scheint aber zu stimmen (Vista 32Bit). | Zitat: |
[*** Gefundene PID's ohne sichtbaren Prozess ***]
PID: 3040
Prozesspfad: C:\Program Files\Avira\AntiVir Desktop\guardgui.exe
Startzeit des Prozesses: 23.4.2010 um 19:15Uhr, 1sec 49millisec
Prozesses wurde beendet um: 23.4.2010 um 19:15Uhr, 1sec 346millisec
Zeit des Prozesses im Kernelmode: 15ms
Zeit des Prozesses im Usermode: 15ms
PID des Elternprozesses: 1884
Adresse des PEB's: 2147332096
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 2
Pointer Count: 3
Exitcode: 0
PID: 3064
Prozesspfad: C:\Program Files\Avira\AntiVir Desktop\guardgui.exe
Startzeit des Prozesses: 23.4.2010 um 19:12Uhr, 56sec 901millisec
Prozesses wurde beendet um: 23.4.2010 um 19:12Uhr, 57sec 260millisec
PID des Elternprozesses: 1884
Adresse des PEB's: 2147336192
Geöffnet mit Zugriffsrechten: $1FFFFF
Anzahl geöffneter Handles auf den Prozess: 2
Pointer Count: 3
Exitcode: 0
________________________________________________
|
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 20:00
Das scheint mit der Meldebox von antivir 10 zusammenzuhängen - immer wenn die auftaucht, scheint ein neuer Zombie hinzuzukommen.
_________________ ____________________
MfG AHT
Zuletzt bearbeitet von AHT am Sa 24.04.10 14:02, insgesamt 1-mal bearbeitet
|
|
Hidden
Beiträge: 2242
Erhaltene Danke: 55
Win10
VS Code, Delphi 2010 Prof.
|
Verfasst: Fr 23.04.10 20:05
Hi - Welche Melde box genau? Ich experimentiere mal gerade in wenig, aber könntest du mir einen zweiten Weg nennen, der bei dir einen Zombie erzeugt?
lg,
_________________ Centaur spears can block many spells, but no one tries to block if they see that the spell is a certain shade of green. For this purpose it is useful to know some green stunning hexes. (HPMoR)
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 20:14
Nochmal zu dem Tool hier:
@SAiBOT:
Du musst an deiner Technik arbeiten - das funktioniert so nicht.
Viele Usermode Processhider nehmen die API SetWindowsHookEx, um ihre DLL zu injizieren - das ist schön einfach und braucht wenig Code. SetWindowsHookEx funktioniert aber nur, wenn der Prozess ein vernünftiges Fenster hat (so wie der Taskmanager). Dein Tool hat kein vernünftiges Fenster, dein Kreuzverhörtest (ich nehme an, du fürst einen durch, denn das ist der Standard) funktioniert dann aber nicht korrekt, denn der versteckte Prozess ist für dein Tool gar nicht versteckt.
Wegen der Zombies:
Es gibt da mehrere Möglichkeiten zu "testen", ob eine PID von einem Zombie belegt wird oder nicht - ich zeige diese Klamotten dann in blauer Farbe an, nicht in Rot.
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 20:17
@Hidden:
Diese MessageBox
[url= www.postimage.org/image.php?v=gxjjEZi] [/url]
Wenn der Guard einen Virus findet, entsteht auch ein Zombie. Bei einem Update erscheint auch dieser Dialog.
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 20:41
Das Problem mit den Zombies wurde an Avira gemeldet.
_________________ ____________________
MfG AHT
Zuletzt bearbeitet von AHT am Sa 24.04.10 14:02, insgesamt 1-mal bearbeitet
|
|
Hidden
Beiträge: 2242
Erhaltene Danke: 55
Win10
VS Code, Delphi 2010 Prof.
|
Verfasst: Fr 23.04.10 20:58
@AHT: Wo?(Thread-Link?) - von dir?
Edit: @AHT hat mir gerade noch eine auf x64 angepasste Version seines Detektors geschickt, die findet ohne Adminrechte nichts und mit Adminrechten den AntiVir-Prozess. Interessanterweise ist es ja bei dem Tool von @SAiBOT genau anders herum.
lg,
Einloggen, um Attachments anzusehen!
_________________ Centaur spears can block many spells, but no one tries to block if they see that the spell is a certain shade of green. For this purpose it is useful to know some green stunning hexes. (HPMoR)
Zuletzt bearbeitet von Hidden am Fr 23.04.10 21:12, insgesamt 2-mal bearbeitet
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 21:01
Die Meldung hat jemand für mich übernommen, evtl. Poste ich im Forum dort noch einmal.
|
|
AHT
Beiträge: 207
|
Verfasst: Fr 23.04.10 21:48
Mein Tool ist so konzipert, das es zwingend Adminrechte benötigt. Saibot scheint in seinem Tool schon auf Zombies zu testen (damit es diese nicht anzeigt) - doch ohne Adminrechte funktioniert das nicht bei jedem Prozess.
_________________ ____________________
MfG AHT
Zuletzt bearbeitet von AHT am Sa 24.04.10 14:01, insgesamt 1-mal bearbeitet
|
|
AHT
Beiträge: 207
|
Verfasst: Sa 24.04.10 14:01
Hier der Link zu meinem Posting bei AntiVir:
forum.avira.com/wbb/...&threadID=112028_________________ ____________________
MfG AHT
|
|
AHT
Beiträge: 207
|
Verfasst: Sa 24.04.10 20:19
Deine Beobachtung mit Update.exe konnte ich ebenfalls bestätigen - tritt auf allen Betriebssystemen auf. Guardgui wird nur unter Vista und Windows7 nicht geschlossen. Ursache ist hier sched.exe von Avira - der baut Mist.
_________________
____________________
MfG AHT
|
|
SAiBOT 
Beiträge: 323
Erhaltene Danke: 6
XP SP2; 7
D7; D2009
|
Verfasst: Mo 03.05.10 12:28
AHT hat folgendes geschrieben  : | Nochmal ich... 
Was man verbessern kann:
Auf dem Screenshot unten siehst du dein Tool und mein Tool - beide arbeiten im Usermode. Hier wurde ein Prozess mittel der DLL HideProcessNT.dll (kommt, glaube ich, auch hier aus dem Delphibereich) versteckt.
Dein Tool erkennt den Prozess (noch) nicht, meins ja.
Schaue dir unter anderem die native API (Nt/-)ZwQuerySystemInformation mal etwas genauer an - vor allen Dingen die InformationClasses, die M$ nicht dokumentiert.
[url=www.postimage.org/image.php?v=aVCkxa0] [/url]
PS: Weiter so, tolle Sache! Wenn du Anregungen für weitere solche Sachen brauchst, stehe ich zur Verfügung. |
Welche Techniken benutzt diese DLL bitte? Injeziert sie Code in bestehende Prozesse? Ansonsten glaube ich nicht, dass der Programmierer so geschickt war alle meine Tests zu unterwandern.
Edit: Also ich habe eine Dll mit diesem Namen gefunden -> www.hackerboard.de/c...tecken-unter-xp.html, ich habe mal ein Screenshot angehängt (So sieht es bei mir unter XP SP2 und Win7 aus). Man beachte das anscheinend nur Process32First/Next erfolgreich gehookt werden, selbst der Taskmanager findet den "versteckten" Prozess noch!
| AHT hat folgendes geschrieben : | Nochmal zu dem Tool hier:
@SAiBOT:
Du musst an deiner Technik arbeiten - das funktioniert so nicht.
Viele Usermode Processhider nehmen die API SetWindowsHookEx, um ihre DLL zu injizieren - das ist schön einfach und braucht wenig Code. SetWindowsHookEx funktioniert aber nur, wenn der Prozess ein vernünftiges Fenster hat (so wie der Taskmanager). Dein Tool hat kein vernünftiges Fenster, dein Kreuzverhörtest (ich nehme an, du fürst einen durch, denn das ist der Standard) funktioniert dann aber nicht korrekt, denn der versteckte Prozess ist für dein Tool gar nicht versteckt. |
HPD erkennt bis jetzt auch nur Prozesse die versteckt werden und keine Threads die in sichtbaren Prozessen versteckt werden. Aber das ist ohnehin mein nächster Ansatzpunkt.
| AHT hat folgendes geschrieben : | | Mein Tool ist so konzipert, das es zwingend Adminrechte benötigt. Saibot scheint in seinem Tool schon auf Zombies zu testen (damit es diese nicht anzeigt) - doch ohne Adminrechte funktioniert das nicht bei jedem Prozess. |
Genau das ist das Problem, was hier zu verwirrung geführt hat. HPD ist auch so konzipert, das es zwingend Adminrechte benötigt. Inaktive Prozesse werden außer Acht gelassen.
Einloggen, um Attachments anzusehen!
_________________ Debuggers don't remove bugs, they only show them in slow-motion.
|
|
SAiBOT
Beiträge: 323
Erhaltene Danke: 6
XP SP2; 7
D7; D2009
|
Verfasst: Sa 03.07.10 12:42
Update zu v1.1:
-Bei Systemen mit fehlenden Privilegien liefert HPD nun Fehlermeldungen statt falsche Ergebnisse.
-Neue Erkennungsmethode
-Das Konsolenfenster hat jetzt einen neuen Stil 
_________________ Debuggers don't remove bugs, they only show them in slow-motion.
|
|
Cypher2000
Hält's aus hier
Beiträge: 15
Win XP
Delphi 7
|
Verfasst: Mo 05.07.10 20:40
Gut gemacht, wieder ein nützliches Tool das ich zum Überprüfen des PCs einsetzen kann. 
Nur eine Sache: Kann man vielleicht irgendwie die Musik ausschalten? Wenn nämlich 2 Songs gleichzeitig dudeln hört sich das nicht so schön aus, auch wenns nur 3 Sekunden dauert bis ich "Nothing was found" gelesen habe und das Programm wieder geschlossen habe. Wenn du die Musik nicht ganz deaktivieren willst bitte ich dich nur um einen Commandline Parameter wie "-nosound" oder so.
Dankeschön.
|
|
SAiBOT
Beiträge: 323
Erhaltene Danke: 6
XP SP2; 7
D7; D2009
|
Verfasst: Sa 14.08.10 11:37
-nosound Parameter ist hinzugefügt, ganz möchte ich nicht darauf verzichten =).
_________________ Debuggers don't remove bugs, they only show them in slow-motion.
|
|
delphi10
Beiträge: 447
Erhaltene Danke: 2
W2K, XP, Vista64, Win7 64
RAD-Studio 2010
|
Verfasst: Do 19.08.10 22:36
Der erste Start unter W2k
Einloggen, um Attachments anzusehen!
_________________ Salus populi suprema lex esto
|
|
SAiBOT
Beiträge: 323
Erhaltene Danke: 6
XP SP2; 7
D7; D2009
|
Verfasst: Do 19.08.10 23:33
hast du HPD mit dem "-unsafe" Parameter gestartet? Falls ja, kann es durchaus passieren das sich HPD so verabschiedet. Falls nicht, muss ich mir die CSRSS Methode nochmal ansehen. Die Netstat-Methode funktioniert erst ab XP, das "impossible" ist also normal.
_________________ Debuggers don't remove bugs, they only show them in slow-motion.
|
|
