Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
JS/iFrame.cqi

JS/iFrame.cqi


Plagegeister aller Art und deren Bekämpfung: JS/iFrame.cqi

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 15.06.2013, 10:48   #1
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Hallo liebes Forum,

nun ist es soweit und ich brauche wieder mal eure hilfe :-(
Habe mal die ganzen Sachen drüber laufen lassen. Aber das seht ihr ja eh selbst im Anhang.

Eines gleich vorweg: Musste windows vor einiger Zeit neu aufsetzten. Mache immer alle updates die es mir vorschlägt aber anscheinend ist noch immer das SP1 oben?!?(habe ich heute bei dem GMER scan gelesen)

Wie der Titel schon sagt hat Avira folgenden Fund gemeldet und in die Quarantäne verschoben.
Ansonst ist mir noch nichts aufgefallen was ja nichts heißen mag.

Was sonst noch erwähnenswert sein könnte:
Hab in meinem PC eine 2.Festplatte eingebaut auf der Kubuntu läuft. Die zeigt es mir unter Windows jedoch nicht an. Keine Ahnung ob die bei den scans berücksichtigt wird oder nicht.

Hoffe ihr könnt mir helfen.

Danke im vorraus
mfg hyperbel

Alt 15.06.2013, 10:58   #2
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Hi,

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
__________________

__________________
Alt 15.06.2013, 12:38   #3
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Hallo anbei die die gewünschten Dateien.

Kann man sagen wo ich mir das eingefangen habe?
War nur auf Seiten unterwegs, die meines erachtens seriös sind.

Grundsätzliche Frage: sind sozial networks "virenschleudern"?

Mir ist klar, dass mitdenken das wichtigste im inet ist(sicherheitshalber habe ich deshalb ja auch Kubuntu) aber gibts es "bessere" antivir Lösungen als Avira?(wenn möglich freeware)

mfg
hyperbel
PS: antworten bekommt man bei euch hier wirklich flott. Super!!!!
__________________
Alt 15.06.2013, 14:44   #4
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Zitat:
Kann man sagen wo ich mir das eingefangen habe?
selten
Zitat:
Grundsätzliche Frage: sind sozial networks "virenschleudern"?
jein . Wenn Du auf alles klickst was bunt ist und blinkt könnte es passieren
Zitat:
aber gibts es "bessere" antivir Lösungen als Avira?(wenn möglich freeware)
avast



So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.



Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 16.06.2013, 08:14   #5
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Hallo,

hier die Combofix txt. Hoffe ich habe sie diesmal richtig eingesetzt. :-)

mfg hyperbel

Code:
ATTFilter
ComboFix 13-06-13.01 - *** 15.06.2013  16:27:36.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.43.1031.18.2018.914 [GMT 2:00]
ausgeführt von:: d:\***\gespeicherte Programme\trojanerboard\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-16 bis 2013-06-16  ))))))))))))))))))))))))))))))
.
.
2013-06-15 14:32 . 2013-06-16 07:00	--------	d-----w-	c:\users\***\AppData\Local\temp
2013-06-15 14:32 . 2013-06-15 14:32	--------	d-----w-	c:\users\Internet\AppData\Local\temp
2013-06-15 14:32 . 2013-06-15 14:32	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-06-15 11:26 . 2013-06-15 11:26	--------	d-----w-	C:\FRST
2013-06-07 16:18 . 2013-06-07 16:18	--------	d-----w-	c:\windows\system32\EventProviders
2013-05-19 06:07 . 2013-05-19 06:07	--------	d-----w-	c:\programdata\WindowsSearch
2013-05-18 08:18 . 2013-05-18 08:18	777488	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-13 15:37 . 2013-04-06 11:22	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-13 15:37 . 2013-04-06 11:22	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-08 16:14 . 2013-05-08 16:10	51249	----a-w-	c:\users\Internet\AppData\Roaming\mdbu.bin
2013-04-20 22:39 . 2013-04-20 22:40	866720	----a-w-	c:\windows\system32\npDeployJava1.dll
2013-04-20 22:39 . 2013-04-20 22:40	788896	----a-w-	c:\windows\system32\deployJava1.dll
2013-04-20 22:39 . 2013-04-20 22:40	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-03-27 17:15 . 2013-03-02 15:36	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-03-27 17:15 . 2013-03-02 15:36	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-03-27 17:15 . 2013-03-02 15:36	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2008-04-30 02:55	4232968	----a-w-	c:\program files\Protector Suite QL\farchns.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2008-04-30 02:55	4232968	----a-w-	c:\program files\Protector Suite QL\farchns.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="d:\programme\Sandboxie\SbieCtrl.exe" [2011-01-12 405736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-24 13556256]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-24 92704]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-29 75136]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-10-09 708608]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-05-07 345312]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-24 2516296]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2010-03-02 140640]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
.
c:\users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE /tsr [2007-12-7 101440]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"DisableCAD"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2008-04-30 02:43	96008	----a-w-	c:\windows\System32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli psqlpwd
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
2008-04-30 02:21	49928	----a-w-	c:\program files\Protector Suite QL\launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2008-01-21 02:23	1233920	----a-w-	c:\program files\Windows Sidebar\sidebar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2010-10-25 18:46	2424560	----a-w-	d:\programme\Superantispyware\SUPERANTISPYWARE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-04-06 15:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.msi.com.tw
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\
FF - ExtSQL: 2013-04-20 20:02; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(528)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infql2.dll
.
- - - - - - - > 'Explorer.exe'(3632)
c:\program files\Protector Suite QL\farchns.dll
c:\program files\Protector Suite QL\infql2.dll
c:\program files\Protector Suite QL\qlbase.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Avira\AntiVir Desktop\avshadow.exe
d:\programme\Sandboxie\SbieSvc.exe
c:\program files\Protector Suite QL\upeksvr.exe
d:\programme\Avira\AntiVir Desktop\sched.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\System Control Manager\MSIService.exe
d:\programme\BurnAware Free\NMSAccess32.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\WUDFHost.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-16  09:03:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-06-16 07:03
.
Vor Suchlauf: 9 Verzeichnis(se), 18.357.805.056 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.566.111.232 Bytes frei
.
- - End Of File - - C1B448C40226EFAAE983FE2B7EA44080
5C616939100B85E558DA92B899A0FC36


Alt 16.06.2013, 08:16   #6
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST Log bitte.
__________________
--> JS/iFrame.cqi

Alt 16.06.2013, 09:07   #7
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Hallo,

anbei wieder die logs.

mfg hyperbel

Code:
ATTFilter
# AdwCleaner v2.303 - Datei am 16/06/2013 um 09:43:52 erstellt
# Aktualisiert am 08/06/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Benutzer : ***
# Bootmodus : Normal
# Ausgeführt unter : D:\***\gespeicherte Programme\trojanerboard\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\boost_interprocess

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6001.18639

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v19.0 (de)

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nhakdx0f.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]

Datei : C:\Users\***\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

Datei : C:\Users\***\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1219 octets] - [16/06/2013 09:43:52]

########## EOF - C:\AdwCleaner[S1].txt - [1279 octets] ##########
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.9.4 (05.06.2013:1)
OS: Windows Vista (TM) Home Premium x86
Ran by *** on 16.06.2013 at  9:52:05,39
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 16.06.2013 at  9:53:31,22
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-06-2013
Ran by *** (administrator) on 16-06-2013 09:58:32
Running from D:\***\gespeicherte Programme\trojanerboard
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(SANDBOXIE L.T.D) D:\Programme\Sandboxie\SbieSvc.exe
(UPEK Inc.) C:\Program Files\Protector Suite QL\upeksvr.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\sched.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
() C:\Program Files\System Control Manager\MSIService.exe
() D:\Programme\BurnAware Free\NMSAccess32.exe
(TOSHIBA CORPORATION) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
(Mirco-Star International  CO., LTD.) C:\Program Files\System Control Manager\MGSysCtrl.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avgnt.exe
(CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
(CANON INC.) C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(SANDBOXIE L.T.D) D:\Programme\Sandboxie\SbieCtrl.exe
(Microsoft Corporation) C:\Windows\system32\wbem\unsecapp.exe
(TOSHIBA CORPORATION.) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
(TOSHIBA CORPORATION.) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
(TOSHIBA CORPORATION.) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
(TOSHIBA CORPORATION.) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Opera Software) D:\Programme\Opera\opera.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [13556256 2008-09-24] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [92704 2008-09-24] (NVIDIA Corporation)
HKLM\...\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START [75136 2007-09-29] ( TOSHIBA CORPORATION)
HKLM\...\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe [708608 2008-10-09] (Mirco-Star International  CO., LTD.)
HKLM\...\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [x]
HKLM\...\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon [2516296 2010-03-24] (CANON INC.)
HKLM\...\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe [140640 2010-03-02] (CANON INC.)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [33648 2007-08-24] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [253816 2013-03-12] (Oracle Corporation)
Winlogon\Notify\psfus: C:\Windows\system32\psqlpwd.dll (UPEK Inc.)
HKCU\...\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe" [x]
HKCU\...\Policies\system: [DisableRegistryTools] 0
HKCU\...\Policies\system: [DisableTaskMgr] 0
HKU\Internet\...\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe" [x]
HKU\Internet\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-21] (Microsoft Corporation)
Lsa: [Notification Packages] scecli psqlpwd
Startup: C:\ProgramData\Start Menu\Programs\Startup\Bluetooth Manager.lnk
ShortcutTarget: Bluetooth Manager.lnk -> C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
Startup: C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msi.com.tw
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
BHO: No Name - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -  No File
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/DTPlugin,version=10.21.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.21.2 - D:\Programme\Java\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Extension: No Name - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: No Name - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\Extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}.xpi

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; D:\Programme\Avira\AntiVir Desktop\sched.exe [86752 2013-03-27] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; D:\Programme\Avira\AntiVir Desktop\avguard.exe [110816 2013-03-27] (Avira Operations GmbH & Co. KG)
R2 Micro Star SCM; C:\Program Files\System Control Manager\MSIService.exe [159744 2008-08-27] ()
R2 NMSAccess; D:\Programme\BurnAware Free\NMSAccess32.exe [71096 2009-01-12] ()
R2 SbieSvc; D:\Programme\Sandboxie\SbieSvc.exe [69864 2011-01-12] (SANDBOXIE L.T.D)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 SASDIFSV; D:\Programme\Superantispyware\SASDIFSV.SYS [12872 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; D:\Programme\Superantispyware\SASKUTIL.SYS [67656 2010-05-10] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R3 SbieDrv; D:\Programme\Sandboxie\SbieDrv.sys [125672 2011-01-12] (SANDBOXIE L.T.D)
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1748352 2008-06-09] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-02] (Avira GmbH)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S3 SymIM; system32\DRIVERS\SymIM.sys [x]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-16 09:52 - 2013-06-16 09:52 - 00000000 ____D C:\Windows\ERUNT
2013-06-16 09:51 - 2013-06-16 09:51 - 00000000 ____D C:\JRT
2013-06-16 09:43 - 2013-06-16 09:44 - 00001348 ____A C:\AdwCleaner[S1].txt
2013-06-16 09:03 - 2013-06-16 09:03 - 00008869 ____A C:\ComboFix.txt
2013-06-15 16:26 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-06-15 16:26 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-06-15 16:26 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-06-15 16:25 - 2013-06-16 09:03 - 00000000 ____D C:\Qoobox
2013-06-15 16:25 - 2013-06-16 09:02 - 00000000 ____D C:\Windows\erdnt
2013-06-15 13:26 - 2013-06-15 13:26 - 00000000 ____D C:\FRST
2013-06-15 09:25 - 2013-06-15 09:25 - 00000000 ____A C:\Users\***\defogger_reenable
2013-06-07 18:18 - 2013-06-07 18:18 - 00000000 ____D C:\Windows\System32\EventProviders
2013-06-07 18:15 - 2013-06-07 18:15 - 00000552 ____A C:\Users\***\AppData\Local\d3d8caps.dat
2013-06-05 19:15 - 2013-06-05 19:15 - 00000552 ____A C:\Users\Internet\AppData\Local\d3d8caps.dat
2013-05-19 08:07 - 2013-05-19 08:07 - 00000000 ____D C:\ProgramData\WindowsSearch

==================== One Month Modified Files and Folders ========

2013-06-16 09:52 - 2013-06-16 09:52 - 00000000 ____D C:\Windows\ERUNT
2013-06-16 09:51 - 2013-06-16 09:51 - 00000000 ____D C:\JRT
2013-06-16 09:48 - 2013-03-02 20:21 - 01668353 ____A C:\Windows\WindowsUpdate.log
2013-06-16 09:46 - 2013-03-02 12:48 - 00000680 ____A C:\Users\***\AppData\Local\d3d9caps.dat
2013-06-16 09:46 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-16 09:46 - 2006-11-02 14:47 - 00004784 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-16 09:46 - 2006-11-02 14:47 - 00004784 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-16 09:45 - 2006-11-02 15:01 - 00032530 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-16 09:44 - 2013-06-16 09:43 - 00001348 ____A C:\AdwCleaner[S1].txt
2013-06-16 09:37 - 2013-04-06 13:22 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-06-16 09:03 - 2013-06-16 09:03 - 00008869 ____A C:\ComboFix.txt
2013-06-16 09:03 - 2013-06-15 16:25 - 00000000 ____D C:\Qoobox
2013-06-16 09:03 - 2006-11-02 13:18 - 00000000 __RHD C:\users\Default
2013-06-16 09:03 - 2006-11-02 13:18 - 00000000 ___RD C:\users\Public
2013-06-16 09:02 - 2013-06-15 16:25 - 00000000 ____D C:\Windows\erdnt
2013-06-16 09:00 - 2006-11-02 12:23 - 00000215 ____A C:\Windows\system.ini
2013-06-16 08:59 - 2008-01-21 04:47 - 00132230 ____A C:\Windows\PFRO.log
2013-06-15 13:26 - 2013-06-15 13:26 - 00000000 ____D C:\FRST
2013-06-15 09:25 - 2013-06-15 09:25 - 00000000 ____A C:\Users\***\defogger_reenable
2013-06-15 09:25 - 2013-03-02 12:48 - 00000000 ____D C:\users\***
2013-06-14 15:24 - 2013-03-03 08:24 - 00000680 ____A C:\Users\Internet\AppData\Local\d3d9caps.dat
2013-06-14 15:11 - 2006-11-02 12:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-06-13 17:37 - 2013-04-06 13:22 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-13 17:37 - 2013-04-06 13:22 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-07 18:18 - 2013-06-07 18:18 - 00000000 ____D C:\Windows\System32\EventProviders
2013-06-07 18:15 - 2013-06-07 18:15 - 00000552 ____A C:\Users\***\AppData\Local\d3d8caps.dat
2013-06-05 19:15 - 2013-06-05 19:15 - 00000552 ____A C:\Users\Internet\AppData\Local\d3d8caps.dat
2013-06-03 14:48 - 2006-11-02 12:33 - 01418806 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-01 16:57 - 2006-11-02 14:52 - 00140518 ____A C:\Windows\setupact.log
2013-05-22 20:11 - 2013-03-23 16:18 - 00006656 ____A C:\Users\Internet\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-05-19 08:07 - 2013-05-19 08:07 - 00000000 ____D C:\ProgramData\WindowsSearch

Files to move or delete:
====================
C:\ProgramData\nvModes.dat

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-16 09:51

==================== End Of Log ============================
--- --- ---

--- --- ---

Alt 16.06.2013, 09:11   #8
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST Log. Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 16.06.2013, 11:28   #9
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


hier wieder die logs.
mfg hyperbel

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=273a4c74ea3de943b32d834a94fd9cfc
# engine=14083
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-16 10:05:19
# local_time=2013-06-16 12:05:19 (+0100, Mitteleuropäische Sommerzeit)
# country="***"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 10793 192674517 3569 0
# compatibility_mode=5892 16776638 100 95 141405607 208909847 0 0
# scanned=190660
# found=0
# cleaned=0
# scan_time=4767
das bekam ich beim security check:
UNSUPPORTED OPERATING SYSTEM! ABORTED!


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-06-2013
Ran by *** (administrator) on 16-06-2013 12:16:25
Running from D:\***\gespeicherte Programme\trojanerboard
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(SANDBOXIE L.T.D) D:\Programme\Sandboxie\SbieSvc.exe
(UPEK Inc.) C:\Program Files\Protector Suite QL\upeksvr.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\sched.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
() C:\Program Files\System Control Manager\MSIService.exe
() D:\Programme\BurnAware Free\NMSAccess32.exe
(TOSHIBA CORPORATION) C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Windows\system32\wbem\unsecapp.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Opera Software) D:\Programme\Opera\opera.exe
(Avira Operations GmbH & Co. KG) D:\Programme\Avira\AntiVir Desktop\avcenter.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [13556256 2008-09-24] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [92704 2008-09-24] (NVIDIA Corporation)
HKLM\...\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START [75136 2007-09-29] ( TOSHIBA CORPORATION)
HKLM\...\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe [708608 2008-10-09] (Mirco-Star International  CO., LTD.)
HKLM\...\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [x]
HKLM\...\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon [2516296 2010-03-24] (CANON INC.)
HKLM\...\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe [140640 2010-03-02] (CANON INC.)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [33648 2007-08-24] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [253816 2013-03-12] (Oracle Corporation)
Winlogon\Notify\psfus: C:\Windows\system32\psqlpwd.dll (UPEK Inc.)
HKCU\...\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe" [x]
HKCU\...\Policies\system: [DisableRegistryTools] 0
HKCU\...\Policies\system: [DisableTaskMgr] 0
HKU\Internet\...\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe" [x]
HKU\Internet\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-21] (Microsoft Corporation)
Lsa: [Notification Packages] scecli psqlpwd
Startup: C:\ProgramData\Start Menu\Programs\Startup\Bluetooth Manager.lnk
ShortcutTarget: Bluetooth Manager.lnk -> C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
Startup: C:\Users\Internet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msi.com.tw
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
BHO: No Name - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -  No File
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 10.0.0.138

FireFox:
========
FF ProfilePath: C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/DTPlugin,version=10.21.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.21.2 - D:\Programme\Java\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Extension: No Name - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: No Name - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\eqwac9ct.default\Extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}.xpi

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; D:\Programme\Avira\AntiVir Desktop\sched.exe [86752 2013-03-27] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; D:\Programme\Avira\AntiVir Desktop\avguard.exe [110816 2013-03-27] (Avira Operations GmbH & Co. KG)
R2 Micro Star SCM; C:\Program Files\System Control Manager\MSIService.exe [159744 2008-08-27] ()
R2 NMSAccess; D:\Programme\BurnAware Free\NMSAccess32.exe [71096 2009-01-12] ()
R2 SbieSvc; D:\Programme\Sandboxie\SbieSvc.exe [69864 2011-01-12] (SANDBOXIE L.T.D)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 SASDIFSV; D:\Programme\Superantispyware\SASDIFSV.SYS [12872 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; D:\Programme\Superantispyware\SASKUTIL.SYS [67656 2010-05-10] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R3 SbieDrv; D:\Programme\Sandboxie\SbieDrv.sys [125672 2011-01-12] (SANDBOXIE L.T.D)
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1748352 2008-06-09] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-02] (Avira GmbH)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S3 SymIM; system32\DRIVERS\SymIM.sys [x]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-16 09:52 - 2013-06-16 09:52 - 00000000 ____D C:\Windows\ERUNT
2013-06-16 09:51 - 2013-06-16 09:51 - 00000000 ____D C:\JRT
2013-06-16 09:43 - 2013-06-16 09:44 - 00001348 ____A C:\AdwCleaner[S1].txt
2013-06-16 09:03 - 2013-06-16 09:03 - 00008869 ____A C:\ComboFix.txt
2013-06-15 16:26 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-06-15 16:26 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-06-15 16:26 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-06-15 16:26 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-06-15 16:25 - 2013-06-16 09:03 - 00000000 ____D C:\Qoobox
2013-06-15 16:25 - 2013-06-16 09:02 - 00000000 ____D C:\Windows\erdnt
2013-06-15 13:26 - 2013-06-15 13:26 - 00000000 ____D C:\FRST
2013-06-15 09:25 - 2013-06-15 09:25 - 00000000 ____A C:\Users\***\defogger_reenable
2013-06-07 18:18 - 2013-06-07 18:18 - 00000000 ____D C:\Windows\System32\EventProviders
2013-06-07 18:15 - 2013-06-07 18:15 - 00000552 ____A C:\Users\***\AppData\Local\d3d8caps.dat
2013-06-05 19:15 - 2013-06-05 19:15 - 00000552 ____A C:\Users\Internet\AppData\Local\d3d8caps.dat
2013-05-19 08:07 - 2013-05-19 08:07 - 00000000 ____D C:\ProgramData\WindowsSearch

==================== One Month Modified Files and Folders ========

2013-06-16 11:46 - 2006-11-02 14:47 - 00004784 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-16 11:46 - 2006-11-02 14:47 - 00004784 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-16 11:37 - 2013-04-06 13:22 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-06-16 09:52 - 2013-06-16 09:52 - 00000000 ____D C:\Windows\ERUNT
2013-06-16 09:51 - 2013-06-16 09:51 - 00000000 ____D C:\JRT
2013-06-16 09:48 - 2013-03-02 20:21 - 01668353 ____A C:\Windows\WindowsUpdate.log
2013-06-16 09:46 - 2013-03-02 12:48 - 00000680 ____A C:\Users\***\AppData\Local\d3d9caps.dat
2013-06-16 09:46 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-16 09:45 - 2006-11-02 15:01 - 00032530 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-16 09:44 - 2013-06-16 09:43 - 00001348 ____A C:\AdwCleaner[S1].txt
2013-06-16 09:03 - 2013-06-16 09:03 - 00008869 ____A C:\ComboFix.txt
2013-06-16 09:03 - 2013-06-15 16:25 - 00000000 ____D C:\Qoobox
2013-06-16 09:03 - 2006-11-02 13:18 - 00000000 __RHD C:\users\Default
2013-06-16 09:03 - 2006-11-02 13:18 - 00000000 ___RD C:\users\Public
2013-06-16 09:02 - 2013-06-15 16:25 - 00000000 ____D C:\Windows\erdnt
2013-06-16 09:00 - 2006-11-02 12:23 - 00000215 ____A C:\Windows\system.ini
2013-06-16 08:59 - 2008-01-21 04:47 - 00132230 ____A C:\Windows\PFRO.log
2013-06-15 13:26 - 2013-06-15 13:26 - 00000000 ____D C:\FRST
2013-06-15 09:25 - 2013-06-15 09:25 - 00000000 ____A C:\Users\***\defogger_reenable
2013-06-15 09:25 - 2013-03-02 12:48 - 00000000 ____D C:\users\***
2013-06-14 15:24 - 2013-03-03 08:24 - 00000680 ____A C:\Users\Internet\AppData\Local\d3d9caps.dat
2013-06-14 15:11 - 2006-11-02 12:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-06-13 17:37 - 2013-04-06 13:22 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-13 17:37 - 2013-04-06 13:22 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-07 18:18 - 2013-06-07 18:18 - 00000000 ____D C:\Windows\System32\EventProviders
2013-06-07 18:15 - 2013-06-07 18:15 - 00000552 ____A C:\Users\***\AppData\Local\d3d8caps.dat
2013-06-05 19:15 - 2013-06-05 19:15 - 00000552 ____A C:\Users\Internet\AppData\Local\d3d8caps.dat
2013-06-03 14:48 - 2006-11-02 12:33 - 01418806 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-01 16:57 - 2006-11-02 14:52 - 00140518 ____A C:\Windows\setupact.log
2013-05-22 20:11 - 2013-03-23 16:18 - 00006656 ____A C:\Users\Internet\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-05-19 08:07 - 2013-05-19 08:07 - 00000000 ____D C:\ProgramData\WindowsSearch

Files to move or delete:
====================
C:\ProgramData\nvModes.dat

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-16 09:51

==================== End Of Log ============================
--- --- ---
Alt 16.06.2013, 11:49   #10
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 16.06.2013, 12:00   #11
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


ich merke nichts :-)



ist mein system jetzt bereinigt?

mfg hyperbel
recht herzlchen dank nochmal

Alt 16.06.2013, 18:05   #12
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Ist es

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 20.06.2013, 20:45   #13
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Sorry, dass ich mich erst so spät melde aber bei dem schönen Wetter hab ichs bis jetzt nicht zum PC geschafft! :-(

Ja hat alles super funktionert Danke.
Keine Probleme.
Alt 21.06.2013, 09:04   #14
schrauber
/// the machine
/// TB-Ausbilder
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Gern Geschehen
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 21.06.2013, 19:09   #15
hyperbel
 
JS/iFrame.cqi - Standard

JS/iFrame.cqi


Jetzt hab ich doch noch ein problem
sp2 lässt sich nicht installieren. kann es sein, dass das mir der Reinigung zu tun hat?

mfg hyperbel

Antwort
Seite 1 von 2 1 2

Themen zu JS/iFrame.cqi
ahnung, avira, brauche, eingebaut, einiger, folge, folgende, folgenden, forum, fund, gmer, heute, laufen, neu, nichts, platte, quarantäne, sache, sachen, scan, schei, titel, updates, windows


« Firefox: Fast bei jedem Klick öffnet sich ein neuer Tab mit Werbung | Ist der PC ein Zombie // Urheber ermitteln »

Ähnliche Themen: JS/iFrame.cqi


  1. Mal/Iframe-AN ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2015 (15)
  2. JS:Trojan.JS.Iframe.DH (Virus)
    Log-Analyse und Auswertung - 05.05.2013 (34)
  3. Mal/Iframe-V (trojaner-board.de)
    Lob, Kritik und Wünsche - 24.02.2013 (1)
  4. HTML:IFrame-K [Trj]
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (8)
  5. Trojaner JS:Iframe-UC (trj)
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (1)
  6. HTML/Iframe.aho
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (13)
  7. (3x) Trojaner JS/iFrame.byo.3
    Mülltonne - 15.08.2012 (1)
  8. JS:Iframe-KQ [Trj]
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (9)
  9. Trojan.JS.Iframe.BDJ
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (5)
  10. Antivir findet EXP/JS.Iframe.AL
    Plagegeister aller Art und deren Bekämpfung - 07.04.2012 (27)
  11. TR/Rootkit.gen und HTML/Iframe.adw.1
    Log-Analyse und Auswertung - 02.02.2012 (9)
  12. Trojaner auf Web-Starseite?! js:Iframe-DA [Trj]
    Plagegeister aller Art und deren Bekämpfung - 07.12.2011 (4)
  13. iframe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.09.2009 (1)
  14. IFrame Trojan
    Mülltonne - 05.11.2008 (0)
  15. HTML:Iframe-gen
    Plagegeister aller Art und deren Bekämpfung - 12.10.2008 (2)
  16. HTML/IFrame.aaa.100
    Mülltonne - 17.01.2008 (0)
  17. iFrame
    Alles rund um Windows - 29.11.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema JS/iFrame.cqi - Hallo liebes Forum, nun ist es soweit und ich brauche wieder mal eure hilfe :-( Habe mal die ganzen Sachen drüber laufen lassen. Aber das seht ihr ja eh selbst - JS/iFrame.cqi...
Archiv
Du betrachtest: JS/iFrame.cqi auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129