Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte um Hilfe BDS/Agent.7394331

Bitte um Hilfe BDS/Agent.7394331


Log-Analyse und Auswertung: Bitte um Hilfe BDS/Agent.7394331

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.01.2008, 13:21   #1
Noemi
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Hallo! Dieser Trojaner nistet sich trotz löschens immer neu in meinem PC ein. Habe im Internet kaum Informationen gefunden. Hier im Forum bin ich durch andere Postings auf die Hijack-Methode aufmerksam geworden.

Hilft das in meinem Fall weiter? Bzw. kann mir jemand helfen?
Bin für jede Hilfe dankbar!!!

Dies ist die Logfile-Datei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:05, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\bt\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxx.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.internetcologne.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AdobeAcrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\AdobeAcrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\AdobeAcrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5859 bytes

Alt 30.01.2008, 22:05   #2
nochdigger
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Hallo

Zitat:
Dieser Trojaner nistet sich trotz löschens immer neu in meinem PC ein.
Verrate uns doch dann auch wo genau (Pfad/Dateiname) er gefunden wird.


Scanne dein System bitte mal mit Silentrunners

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

sowie mit Combofix

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG
__________________
Alt 30.01.2008, 23:48   #3
Noemi
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Erstmal schonmal danke für die Antwort. Das erste mal machte mich Antivir auf den Pfad "C:\Dokumente und Einstellungen\bt\Desktop\Nicht verwendete Desktopverknüpfungen\PartyPokerSetup.exe" aufmerksam.
Nach löschen der Datei bekam ich 2 Tage später (heute) den Warnhinweis im Pfad "C:\System Volume Information\_restore{CAF39087-C6AC-4494-A349-D116F6E399A8}\RP309\A0083189.exe"

Ich habe beide scans durchgeführt, hier sind die Logdateien:

1. Silentrunner

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"updateMgr" = ""C:\Programme\AdobeAcrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1" ["Adobe Systems Incorporated"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"]
"(Default)" = (empty string) [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]
"SSC Service Utility" = "C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe /s" ["SSC Localization Group"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\AdobeAcrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{32A9D769-5B55-4a25-9A62-86B5683FE50A}" = "NikonView Drop Extension"
-> {HKLM...CLSID} = "NikonView Drop Extension"
\InProcServer32\(Default) = "C:\Programme\Nikon\NkView6\NkvDropExt.dll" ["Nikon Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\AdobeAcrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\bt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "bt" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\bt\Startmenü\Programme\Autostart
"OpenOffice.org 2.0" -> shortcut to: "C:\Programme\OpenOffice.org 2.0\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\AdobeAcrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"NkvMon.exe" -> shortcut to: "C:\Programme\Nikon\NkView6\NkvMon.exe" ["Nikon Corporation"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



2. Combofix

ComboFix 08-01-31.1 - bt 2008-01-30 23:39:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.142 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\bt\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-31 ))))))))))))))))))))))))))))))
.

2008-01-30 23:06 . 2008-01-30 23:38 <DIR> d-------- C:\Programme\Uninstall von Dateien die nicht gehen wollen
2008-01-30 22:34 . 2008-01-30 22:34 <DIR> d-------- C:\Programme\iTunes
2008-01-30 22:34 . 2008-01-30 22:34 <DIR> d-------- C:\Programme\iPod
2008-01-30 22:33 . 2008-01-30 22:33 <DIR> d-------- C:\Programme\Bonjour
2008-01-30 22:31 . 2008-01-30 22:31 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-30 22:30 . 2008-01-30 22:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-01-30 22:30 . 2008-01-30 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-30 19:10 . 2001-08-23 20:00 72,192 --a------ C:\WINDOWS\system32\tasklist.exe
2008-01-28 20:19 . 2008-01-28 20:19 <DIR> d-------- C:\Programme\DivX
2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-01-07 18:29 . 2008-01-30 23:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-07 18:29 . 2008-01-07 18:29 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-30 19:02 . 2007-12-30 19:02 <DIR> d-------- C:\PSFONTS
2007-12-30 19:02 . 2007-12-30 19:03 <DIR> d-------- C:\Programme\Finale NotePad 2007
2007-12-25 17:37 . 2008-01-08 20:50 <DIR> d-------- C:\Programme\Silkroad
2007-12-25 15:16 . 2007-12-25 15:16 <DIR> d-------- C:\Downloads
2007-12-25 15:16 . 2007-12-25 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\bt\Anwendungsdaten\uTorrent

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 22:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-01-30 22:09 --------- d-----w C:\Dokumente und Einstellungen\bt\Anwendungsdaten\OpenOffice.org2
2008-01-30 21:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-30 21:51 --------- d-----w C:\Programme\Java
2008-01-30 21:34 --------- d-----w C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Apple Computer
2008-01-30 21:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-30 21:33 --------- d-----w C:\Programme\QuickTime
2008-01-28 11:22 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-27 00:25 --------- d-----w C:\Programme\Trillian
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll
2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
2007-10-11 06:12 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\AdobeAcrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-16 09:55 249896]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"SSC Service Utility"="C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe" [2006-10-16 17:32 490496]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-10-18 08:00 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

C:\Dokumente und Einstellungen\bt\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-07-14 21:26:34 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-18 00:18:08 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\AdobeAcrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
NkvMon.exe.lnk - C:\Programme\Nikon\NkView6\NkvMon.exe [2006-11-28 14:59:54 241664]

R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]
S3 EPUSBSTOR;EPSON USB Storage Driver;C:\WINDOWS\system32\DRIVERS\epusbsto.sys [2001-09-10 00:00]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-30 21:31:41 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 23:40:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-31 23:41:16
.
2008-01-09 12:52:37 --- E O F ---
__________________
Alt 31.01.2008, 00:32   #4
nochdigger
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Hallo

die Logs haben auch nicht wirklich etwas offenbart.

Deaktiviere bitte mal die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Führe ein Update deines Antivir durch und überprüfe dein System anschließend berichte bitte nochmal.

MFG

Alt 31.01.2008, 01:25   #5
Noemi
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Okay, habe genau das gemacht. Heute nachmittag habe ich bei http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html meine software überprüfen lassen und alle Programme, die als "unsicher" gekennzeichnet waren entweder aktualisiert oder gelöscht. Könnte es evt. sein dass der Virus zufällig mitgelöscht wurde? Und kann man sich überhaupt irgendwann sicher sein, dass er weg ist?

Hier die neuen Logdateien:

1. Silentrunners

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"updateMgr" = ""C:\Programme\AdobeAcrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1" ["Adobe Systems Incorporated"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"WinDSL MTU-Adjust" = "WinDSL_MTU.exe" ["Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG"]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]
"SSC Service Utility" = "C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe /s" ["SSC Localization Group"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\AdobeAcrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]



2. Combofix

ComboFix 08-01-31.1 - bt 2008-02-01 1:18:58.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.184 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\bt\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-01-30 23:06 . 2008-02-01 01:18 <DIR> d-------- C:\Programme\Uninstall von Dateien die nicht gehen wollen
2008-01-30 22:34 . 2008-01-30 22:34 <DIR> d-------- C:\Programme\iTunes
2008-01-30 22:34 . 2008-01-30 22:34 <DIR> d-------- C:\Programme\iPod
2008-01-30 22:33 . 2008-01-30 22:33 <DIR> d-------- C:\Programme\Bonjour
2008-01-30 22:31 . 2008-01-30 22:31 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-30 22:30 . 2008-01-30 22:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-01-30 22:30 . 2008-01-30 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-30 19:10 . 2001-08-23 20:00 72,192 --a------ C:\WINDOWS\system32\tasklist.exe
2008-01-28 20:19 . 2008-01-28 20:19 <DIR> d-------- C:\Programme\DivX
2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-01-07 18:29 . 2008-02-01 01:14 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-07 18:29 . 2008-01-07 18:29 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-01 00:13 --------- d-----w C:\Dokumente und Einstellungen\bt\Anwendungsdaten\OpenOffice.org2
2008-01-30 22:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-01-30 21:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-30 21:51 --------- d-----w C:\Programme\Java
2008-01-30 21:34 --------- d-----w C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Apple Computer
2008-01-30 21:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-30 21:33 --------- d-----w C:\Programme\QuickTime
2008-01-28 11:22 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-27 00:25 --------- d-----w C:\Programme\Trillian
2008-01-08 19:50 --------- d-----w C:\Programme\Silkroad
2007-12-30 18:03 --------- d-----w C:\Programme\Finale NotePad 2007
2007-12-25 16:44 --------- d-----w C:\Dokumente und Einstellungen\bt\Anwendungsdaten\uTorrent
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\AdobeAcrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-16 09:55 249896]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"SSC Service Utility"="C:\Programme\EPSON\SSC Service Utility\ssc_serv.exe" [2006-10-16 17:32 490496]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-10-18 08:00 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

C:\Dokumente und Einstellungen\bt\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-07-14 21:26:34 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-18 00:18:08 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\AdobeAcrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
NkvMon.exe.lnk - C:\Programme\Nikon\NkView6\NkvMon.exe [2006-11-28 14:59:54 241664]

R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]
S3 EPUSBSTOR;EPSON USB Storage Driver;C:\WINDOWS\system32\DRIVERS\epusbsto.sys [2001-09-10 00:00]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-31 22:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 01:20:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 1:20:56
ComboFix2.txt 2008-01-31 22:41:17
.
2008-01-09 12:52:37 --- E O F ---


Alt 31.01.2008, 08:38   #6
nochdigger
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Hallo

Zitat:
Heute nachmittag habe ich bei Software Inspector - Secunia meine software überprüfen lassen und alle Programme, die als "unsicher" gekennzeichnet waren entweder aktualisiert oder gelöscht.
Sehr gut

Zitat:
Könnte es evt. sein dass der Virus zufällig mitgelöscht wurde?
Zufällig nein, du hast die PartyPokerSetup.exe gelöscht welche auch in der Systemwiederherstellung saß, mit dem deaktivieren und Neustart haben wir diesen Wiederherstellungspunkt gelöscht.

Zitat:
Und kann man sich überhaupt irgendwann sicher sein, dass er weg ist?
Man sollte sich nach Entfernung von Schadsoftware, egal wie sie heißt nie ganz sicher sein alles erwischt zu haben.

Überprüfe dein System doch nochmal mit Ewido/AVG 7.5
ewido - anti-spyware and anti-malware solutions

Ich denke aber dein System ist i.O.

MFG

Alt 31.01.2008, 23:26   #7
Noemi
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Eine Frage hab ich noch bezüglich des zweiten Pfades, wo sich der Trojaner laut Antivir drin befindet (zur Zeit immer noch in Quarantäne). Die kann ich doch bestimmt nicht so einfach löschen, weil es sich doch um ne Windows-Datei handelt, oder nicht?!

Hier der Scan-Report von Ewido/AVG 7.5 und danke nochmal für alles bis hierher!!!

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 12:03:37 01.02.2008

+ Scan-Ergebnis:



:mozilla.128:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.230:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.375:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.43:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.44:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.47:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.482:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.48:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.49:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.500:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.503:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.50:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.51:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.537:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.59:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.60:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.61:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.62:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.63:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.64:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.540:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Gemius : Keine Aktion durchgeführt.
:mozilla.541:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Gemius : Keine Aktion durchgeführt.
:mozilla.543:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Gemius : Keine Aktion durchgeführt.
:mozilla.154:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.155:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.158:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.166:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.217:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.346:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.349:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.411:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.322:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Information : Keine Aktion durchgeführt.
:mozilla.323:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Information : Keine Aktion durchgeführt.
:mozilla.17:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.182:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Liveperson : Keine Aktion durchgeführt.
:mozilla.183:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Liveperson : Keine Aktion durchgeführt.
:mozilla.10:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Netflame : Keine Aktion durchgeführt.
:mozilla.9:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Netflame : Keine Aktion durchgeführt.
:mozilla.35:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
:mozilla.36:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
:mozilla.37:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
:mozilla.38:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
:mozilla.39:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@germany.real[1].txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@real[1].txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@realguide.real[1].txt -> TrackingCookie.Real : Keine Aktion durchgeführt.
:mozilla.473:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Realtracker : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@serving-sys[1].txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.361:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Sitestat : Keine Aktion durchgeführt.
:mozilla.382:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Sitestat : Keine Aktion durchgeführt.
:mozilla.518:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Sitestat : Keine Aktion durchgeführt.
:mozilla.100:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
:mozilla.101:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
:mozilla.102:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
:mozilla.98:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
:mozilla.99:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.453:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Trafficmp : Keine Aktion durchgeführt.
:mozilla.70:C:\Dokumente und Einstellungen\bt\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtm8st7.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\bt\Cookies\bt@zedo[2].txt -> TrackingCookie.Zedo : Keine Aktion durchgeführt.


::Berichtende

Alt 01.02.2008, 00:02   #8
nochdigger
 
Bitte um Hilfe BDS/Agent.7394331 - Standard

Bitte um Hilfe BDS/Agent.7394331


Hallo

Zitat:
Eine Frage hab ich noch bezüglich des zweiten Pfades, wo sich der Trojaner laut Antivir drin befindet (zur Zeit immer noch in Quarantäne). Die kann ich doch bestimmt nicht so einfach löschen, weil es sich doch um ne Windows-Datei handelt, oder nicht?!
Die Datei befand sich in der Systemwiederherstellung und mit dem deaktivieren haben wir die Wiederherstellungspunkte gelöscht, dein Antivireprogramm war in keiner Zeit in der Lage dort etwas zu löschen oder zu verschieben.
Lege dir mal ClearProg zu und nutze es nach jeder Internetsitzung
Downloads von shTools.de
die Version 1.5.0 wähle bei der installation die verknüpfungen zu Ebay ab.

AVG hat nichts außer Kekse gefunden, du kannst es wieder deinstallieren.

MFG

Antwort

Themen zu Bitte um Hilfe BDS/Agent.7394331
adobe, antivir, application, avg, avira, bho, bitte um hilfe, desktop, downloader, dsl, einstellungen, explorer, firefox, helfen, helper, hijackthis, internet, internet explorer, monitor, mozilla, mozilla firefox, photoshop, rundll, software, system, trojaner, windows, windows xp


« Kann Nod32 nicht mehr starten | Trojaner - »


Ähnliche Themen: Bitte um Hilfe BDS/Agent.7394331


  1. Bitte um HILFE!! BDS agent - Virus?! Trojaner?
    Mülltonne - 30.12.2008 (0)
  2. TR/Spy.Agent.saf los werden, bitte um hilfe
    Log-Analyse und Auswertung - 16.12.2008 (0)
  3. Trojaner win32.agent.pz? Bitte um Hilfe
    Log-Analyse und Auswertung - 22.07.2008 (1)
  4. Vundo und Agent.DUJ befall!Bitte um Hilfe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  5. Brauche bitte Hilfe bei TR/Agent AHYP!!!
    Mülltonne - 26.04.2008 (0)
  6. Bitte Hilfe bei Trojaner! TR/Dldr.Agent.AM.16
    Log-Analyse und Auswertung - 03.03.2007 (3)
  7. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  8. bitte um hilfe EXP/Agent.B od. W186233e.dll
    Log-Analyse und Auswertung - 02.11.2006 (1)
  9. Drop.Agent.arv eingefangen! Bitte Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 30.07.2006 (8)
  10. Downloader.Agent.uj!!! Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2006 (1)
  11. TR/Agent.KT Bitte um Hilfe
    Log-Analyse und Auswertung - 01.03.2006 (26)
  12. Rootkit.Win32.Agent.q....bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (1)
  13. Bitte um Hilfe - Trajan Downloader Agent
    Plagegeister aller Art und deren Bekämpfung - 28.04.2005 (3)
  14. Bitte Hilfe mit E-Scan wegen Win.Agent.bc
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (2)
  15. TR/dldr.Agent.cb bitte um hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2004 (14)
  16. BDS/Agent EC - Bitte Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2004 (21)
  17. Backdoor Agent B - Bitte um Hilfe!
    Log-Analyse und Auswertung - 13.08.2004 (12)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte um Hilfe BDS/Agent.7394331 - Hallo! Dieser Trojaner nistet sich trotz löschens immer neu in meinem PC ein. Habe im Internet kaum Informationen gefunden. Hier im Forum bin ich durch andere Postings auf die Hijack-Methode - Bitte um Hilfe BDS/Agent.7394331...
Archiv
Du betrachtest: Bitte um Hilfe BDS/Agent.7394331 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129