Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bildschirm weis nach windowsstart

Bildschirm weis nach windowsstart


Log-Analyse und Auswertung: Bildschirm weis nach windowsstart

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.04.2013, 10:12   #1
djdolla
 
Bildschirm weis nach windowsstart - Standard

Bildschirm weis nach windowsstart


Hallo,
sorry für die späte Meldung, es geht nicht um meinen PC sondern um den von einem Kumpel und der ist bereits an Schritt 1 gescheitert

Hier mal das Logfile von Schritt 1
Code:
ATTFilter
========== OTL ==========
Registry value HKEY_USERS\lech_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\lech\AppData\Roaming\skype.dat deleted successfully.
C:\Users\lech\AppData\Roaming\skype.dat moved successfully.
C:\Users\lech\AppData\Roaming\skype.ini moved successfully.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 04182013_125722
Ich werde mich jetzt mal an die restlichen Schritte machen und euch auf dem Laufenden halten.

Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-18 13:10:17
Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 WDC_WD1002FAEX-00Z3A0 rev.05.01D05 931,51GB
Running: dxlsxrgl.exe; Driver: C:\Users\lech\AppData\Local\Temp\pxldapow.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification

---- User code sections - GMER 2.1 ----

.text     C:\Windows\system32\wininit.exe[640] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                           0000000077212c52 1 byte [62]
.text     C:\Windows\system32\winlogon.exe[912] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Windows\System32\svchost.exe[288] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                           0000000077212c52 1 byte [62]
.text     C:\Windows\system32\atiesrxx.exe[492] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Windows\System32\svchost.exe[752] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                           0000000077212c52 1 byte [62]
.text     C:\Windows\System32\svchost.exe[888] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                           0000000077212c52 1 byte [62]
.text     C:\Windows\system32\svchost.exe[652] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                           0000000077212c52 1 byte [62]
.text     C:\Windows\system32\svchost.exe[1372] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                          0000000077a517d7 5 bytes JMP 00000001000301f8
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                        0000000077a53221 5 bytes JMP 00000001000303fc
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory             0000000077a69578 5 bytes JMP 0000000100030600
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory                 0000000077a69608 5 bytes JMP 0000000100030804
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                  0000000077a69758 5 bytes JMP 0000000100030c0c
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory              0000000077a69ab8 5 bytes JMP 0000000100030a08
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130             0000000076be4228 1 byte [62]
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx                00000000759b010d 5 bytes JMP 0000000100080a08
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                  00000000759b03d2 5 bytes JMP 0000000100080804
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                  00000000759b1b58 5 bytes JMP 0000000100080600
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                     00000000759b6530 5 bytes JMP 00000001000803fc
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\USER32.dll!SetWinEventHook                    00000000759c653e 5 bytes JMP 00000001000801f8
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                   0000000076fd9eb4 5 bytes JMP 00000001000903fc
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                    0000000076fda07e 5 bytes JMP 0000000100090600
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity         0000000077016cd9 5 bytes JMP 0000000100091014
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA             0000000077016dd9 5 bytes JMP 0000000100090804
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW             0000000077016f81 5 bytes JMP 0000000100090a08
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A            0000000077017099 5 bytes JMP 0000000100090c0c
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W            00000000770171e1 5 bytes JMP 0000000100090e10
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe[1088] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                   00000000770172a1 5 bytes JMP 00000001000901f8
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                                          0000000077a517d7 5 bytes JMP 00000001000301f8
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                        0000000077a53221 5 bytes JMP 00000001000303fc
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory                             0000000077a69578 5 bytes JMP 0000000100030600
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory                                 0000000077a69608 5 bytes JMP 0000000100030804
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                                  0000000077a69758 5 bytes JMP 0000000100030c0c
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory                              0000000077a69ab8 5 bytes JMP 0000000100030a08
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130                             0000000076be4228 1 byte [62]
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx                                00000000759b010d 5 bytes JMP 0000000100080a08
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                  00000000759b03d2 5 bytes JMP 0000000100080804
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                                  00000000759b1b58 5 bytes JMP 0000000100080600
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                                     00000000759b6530 5 bytes JMP 00000001000803fc
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\USER32.dll!SetWinEventHook                                    00000000759c653e 5 bytes JMP 00000001000801f8
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                                   0000000076fd9eb4 5 bytes JMP 00000001000903fc
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                                    0000000076fda07e 5 bytes JMP 0000000100090600
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity                         0000000077016cd9 5 bytes JMP 0000000100091014
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA                             0000000077016dd9 5 bytes JMP 0000000100090804
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW                             0000000077016f81 5 bytes JMP 0000000100090a08
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A                            0000000077017099 5 bytes JMP 0000000100090c0c
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W                            00000000770171e1 5 bytes JMP 0000000100090e10
.text     C:\Program Files (x86)\Nero\Update\NASvc.exe[1804] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                                   00000000770172a1 5 bytes JMP 00000001000901f8
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                       0000000077a517d7 5 bytes JMP 00000001000301f8
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                     0000000077a53221 5 bytes JMP 00000001000303fc
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory          0000000077a69578 5 bytes JMP 0000000100030600
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory              0000000077a69608 5 bytes JMP 0000000100030804
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess               0000000077a69758 5 bytes JMP 0000000100030c0c
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory           0000000077a69ab8 5 bytes JMP 0000000100030a08
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130          0000000076be4228 1 byte [62]
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                0000000076fd9eb4 5 bytes JMP 00000001001a03fc
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                 0000000076fda07e 5 bytes JMP 00000001001a0600
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity      0000000077016cd9 5 bytes JMP 00000001001a1014
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA          0000000077016dd9 5 bytes JMP 00000001001a0804
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW          0000000077016f81 5 bytes JMP 00000001001a0a08
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A         0000000077017099 5 bytes JMP 00000001001a0c0c
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W         00000000770171e1 5 bytes JMP 00000001001a0e10
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                00000000770172a1 5 bytes JMP 00000001001a01f8
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx             00000000759b010d 5 bytes JMP 00000001001b0a08
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW               00000000759b03d2 5 bytes JMP 00000001001b0804
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA               00000000759b1b58 5 bytes JMP 00000001001b0600
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                  00000000759b6530 5 bytes JMP 00000001001b03fc
.text     C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe[2364] C:\Windows\syswow64\USER32.dll!SetWinEventHook                 00000000759c653e 5 bytes JMP 00000001001b01f8
.text     C:\Windows\System32\svchost.exe[2464] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!LdrUnloadDll                                               0000000077876d20 5 bytes JMP 000000010011075c
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!LdrLoadDll                                                 0000000077893bd0 5 bytes JMP 00000001001103a4
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory                                    00000000778a6ff0 5 bytes JMP 0000000100110b14
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory                                        00000000778a7050 5 bytes JMP 0000000100110ecc
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!NtTerminateProcess                                         00000000778a7130 5 bytes JMP 000000010011163c
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory                                     00000000778a7370 5 bytes JMP 0000000100111284
.text     C:\Windows\system32\SearchIndexer.exe[2492] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194                                    0000000077212c52 1 byte [62]
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!LdrUnloadDll                                                         0000000077876d20 5 bytes JMP 000000010016075c
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!LdrLoadDll                                                           0000000077893bd0 5 bytes JMP 00000001001603a4
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory                                              00000000778a6ff0 5 bytes JMP 0000000100160b14
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory                                                  00000000778a7050 5 bytes JMP 0000000100160ecc
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!NtTerminateProcess                                                   00000000778a7130 5 bytes JMP 000000010016163c
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory                                               00000000778a7370 5 bytes JMP 0000000100161284
.text     C:\Windows\system32\Dwm.exe[2988] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194                                              0000000077212c52 1 byte [62]
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!LdrUnloadDll                                                             0000000077876d20 5 bytes JMP 000000010012075c
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!LdrLoadDll                                                               0000000077893bd0 5 bytes JMP 00000001001203a4
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory                                                  00000000778a6ff0 5 bytes JMP 0000000100120b14
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory                                                      00000000778a7050 5 bytes JMP 0000000100120ecc
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!NtTerminateProcess                                                       00000000778a7130 5 bytes JMP 000000010012163c
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory                                                   00000000778a7370 5 bytes JMP 0000000100121284
.text     C:\Windows\Explorer.EXE[3020] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194                                                  0000000077212c52 1 byte [62]
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!LdrUnloadDll                                                     0000000077876d20 5 bytes JMP 000000010009075c
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!LdrLoadDll                                                       0000000077893bd0 5 bytes JMP 00000001000903a4
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory                                          00000000778a6ff0 5 bytes JMP 0000000100090b14
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory                                              00000000778a7050 5 bytes JMP 0000000100090ecc
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!NtTerminateProcess                                               00000000778a7130 5 bytes JMP 000000010009163c
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory                                           00000000778a7370 5 bytes JMP 0000000100091284
.text     C:\Windows\system32\taskeng.exe[3052] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!LdrUnloadDll                                          0000000077876d20 5 bytes JMP 00000001001e075c
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!LdrLoadDll                                            0000000077893bd0 5 bytes JMP 00000001001e03a4
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory                               00000000778a6ff0 5 bytes JMP 00000001001e0b14
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory                                   00000000778a7050 5 bytes JMP 00000001001e0ecc
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!NtTerminateProcess                                    00000000778a7130 5 bytes JMP 00000001001e163c
.text     C:\Windows\system32\SearchProtocolHost.exe[1744] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory                                00000000778a7370 5 bytes JMP 00000001001e1284
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                      0000000077a517d7 5 bytes JMP 00000001000301f8
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                    0000000077a53221 5 bytes JMP 00000001000303fc
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory         0000000077a69578 5 bytes JMP 0000000100030600
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory             0000000077a69608 5 bytes JMP 0000000100030804
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess              0000000077a69758 5 bytes JMP 0000000100030c0c
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory          0000000077a69ab8 5 bytes JMP 0000000100030a08
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130         0000000076be4228 1 byte [62]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW               0000000076fd9eb4 5 bytes JMP 00000001001c03fc
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                0000000076fda07e 5 bytes JMP 00000001001c0600
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity     0000000077016cd9 5 bytes JMP 00000001001c1014
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA         0000000077016dd9 5 bytes JMP 00000001001c0804
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW         0000000077016f81 5 bytes JMP 00000001001c0a08
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A        0000000077017099 5 bytes JMP 00000001001c0c0c
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W        00000000770171e1 5 bytes JMP 00000001001c0e10
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA               00000000770172a1 5 bytes JMP 00000001001c01f8
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx            00000000759b010d 5 bytes JMP 00000001001d0a08
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW              00000000759b03d2 5 bytes JMP 00000001001d0804
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA              00000000759b1b58 5 bytes JMP 00000001001d0600
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                 00000000759b6530 5 bytes JMP 00000001001d03fc
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3176] C:\Windows\syswow64\USER32.dll!SetWinEventHook                00000000759c653e 5 bytes JMP 00000001001d01f8
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                                    0000000077a517d7 5 bytes JMP 00000001000301f8
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                                  0000000077a53221 5 bytes JMP 00000001000303fc
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory                       0000000077a69578 5 bytes JMP 0000000100030600
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory                           0000000077a69608 5 bytes JMP 0000000100030804
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess                            0000000077a69758 5 bytes JMP 0000000100030c0c
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory                        0000000077a69ab8 5 bytes JMP 0000000100030a08
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130                       0000000076be4228 1 byte [62]
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx                          00000000759b010d 5 bytes JMP 0000000100080a08
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                            00000000759b03d2 5 bytes JMP 0000000100080804
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA                            00000000759b1b58 5 bytes JMP 0000000100080600
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                               00000000759b6530 5 bytes JMP 00000001000803fc
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\USER32.dll!SetWinEventHook                              00000000759c653e 5 bytes JMP 00000001000801f8
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                             0000000076fd9eb4 5 bytes JMP 00000001000903fc
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                              0000000076fda07e 5 bytes JMP 0000000100090600
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity                   0000000077016cd9 5 bytes JMP 0000000100091014
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA                       0000000077016dd9 5 bytes JMP 0000000100090804
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW                       0000000077016f81 5 bytes JMP 0000000100090a08
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A                      0000000077017099 5 bytes JMP 0000000100090c0c
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W                      00000000770171e1 5 bytes JMP 0000000100090e10
.text     C:\Program Files (x86)\Ask.com\Updater\Updater.exe[3192] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                             00000000770172a1 5 bytes JMP 00000001000901f8
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!LdrUnloadDll                 0000000077876d20 5 bytes JMP 00000001001a075c
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!LdrLoadDll                   0000000077893bd0 5 bytes JMP 00000001001a03a4
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory      00000000778a6ff0 5 bytes JMP 00000001001a0b14
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory          00000000778a7050 5 bytes JMP 00000001001a0ecc
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!NtTerminateProcess           00000000778a7130 5 bytes JMP 00000001001a163c
.text     C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe[3412] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory       00000000778a7370 5 bytes JMP 00000001001a1284
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                       0000000077a517d7 5 bytes JMP 00000001001b01f8
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!LdrUnloadDll                     0000000077a53221 5 bytes JMP 00000001001b03fc
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!NtAllocateVirtualMemory          0000000077a69578 5 bytes JMP 00000001001b0600
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!NtFreeVirtualMemory              0000000077a69608 5 bytes JMP 00000001001b0804
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!NtTerminateProcess               0000000077a69758 5 bytes JMP 00000001001b0c0c
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory           0000000077a69ab8 5 bytes JMP 00000001001b0a08
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\KERNEL32.dll!GetBinaryTypeW + 130          0000000076be4228 1 byte [62]
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx             00000000759b010d 5 bytes JMP 00000001001c0a08
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW               00000000759b03d2 5 bytes JMP 00000001001c0804
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\USER32.dll!SetWindowsHookExA               00000000759b1b58 5 bytes JMP 00000001001c0600
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\USER32.dll!UnhookWinEvent                  00000000759b6530 5 bytes JMP 00000001001c03fc
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\USER32.dll!SetWinEventHook                 00000000759c653e 5 bytes JMP 00000001001c01f8
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                0000000076fd9eb4 5 bytes JMP 00000001001d03fc
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!DeleteService                 0000000076fda07e 5 bytes JMP 00000001001d0600
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!SetServiceObjectSecurity      0000000077016cd9 5 bytes JMP 00000001001d1014
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigA          0000000077016dd9 5 bytes JMP 00000001001d0804
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfigW          0000000077016f81 5 bytes JMP 00000001001d0a08
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2A         0000000077017099 5 bytes JMP 00000001001d0c0c
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!ChangeServiceConfig2W         00000000770171e1 5 bytes JMP 00000001001d0e10
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe[3976] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                00000000770172a1 5 bytes JMP 00000001001d01f8
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!LdrUnloadDll                   0000000077876d20 5 bytes JMP 000000010034075c
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!LdrLoadDll                     0000000077893bd0 5 bytes JMP 00000001003403a4
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory        00000000778a6ff0 5 bytes JMP 0000000100340b14
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory            00000000778a7050 5 bytes JMP 0000000100340ecc
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!NtTerminateProcess             00000000778a7130 5 bytes JMP 000000010034163c
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory         00000000778a7370 5 bytes JMP 0000000100341284
.text     C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe[3992] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194        0000000077212c52 1 byte [62]
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!LdrUnloadDll             0000000077876d20 5 bytes JMP 000000010071075c
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!LdrLoadDll               0000000077893bd0 5 bytes JMP 00000001007103a4
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!NtAllocateVirtualMemory  00000000778a6ff0 5 bytes JMP 0000000100710b14
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!NtFreeVirtualMemory      00000000778a7050 5 bytes JMP 0000000100710ecc
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!NtTerminateProcess       00000000778a7130 5 bytes JMP 000000010071163c
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\ntdll.dll!NtProtectVirtualMemory   00000000778a7370 5 bytes JMP 0000000100711284
.text     C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe[1064] C:\Windows\system32\KERNEL32.dll!GetBinaryTypeW + 194  0000000077212c52 1 byte [62]
.text     C:\Program Files\Windows Media Player\wmpnscfg.exe[4636] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                       0000000077212c52 1 byte [62]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe[4748] C:\Windows\syswow64\kernel32.dll!GetBinaryTypeW + 130         0000000076be4228 1 byte [62]
.text     C:\Windows\system32\wuauclt.exe[3964] C:\Windows\system32\kernel32.dll!GetBinaryTypeW + 194                                          0000000077212c52 1 byte [62]
.text     C:\Windows\SysWOW64\conime.exe[4732] C:\Windows\syswow64\kernel32.dll!GetBinaryTypeW + 130                                           0000000076be4228 1 byte [62]
.text     C:\Users\lech\Downloads\dxlsxrgl.exe[180] C:\Windows\syswow64\kernel32.dll!GetBinaryTypeW + 130                                      0000000076be4228 1 byte [62]

---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                                                     suspicious modification

---- EOF - GMER 2.1 ----

Antwort

Themen zu Bildschirm weis nach windowsstart
adobe, adobe flash player, antivirus, autorun, avast, bho, bildschirm, defender, enigma, error, esgscanner.sys, explorer, firefox, flash player, format, helper, intranet, logfile, microsoft, mozilla, plug-in, problem, realtek, registry, scan, software, start von windows, vista, windows, wmp


« Programme werden nicht mehr ausgeführt, Installationen laufen nicht... | Email-Anhang (ZIP) geöffnet »


Ähnliche Themen: Bildschirm weis nach windowsstart


  1. dauerhafte Bluescreens nach 5sec -2st nach windowsstart
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (3)
  2. weißer Bildschirm bei Windowsstart; abgesicherter Modus mit Eingabefunktion funktioniert nur noch
    Plagegeister aller Art und deren Bekämpfung - 03.06.2013 (21)
  3. Weißer Bildschirm bei Windowsstart
    Log-Analyse und Auswertung - 31.05.2013 (9)
  4. Weißer Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (31)
  5. Weißer Bildschirm nach dem normalen Windowsstart und auch im abgesicherten Modus
    Log-Analyse und Auswertung - 30.05.2013 (23)
  6. Grauer Bildschirm nach Windowsstart
    Log-Analyse und Auswertung - 23.04.2013 (14)
  7. Wieder mal der weiße Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 15.04.2013 (5)
  8. Grauer Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 13.02.2013 (16)
  9. weisser Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 14.01.2013 (4)
  10. Windowsstart schwarzer Bildschirm, Maus funktioniert
    Plagegeister aller Art und deren Bekämpfung - 05.01.2013 (8)
  11. Weißer Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 20.12.2012 (24)
  12. Virus(Trojaner)-weißer Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (11)
  13. "Weißer Bildschirm Trojaner", Nach dem Windowsstart nur weißer Bildschirm!
    Log-Analyse und Auswertung - 01.09.2012 (1)
  14. CMD wird nach Windowsstart kurz eingblendet. Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  15. Roter Bildschirm beim Windowsstart. OTL.txt erstellt
    Plagegeister aller Art und deren Bekämpfung - 07.10.2011 (7)
  16. [müll] Roter Bildschirm beim Windowsstart:Loganalyse erfolgt
    Mülltonne - 05.10.2011 (4)
  17. Bluescreen nach normalem Windowsstart - Infektion
    Plagegeister aller Art und deren Bekämpfung - 03.05.2009 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bildschirm weis nach windowsstart - Hallo, sorry für die späte Meldung, es geht nicht um meinen PC sondern um den von einem Kumpel und der ist bereits an Schritt 1 gescheitert Hier mal das Logfile - Bildschirm weis nach windowsstart...
Archiv
Du betrachtest: Bildschirm weis nach windowsstart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58