Hallo Trojaner-Board,

ich bin hier recht neu und habe auch gleich eine Frage:

Ich habe mir gestern für ein Spiel(Hitman BM) einen Trainer runtergeladen. Ich habe das Spiel schonmal durchgespielt und wollte jetzt nen bisschen FUN ohne großen aufwand. Also mal schön gegoogelt und gleich nen Haufen gefunden. Gut drauf auf den Link und hab mir dann die Datei gedownloadet. So hab die Datei entpackt und sofort hat mir mein AntiVir lauter Warnungen ausgespuckt und da ich gelesen habe das, dass bei so Trainer öfters der Fall ist bin ich erstmal auf "Ignorieren". Aber wo mir das ganze doch zu bunt geworden ist, habe ich sofort alles gelöscht von dieser Datei und heute morgen "via" Suchen auch noch eine Datei gelöscht. Um das ganze jetzt nicht zul lang zu machen ist meine Frage: Besteht noch eine Gefahr? Ist mein Computer noch infiziert?

Ich schreibe deswegen an euch, weil ich auf Google Berichte gefunden habe da stand System neuaufsetzen, Wenn es noch dein System ist. Da ging es auch noch um diesen Virus. Ich hab da jetzt schon nen bisschen Angst und deswegen wende ich mich an euch.

Liebe Grüße NewRazor

Halli hallo NewRazor

Zitat:

Gut drauf auf den Link und hab mir dann die Datei gedownloadet.

Das war 'ne ziemlich dumme Idee.

Zitat:

So hab die Datei entpackt und sofort hat mir mein AntiVir lauter Warnungen ausgespuckt und da ich gelesen habe das, dass bei so Trainer öfters der Fall ist bin ich erstmal auf "Ignorieren".

Das grenzt an Wahnsinn.

Zitat:

Besteht noch eine Gefahr? Ist mein Computer noch infiziert?

Ja, es besteht Gefahr. Du kannst sogar mit Sicherheit davon ausgehen, dass dein Rechner infiziert ist da du die schädlichen Aktionen ja erlaubt hast..

Ich würde den Rechner neuaufsetzten. In solchen Dateien sind meinstens BackdoorTrojaner drinn die vollen Zugriff auf dein System ermöglichen und sich nur sehr schwer bereinigen lassen.

Hallo,

Und Danke für die schnelle Antwort.
Aber ich habe da noch eine Frage gibt es ein Programm wo den PC scannen kann und man dadurch sagen kann das noch was drauf ist?

Gruß NewRazor

Warum sollte der Schädling denn nicht mehr drauf sein?

Lasse einfach mal Anti-Malware Scannen..

Hallo,
und nochmals Danke für die schnelle Antwort.
Ich habe Anti-Malware installiert und durchlaufen lassen. Hier der Log:

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1106
Windows 5.1.2600 Service Pack 2

03.09.2008 13:03:17
mbam-log-2008-09-03 (13-03-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 108795
Laufzeit: 27 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe das zeigt irgendwie was.

Gruß NewRazor

Hmpf. Das zeigt nur, dass du uns merh Arbeit machst..



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung


Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo,
hier habe ich den Log von ComboFix HJT kommt sofort nach.

ComboFix 08-09-01.05 - *** 2008-09-03 15:26:41.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2617 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\x64

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-03 bis 2008-09-03 ))))))))))))))))))))))))))))))
.

2008-09-03 15:23 . 2008-09-03 15:23 268 --ah----- C:\sqmdata16.sqm
2008-09-03 15:23 . 2008-09-03 15:23 244 --ah----- C:\sqmnoopt16.sqm
2008-09-03 15:10 . 2008-09-03 15:10 <DIR> d-------- C:\Programme\CCleaner
2008-09-03 12:33 . 2008-09-03 12:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-03 12:33 . 2008-09-03 12:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-09-03 12:33 . 2008-09-03 12:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-03 12:33 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-03 12:33 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-03 10:04 . 2008-09-03 10:04 268 --ah----- C:\sqmdata15.sqm
2008-09-03 10:04 . 2008-09-03 10:04 244 --ah----- C:\sqmnoopt15.sqm
2008-09-02 13:16 . 2008-09-02 13:16 268 --ah----- C:\sqmdata14.sqm
2008-09-02 13:16 . 2008-09-02 13:16 244 --ah----- C:\sqmnoopt14.sqm
2008-09-02 00:38 . 2008-09-02 00:38 <DIR> d-------- C:\Programme\TeamViewer3
2008-09-02 00:38 . 2008-09-02 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer
2008-09-02 00:37 . 2008-09-02 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\***\temp
2008-09-01 22:51 . 2008-09-01 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Teeworlds
2008-09-01 14:24 . 2008-09-01 14:24 268 --ah----- C:\sqmdata13.sqm
2008-09-01 14:24 . 2008-09-01 14:24 244 --ah----- C:\sqmnoopt13.sqm
2008-09-01 02:48 . 2008-09-01 02:48 268 --ah----- C:\sqmdata12.sqm
2008-09-01 02:48 . 2008-09-01 02:48 244 --ah----- C:\sqmnoopt12.sqm
2008-08-31 11:39 . 2008-08-31 11:39 268 --ah----- C:\sqmdata11.sqm
2008-08-31 11:39 . 2008-08-31 11:39 244 --ah----- C:\sqmnoopt11.sqm
2008-08-30 11:05 . 2008-08-30 11:05 268 --ah----- C:\sqmdata10.sqm
2008-08-30 11:05 . 2008-08-30 11:05 244 --ah----- C:\sqmnoopt10.sqm
2008-08-29 23:33 . 2008-08-29 23:33 <DIR> d-------- C:\Programme\Razer
2008-08-29 23:33 . 2005-11-10 09:15 69,632 --a------ C:\WINDOWS\system32\copperhd.cpl
2008-08-29 23:33 . 2005-12-21 11:23 14,592 --a------ C:\WINDOWS\system32\drivers\USBICP.sys
2008-08-29 23:33 . 2005-11-02 10:54 11,596 --a------ C:\WINDOWS\system32\drivers\copperhd.sys
2008-08-29 17:25 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-08-29 17:25 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-08-29 17:25 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-08-29 17:25 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-08-29 17:25 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-08-29 17:25 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-08-29 17:25 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll
2008-08-29 17:24 . 2008-08-29 17:24 <DIR> d-------- C:\WINDOWS\Logs
2008-08-29 10:27 . 2008-08-29 10:27 268 --ah----- C:\sqmdata09.sqm
2008-08-29 10:27 . 2008-08-29 10:27 244 --ah----- C:\sqmnoopt09.sqm
2008-08-28 11:21 . 2008-08-28 11:21 268 --ah----- C:\sqmdata08.sqm
2008-08-28 11:21 . 2008-08-28 11:21 244 --ah----- C:\sqmnoopt08.sqm
2008-08-27 11:39 . 2008-08-27 11:39 268 --ah----- C:\sqmdata07.sqm
2008-08-27 11:39 . 2008-08-27 11:39 244 --ah----- C:\sqmnoopt07.sqm
2008-08-26 11:31 . 2008-08-26 11:31 268 --ah----- C:\sqmdata06.sqm
2008-08-26 11:31 . 2008-08-26 11:31 244 --ah----- C:\sqmnoopt06.sqm
2008-08-25 11:45 . 2008-08-25 11:45 268 --ah----- C:\sqmdata05.sqm
2008-08-25 11:45 . 2008-08-25 11:45 244 --ah----- C:\sqmnoopt05.sqm
2008-08-24 20:21 . 2008-08-24 20:21 268 --ah----- C:\sqmdata04.sqm
2008-08-24 20:21 . 2008-08-24 20:21 244 --ah----- C:\sqmnoopt04.sqm
2008-08-24 11:25 . 2008-08-24 11:25 268 --ah----- C:\sqmdata03.sqm
2008-08-24 11:25 . 2008-08-24 11:25 244 --ah----- C:\sqmnoopt03.sqm
2008-08-23 10:05 . 2008-08-23 10:05 268 --ah----- C:\sqmdata02.sqm
2008-08-23 10:05 . 2008-08-23 10:05 244 --ah----- C:\sqmnoopt02.sqm
2008-08-22 11:05 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-22 11:05 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-22 11:05 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-22 11:04 . 2008-08-22 11:04 268 --ah----- C:\sqmdata01.sqm
2008-08-22 11:04 . 2008-08-22 11:04 244 --ah----- C:\sqmnoopt01.sqm
2008-08-21 22:14 . 2008-08-29 14:28 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2008-08-21 22:14 . 2008-08-21 22:46 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-21 17:43 . 2008-08-21 17:43 268 --ah----- C:\sqmdata00.sqm
2008-08-21 17:43 . 2008-08-21 17:43 244 --ah----- C:\sqmnoopt00.sqm
2008-08-21 17:38 . 2008-08-21 17:42 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-21 17:37 . 2008-08-21 17:42 <DIR> d-------- C:\Programme\Windows Live
2008-08-21 17:37 . 2008-08-21 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-20 19:59 . 2005-01-22 21:12 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll
2008-08-20 19:54 . 2008-08-20 19:54 <DIR> d-------- C:\Programme\WinPcap
2008-08-20 14:59 . 2008-08-20 16:50 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-08-20 14:59 . 2008-08-20 16:57 72,986 --a------ C:\WINDOWS\War3Unin.dat
2008-08-20 14:59 . 2008-08-20 16:50 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-08-16 21:42 . 2008-08-16 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SPORE Creature Creator
2008-08-16 21:42 . 2008-08-16 21:42 948 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2008-08-16 21:11 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-08-16 21:11 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-08-16 21:11 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-08-16 21:11 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-08-16 21:11 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-08-16 21:11 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-08-10 23:38 . 2008-08-11 15:21 <DIR> d-------- C:\Programme\DivX
2008-08-10 15:49 . 2008-08-10 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2008-08-10 15:47 . 2008-08-10 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2008-08-10 15:47 . 2008-08-10 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-03 13:23 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Skype
2008-09-02 20:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-02 14:07 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\skypePM
2008-09-01 23:01 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\teamspeak2
2008-08-31 15:10 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\ICQ
2008-08-29 21:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-23 00:52 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-16 19:42 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-26 16:14 --------- d-----w C:\Programme\Microsoft Synchronization Services
2008-07-26 16:14 --------- d-----w C:\Programme\Microsoft SQL Server Compact Edition
2008-07-26 16:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-26 16:12 --------- d-----w C:\Programme\Microsoft SDKs
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-13 09:07 --------- d-----w C:\Programme\Google
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Steam"="e:\spiele\steam\steam.exe" [2008-05-06 1271032]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-04-30 22058792]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0\bin\jusched.exe" [2007-08-21 77824]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-06-13 138008]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"Copperhead"="C:\Programme\Razer\Copperhead\razerhid.exe" [2005-11-25 155648]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\Gemeinsame Dateien\\NewTech Infosystems\\LiveUpdate\\LiveUpdate.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Icq6.0\\ICQ.exe"=
"E:\\Spiele\\Assassin Creed\\AssassinsCreed_Dx10.exe"=
"E:\\Spiele\\Assassin Creed\\AssassinsCreed_Dx9.exe"=
"E:\\Spiele\\Steam\\steamapps\\***\\counter-strike source\\hl2.exe"=
"E:\\Spiele\\Steam\\steamapps\\***\\day of defeat\\hl.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"E:\\Spiele\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Spiele\\Steam\\steamapps\\***\\counter-strike\\hl.exe"=
"E:\\Spiele\\Smash Online\\SmashOnline.exe"=
"E:\\Spiele\\Steam\\steamapps\\***\\source sdk base\\hl2.exe"=
"E:\\Spiele\\Steam\\steamapps\\***\\day of defeat source\\hl2.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Spiele\\Warcraft III\\Frozen Throne.exe"=
"C:\\Dokumente und Einstellungen\\Chris\\Desktop\\Wacraft\\listchecker\\pickup.listchecker.exe"=
"E:\\Spiele\\Warcraft III\\war3.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"C:\\Dokumente und Einstellungen\\Chris\\Desktop\\Spiele\\teeworlds-0.4.3-win32\\teeworlds_srv.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\Chris\\Desktop\\Spiele\\teeworlds-0.4.3-win32\\racemod_spam_x86.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9999:UDP"= 9999:UDP:LANScope UDP Port
"2804:TCP"= 2804:TCP:LANScope TCP Port
"6112:TCP"= 6112:TCP:Port für WC 3

R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2007-01-23 36608]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2007-07-03 15392]
R3 UsbFltr;Razer Copperhead Driver;C:\WINDOWS\system32\drivers\copperhd.sys [2005-11-02 11596]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;C:\WINDOWS\system32\eLock2BurnerLockDriver.sys [ ]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;C:\WINDOWS\system32\eLock2FSCTLDriver.sys [ ]
S2 netlimiter;netlimiter;C:\WINDOWS\system32\drivers\netlimiter.sys [ ]
S2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [ ]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 32512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35db9904-1683-11dd-b034-0019214f62af}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\xi1xkq9r.default\
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjava11.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjava12.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjava13.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjava14.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjava32.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
FF -: plugin - C:\Programme\Java\jre1.6.0\bin\npoji610.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - E:\DivX\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - E:\DivX\DivX Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 15:27:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-03 15:28:12
ComboFix-quarantined-files.txt 2008-09-03 13:28:07

Pre-Run: 17 Verzeichnis(se), 108,758,040,576 Bytes frei
Post-Run: 19 Verzeichnis(se), 108,771,684,352 Bytes frei

238 --- E O F --- 2008-08-24 01:02:28


So Liebe Grüße NewRazor und Vielen Dank das du mir so hilfst.

Huhu und hier ist noch der HJT-Log.
Ich hab gelesen dass soll ma als Code machen also mach ich das mal:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:47, on 03.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\Icq6.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\Icq6.0\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7828 bytes
         

Liebe Grüße NewRazor

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmdata11.sqm
C:\sqmnoopt02.sqm
C:\WINDOWS\system32\ealregsnapshot1.reg
C:\WINDOWS\system32\XAudio2_0.dll
C:\WINDOWS\system32\X3DAudio1_3.dll
C:\WINDOWS\system32\drivers\PxHelp20.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


PS: Und fixe alle ......(no file) oder .......(file missing) Einträge mit HJT.

Ergebniss von C:\sqmdata16.sqm:
http://www.virustotal.com/de/analisis/2fd1db190250afe074e4d72413bc6d3c

Ergebniss von C:\sqmnoopt16.sqm:
http://www.virustotal.com/de/analisis/8df2e9d5640e72e5dd74b1b58c1ac250

Ergebniss von C:\sqmdata11.sqm:
http://www.virustotal.com/de/analisis/7bc7144431a317e40ffc268af569edaa

Ergebniss von C:\sqmnoopt02.sqm
http://www.virustotal.com/de/analisis/bda2623a503de95338e51c78604a1232

Ergebniss von C:\WINDOWS\system32\ealregsnapshot1.reg:
http://www.virustotal.com/de/analisis/1a335af82fe7c92c6593b8ec885ddc08

Ergebniss von C:\WINDOWS\system32\XAudio2_0.dll:
http://www.virustotal.com/de/analisis/d71858ff240e966b73271f31d5392843

Ergebniss von C:\WINDOWS\system32\X3DAudio1_3.dll:
http://www.virustotal.com/de/analisis/19c48da780121e57019dafebd58ce8d9

Ergebniss von C:\WINDOWS\system32\drivers\PxHelp20.sys:
http://www.virustotal.com/de/analisis/d5e431f54b194d024955fcb139871e58

So das warn glaub alle oder?
Hoffe ich habe alles richtig gemacht.

Ich habe nur nicht das hier verstanden:

Zitat:

* Lasse dir auch die versteckten Dateien anzeigen!

Grüßle NewRazor

Sieht alles sauber aus.

Abend,

SAU GEIL Freu mich grad riesig. Ich sag vielen vielen Dank. Voll schnelle Hilfe und super super nett. Bin grad echt Happy.
Hab nur eine Frage:
Kann es sein das noch irgendwo eine Datei schlummert die den regelmäßig wieder ladet? Glaub das heißt Bootkit oder?

Also wünsche noch nen schönen Abend und Vielen Dank.

Gruß NewRazor

P.S.: Kann ich den CCleaner und das Anti-Malware trotzdem manchmal benutzen oder ist davon abzuraten? Also mit abraten mein ich das man diese Programme wirklich nur zum Notfall benutzen sollte.

Nochmals Danke für die schnelle und sehr sehr gute Hilfe.

Zitat:

Bin grad echt Happy.

Das ist schön.

Zitat:

Kann ich den CCleaner und das Anti-Malware trotzdem manchmal benutzen oder ist davon abzuraten? Also mit abraten mein ich das man diese Programme wirklich nur zum Notfall benutzen sollte.

CCleaner sollte sogar ab und an mal benutzt werden! Auch Anti-Malware kannst du ruhig ab und an mal scannen lassen.

Zitat:

Kann es sein das noch irgendwo eine Datei schlummert

Das ist natürlich nie ganz auszuschließen.. Um wirklich 100% sicher sein zu können müsstest du formatieren.

Zitat:

die den regelmäßig wieder ladet?

Das allerdings ist eher unwahrscheinlich. Den hätten wir gefunden.

Zitat:

Glaub das heißt Bootkit oder?

Ein Bootkit ist was spezielles. Würde im Normalfall aber von AntiVir angezeigt werden.

Wenns dich beruhigt:

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Hallo,

Vielen Dank nochmal für die tolle Info.
Ihr seid nen super Team hier auf dem Trojaner-Board und ja nochmals Vielen Dank.

Grüße NewRazor

Edit: Noch eine blöde Frage : Ist dieser Anti Virenschutz sehr gut? Also den wo du in deiner Signatur hast. Würdest du ihn mir statt AntiVir empfehlen?

Zitat:

Ist dieser Anti Virenschutz sehr gut? Also den wo du in deiner Signatur hast. Würdest du ihn mir statt AntiVir empfehlen?

Ja, das ist der beste Schutz den du bekommen kannst!