Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Hab ich einen Backdoortrojaner?

Hab ich einen Backdoortrojaner?


Plagegeister aller Art und deren Bekämpfung: Hab ich einen Backdoortrojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 03.02.2010, 20:33   #1
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Hey

hoffe ihr könnt mir weiterhelfen.
Hab heut nen Programm installiert, welches ich letztens aus dem Internet gezogen hab.
Antivir hat sich auch gemeldet das was nicht stimmt. Bin aber davon ausgegangen, da auch bei manchen sauberen Programmen Antivir anspringt, das es nix wildes ist und hab es installiert.
Danach hat sich andauernd antivir gemeldet mit trojaner in system32 und teilweise auch anderen Ordnern.
Hab das Programm nun wieder gelöscht und auch alle dateien die mir antivir immer als warnung angezeigt hat, teilweise mit dem Programm unlocker.
Hab dann noch ein Virenscan gemacht mit Antivir und malwarebyte.

Malwarebyte hat mir folgenden Bericht gezeigt:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3176
Windows 5.1.2600 Service Pack 3

03.02.2010 18:27:35
mbam-log-2010-02-03 (18-27-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201922
Laufzeit: 51 minute(s), 27 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\WINDOWS\msb.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a99k.bin (Trojan.Goldun) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\msb.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\pxysdb.dat (Trojan.Goldun) -> Quarantined and deleted successfully.

hab diese dateien alle gelöscht

nun is mir aber aufgefallen, das wenn ich das modem anschalte und ich kaum was mache im Internet..zb nur die google seite auf hab, das modem arbeitet wie verrückt (blinkende led´s)
hab nun die Vermutung das jemand auf mein Rechner zugreift. bin mir aber nich sicher.
hab letz ab und an wenn ich eine seite bei mozilla öffne, das er mir ne andere seite öffnet.
eben hat sich antivir gemeldet

In der Datei 'C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\Cache\6C181768d01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.

hab die datei wieder gelöscht.

so nun arbeitet mein internet immernoch ziemlich stark ohne das ich was mache.

könnt ihr mir vielleicht helfen was ich da tun kann?
wenns geht etwas ohne den Rechner neu aufzusetzen..

Danke im Vorraus

MFG

Alt 03.02.2010, 20:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Hallo und

Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3176
Das war so leider nix denn Deine Malwarebytes-Installation ist veraltet. Bitte das Tool nochmal starten, Programm aktualisieren lassen (auf Version 1.44, DB-Version 3683 oder höher) und noch nen Vollscan machen, alle Funde entfernen und Log posten.

Mach danach bitte Logs mit RSIT und poste sie auch.
__________________

__________________
Alt 03.02.2010, 21:16   #3
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


danke:-)


mach den scan jetz nochmal mit der aktuellen version.

was mir grad noch aufgefallen ist in der quarantäne von antivir steht das ein rootkit gefunden wurde. und zwar unter windows\system32\drivers\ymsja.sys

nun hab ich versucht die datei zu löschen..geht aber nicht..auch nicht mit unlocker..

könnte diese datei der übeltäter sein? und kann ich die irgendwie löschen, mit irgend ein Programm?
__________________
Alt 03.02.2010, 21:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Ja, die kriegen wir schon weg, nur Geduld!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.02.2010, 21:33   #5
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


das doch schonmal schön zu hören:-)

könnte das denn so ne datei sein worüber sich einer von außen in mein rechner hacken kann?


Alt 03.02.2010, 22:02   #6
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3685
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.02.2010 21:55:28
mbam-log-2010-02-03 (21-55-28).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 270875
Laufzeit: 42 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c4bf49a2-94f1-42bd-f034-3604811c807d} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c4bf49a2-94f1-42bd-f034-3604811c807d} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lixgax (Rootkit.Goldun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\F5JMWNZTHI (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lixgap (Rootkit.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lixgax.sys (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\lixgax.sys (Trojan.Goldun) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c4bf49a2-94f1-42bd-f034-3604811c807d} (Trojan.Ertfor) -> Quarantined and deleted successfully.

sooo

das ist der Bericht von malwarebyte:

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Crypt Load\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lixgax.sys (Rootkit.Goldun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ymsfa.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

und das der bericht von RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Privat at 2010-02-03 22:01:33
Microsoft Windows XP Professional Service Pack 3
System drive C: has 207 GB (87%) free of 238 GB
Total RAM: 3326 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:36, on 03.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
G:\CAD-CAM Programme\Solid Works 2009 - Cosmos Flow Simulation\binCFW\StandAloneSlv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Privat\Desktop\RSIT.exe
C:\Programme\trend micro\Privat.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O1 - Hosts: 91.121.221.171 thepiratebay.org
O1 - Hosts: 91.121.221.171 www.thepiratebay.org
O1 - Hosts: 91.121.221.171 thepiratebay.org
O1 - Hosts: 91.121.221.171 www.thepiratebay.org
O1 - Hosts: 91.121.221.171 thepiratebay.org
O1 - Hosts: 91.121.221.171 www.thepiratebay.org
O1 - Hosts: 91.121.221.171 thepiratebay.org
O1 - Hosts: 91.121.221.171 www.thepiratebay.org
O1 - Hosts: 91.121.221.171 thepiratebay.org
O1 - Hosts: 91.121.221.171 www.thepiratebay.org
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - G:\CAD-CAM Programme\Solid Works 2009+\swScheduler\DTSCoordinatorService.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Solver for Flow Simulation 2009 - Unknown owner - G:\CAD-CAM Programme\Solid Works 2009 - Cosmos Flow Simulation\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6549 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\payagxm.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{7EE0162D-72C2-4F79-9EF7-4237D3804A66}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-01-13 18084864]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 57344]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2009-05-26 85160]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-11-04 98304]
"BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe [2009-02-28 75048]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"VisualTaskTips"=C:\Programme\VisualTaskTips\VisualTaskTips.exe [2008-06-22 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-11-04 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-12 2217848]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*isabled:Firefox"
"C:\Programme\SopCast\adv\SopAdver.exe"="C:\Programme\SopCast\adv\SopAdver.exe:*isabled:SopCast Adver"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:rundll32"
"C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\mvNat.exe"="C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\mvNat.exe:*:Enabled:mvNat.exe"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:rundll32"
"C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\a2dspi.exe"="C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\a2dspi.exe:*:Enabled:74584"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2010-02-03 21:12:21 ----D---- C:\rsit
2010-02-03 21:12:21 ----D---- C:\Programme\trend micro
2010-02-03 20:10:32 ----D---- C:\Programme\MozBackup
2010-02-03 19:56:12 ----D---- C:\Programme\GRISOFT
2010-02-03 19:25:26 ----D---- C:\Programme\Gemeinsame Dateien\Data Dynamics
2010-02-03 17:47:49 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Help
2010-02-03 17:43:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-02-03 17:42:53 ----D---- C:\Programme\Security Task Manager
2010-02-03 16:42:27 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Desktopicon
2010-02-03 16:42:26 ----D---- C:\Programme\Unlocker
2010-02-03 16:16:33 ----RASH---- C:\WINDOWS\system32\ALSNDMGR1.dll
2010-01-25 20:27:37 ----D---- C:\WINDOWS\system32\Adobe
2010-01-25 20:25:15 ----A---- C:\WINDOWS\system32\MFC71.dll
2010-01-25 20:25:15 ----A---- C:\WINDOWS\system32\libmmd.dll
2010-01-25 20:24:49 ----D---- C:\Programme\MTS
2010-01-25 20:24:40 ----A---- C:\WINDOWS\IsUn0407.exe
2010-01-24 21:22:06 ----D---- C:\Programme\JDownloader
2010-01-23 18:25:56 ----D---- C:\Programme\AC3Filter
2010-01-23 18:23:20 ----A---- C:\WINDOWS\system32\DivXc32f.dll
2010-01-23 18:23:20 ----A---- C:\WINDOWS\system32\DivXc32.dll
2010-01-23 14:01:10 ----D---- C:\Programme\MSD 0.655
2010-01-23 13:42:11 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\AVS4YOU
2010-01-23 13:42:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2010-01-23 13:41:27 ----D---- C:\Programme\Gemeinsame Dateien\AVSMedia
2010-01-23 13:41:24 ----D---- C:\Programme\AVS4YOU
2010-01-23 13:41:24 ----A---- C:\WINDOWS\system32\GdiPlus.dll
2010-01-19 19:56:46 ----A---- C:\WINDOWS\system32\scrnrdr.exe
2010-01-19 19:51:30 ----D---- C:\Programme\windows 7 theme
2010-01-19 19:43:07 ----D---- C:\Programme\VisualTaskTips
2010-01-19 19:41:29 ----D---- C:\Programme\Winflip
2010-01-19 19:37:21 ----D---- C:\Programme\TrueTransparency
2010-01-19 19:25:05 ----D---- C:\Programme\Alastria Software
2010-01-19 19:23:56 ----D---- C:\Programme\Taskbar Shuffle
2010-01-18 19:49:27 ----D---- C:\Programme\Gemeinsame Dateien\G DATA
2010-01-18 19:49:27 ----D---- C:\Programme\G Data
2010-01-18 19:49:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2010-01-15 18:50:45 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\CyberLink
2010-01-15 18:49:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2010-01-15 18:49:06 ----D---- C:\Programme\Gemeinsame Dateien\CyberLink
2010-01-15 18:48:40 ----D---- C:\Programme\CyberLink
2010-01-15 18:48:13 ----A---- C:\WINDOWS\system32\msxml3a.dll
2010-01-15 18:47:53 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
2010-01-15 18:41:41 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\DivX
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\vxblock.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxwave.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxsfs.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxmas.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxinsi64.exe
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxinsa64.exe
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxhpinst.exe
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxdrv.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxcpyi64.exe
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxcpya64.exe
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\pxafs.dll
2010-01-15 18:40:06 ----N---- C:\WINDOWS\system32\px.dll
2010-01-15 18:39:42 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2010-01-15 18:39:42 ----D---- C:\Programme\DivX
2010-01-13 15:53:35 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-13 15:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$

======List of files/folders modified in the last 1 months======

2010-02-03 21:58:00 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-03 21:57:58 ----D---- C:\WINDOWS\Temp
2010-02-03 21:57:18 ----D---- C:\WINDOWS\system32\drivers
2010-02-03 21:57:18 ----D---- C:\WINDOWS\system32
2010-02-03 21:56:55 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-02-03 21:56:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2010-02-03 21:12:21 ----RD---- C:\Programme
2010-02-03 21:11:41 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-02-03 20:15:29 ----D---- C:\Programme\Mozilla Firefox
2010-02-03 19:58:07 ----AD---- C:\WINDOWS
2010-02-03 19:27:53 ----D---- C:\mcamx
2010-02-03 19:26:32 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-02-03 19:26:23 ----HD---- C:\Programme\InstallShield Installation Information
2010-02-03 19:26:18 ----SHD---- C:\WINDOWS\Installer
2010-02-03 19:26:17 ----D---- C:\Config.Msi
2010-02-03 19:25:26 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-03 18:27:35 ----SD---- C:\WINDOWS\Tasks
2010-02-03 16:53:22 ----D---- C:\WINDOWS\Downloaded Installations
2010-02-03 16:23:05 ----D---- C:\WINDOWS\system32\Restore
2010-02-03 16:23:04 ----SHD---- C:\System Volume Information
2010-02-03 16:21:14 ----HD---- C:\WINDOWS\inf
2010-02-03 16:16:24 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-03 15:59:18 ----D---- C:\WINDOWS\Prefetch
2010-02-02 22:32:40 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\uTorrent
2010-01-31 19:09:09 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\SolidWorks
2010-01-31 18:43:47 ----D---- C:\Downloads
2010-01-30 18:46:26 ----D---- C:\Programme\AskTBar
2010-01-25 20:27:37 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-01-22 17:00:31 ----D---- C:\Programme\Internet Explorer
2010-01-22 17:00:25 ----D---- C:\WINDOWS\ie8updates
2010-01-22 17:00:15 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-20 15:29:48 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-19 19:49:21 ----D---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\ICQ
2010-01-19 19:45:08 ----RSD---- C:\WINDOWS\assembly
2010-01-19 16:42:27 ----D---- C:\WINDOWS\WinSxS
2010-01-16 14:33:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-01-13 19:42:02 ----SD---- C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Microsoft
2010-01-13 17:13:30 ----D---- C:\WINDOWS\AppPatch
2010-01-13 15:54:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-01-13 15:53:38 ----A---- C:\WINDOWS\imsins.BAK
2010-01-08 19:55:29 ----D---- C:\Programme\Crypt Load
2010-01-06 21:33:51 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe
2010-01-04 17:26:01 ----D---- C:\Programme\ICQ6.5
2010-01-04 15:05:56 ----D---- C:\Programme\McAfee

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2009-11-13 33792]
R1 AvgArCln;Avg Anti-Rootkit Clean Driver; C:\WINDOWS\System32\DRIVERS\AvgArCln.sys [2007-01-18 3968]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-02-17 24232]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/01/15 18:49:12]; \??\C:\Programme\CyberLink\PowerDVD9\000.fcl []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R2 CBN;CBN; \??\C:\WINDOWS\System32\Drivers\CBN.SYS []
R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R2 vusbbus;Virtual Usb Bus Enumerator; C:\WINDOWS\system32\DRIVERS\vusbbus.sys [2007-10-21 18432]
R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]
R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2006-01-11 19200]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-11-04 4423168]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]
R3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
R3 GearAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\drivers\GEARAspiWDM.sys [2008-02-22 16168]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-01-20 5027840]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2003-04-02 12288]
R3 RTHDMIAzAudService;Service for HDMI; C:\WINDOWS\system32\drivers\RtKHDMI.sys [2008-12-25 3721664]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-10-30 117888]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2009-05-23 29696]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-11-04 602112]
R2 ES lite Service;ES lite Service for program management.; C:\Programme\Gigabyte\EasySaver\ESSVR.EXE [2009-02-05 68136]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; C:\Programme\McAfee\SiteAdvisor\McSACore.exe [2009-12-08 93320]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2007-08-08 836904]
R2 Remote Solver for Flow Simulation 2009;Remote Solver for Flow Simulation 2009; G:\CAD-CAM Programme\Solid Works 2009 - Cosmos Flow Simulation\binCFW\StandAloneSlv.exe [2008-09-03 210216]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-11-15 603904]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service; G:\CAD-CAM Programme\Solid Works 2009+\swScheduler\DTSCoordinatorService.exe [2008-09-09 79144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2008-10-25 65888]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2007-08-03 382248]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SolidWorks Licensing Service;SolidWorks Licensing Service; C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe [2009-11-15 79360]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-11-15 360192]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Alt 03.02.2010, 22:04   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Rein theoretisch kann die Datei alles sein. ich weiß bisher nur, dass die Datei sich via Rootkittechnik tarnt.


Edit:

Zitat:
C:\WINDOWS\system32\drivers\ymsfa.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
hast Du schon neugestartet? Malwarebytes hat die Datei erkannt und wird sie beim nächsten Windows-Start löschen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.02.2010, 22:12   #8
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


ja hab schon neugestartet

und die datei is auch weg.
und mein modem hat sich auch beruhigt und arbeitet nicht wenn ich das nich will:-)

so nun ist noch das Problem da, das ich wenn ich mozilla öffne und eine seite über google suche und diese dann öffnen will, manchmal er die seite gar nicht öffnet und immer wieder auf diese google seite zurückspringt.

eben hat mir dann antivir folgendes gemeldet: (heuristischer Treffer)

In der Datei 'C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\Cache\6796312Ed01'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.GI' [exploit] gefunden.
Ausgeführte Aktion: Datei löschen
Geändert von Clockwork (03.02.2010 um 22:18 Uhr)

Alt 03.02.2010, 22:20   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Bei heuristischen Treffern sind oft Fehlalarme bei.
Mach bitte ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.02.2010, 22:40   #10
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


so das hat combofix als logdatei ausgegeben:

ComboFix 10-02-03.04 - Privat 03.02.2010 22:31:04.1.3 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2651 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Privat\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Privat\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Privat\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\Privat\Anwendungsdaten\Desktopicon\uninst.exe
c:\programme\ICQ6.5\ICQLRun.exe
F:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((( Dateien erstellt von 2010-01-03 bis 2010-02-03 ))))))))))))))))))))))))))))))
.

2010-02-03 20:12 . 2010-02-03 21:01 -------- d-----w- c:\programme\trend micro
2010-02-03 20:12 . 2010-02-03 20:12 -------- d-----w- C:\rsit
2010-02-03 20:11 . 2010-02-03 20:11 5115824 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-03 19:10 . 2010-02-03 19:10 -------- d-----w- c:\programme\MozBackup
2010-02-03 18:56 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2010-02-03 18:25 . 2010-02-03 18:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Data Dynamics
2010-02-03 16:47 . 2010-02-03 16:47 -------- d-----w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\Help
2010-02-03 16:42 . 2010-02-03 16:47 -------- d-----w- c:\programme\Security Task Manager
2010-02-03 15:42 . 2010-02-03 16:23 -------- d-----w- c:\programme\Unlocker
2010-02-03 15:16 . 2010-02-03 15:16 102400 --sha-r- c:\windows\system32\ALSNDMGR1.dll
2010-01-25 19:27 . 2010-01-25 19:27 -------- d-----w- c:\windows\system32\Adobe
2010-01-25 19:25 . 2007-08-24 08:34 2805852 ----a-w- c:\windows\system32\libmmd.dll
2010-01-25 19:25 . 2006-07-11 17:43 1060864 ----a-w- c:\windows\system32\MFC71.dll
2010-01-25 19:24 . 2010-01-25 19:24 -------- d-----w- c:\programme\MTS
2010-01-25 19:24 . 1998-11-17 13:44 328704 ----a-w- c:\windows\IsUn0407.exe
2010-01-24 20:22 . 2010-02-03 21:04 -------- d-----w- c:\programme\JDownloader
2010-01-24 14:23 . 2010-01-24 14:23 -------- d-----w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\CyberLink
2010-01-23 17:25 . 2010-01-23 17:25 -------- d-----w- c:\programme\AC3Filter
2010-01-23 17:23 . 2000-04-01 04:35 414272 ----a-w- c:\windows\system32\DivXc32f.dll
2010-01-23 17:23 . 2000-04-01 04:35 414272 ----a-w- c:\windows\system32\DivXc32.dll
2010-01-23 13:01 . 2010-01-25 14:53 -------- d-----w- c:\programme\MSD 0.655
2010-01-23 12:42 . 2010-01-23 12:42 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\AVS4YOU
2010-01-23 12:42 . 2010-01-23 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2010-01-23 12:41 . 2010-01-23 18:09 -------- d-----w- c:\programme\Gemeinsame Dateien\AVSMedia
2010-01-23 12:41 . 2010-01-23 18:11 -------- d-----w- c:\programme\AVS4YOU
2010-01-23 12:41 . 2008-08-13 10:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-01-19 18:56 . 2009-03-23 16:39 20480 ----a-w- c:\windows\system32\scrnrdr.exe
2010-01-19 18:51 . 2010-01-19 19:00 -------- d-----w- c:\programme\windows 7 theme
2010-01-19 18:43 . 2010-01-19 18:43 -------- d-----w- c:\programme\VisualTaskTips
2010-01-19 18:41 . 2010-01-19 18:42 -------- d-----w- c:\programme\Winflip
2010-01-19 18:37 . 2009-10-17 17:37 -------- d-----w- c:\programme\TrueTransparency
2010-01-19 18:25 . 2010-01-19 18:25 -------- d-----w- c:\programme\Alastria Software
2010-01-19 18:23 . 2010-01-22 17:14 -------- d-----w- c:\programme\Taskbar Shuffle
2010-01-18 19:00 . 2010-01-18 19:00 68976 ----a-w- c:\windows\system32\drivers\GRD.sys
2010-01-18 18:50 . 2010-01-18 19:00 55624 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys
2010-01-18 18:49 . 2010-01-18 18:49 51784 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys
2010-01-18 18:49 . 2010-01-18 18:49 22528 ----a-w- c:\windows\system32\drivers\GDNdisIc.sys
2010-01-18 18:49 . 2010-01-18 18:58 28616 ----a-w- c:\windows\system32\drivers\GDBehave.sys
2010-01-18 18:49 . 2010-01-19 15:41 -------- d-----w- c:\programme\Gemeinsame Dateien\G DATA
2010-01-18 18:49 . 2010-01-19 15:41 -------- d-----w- c:\programme\G Data
2010-01-18 18:49 . 2010-01-19 15:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2010-01-18 18:48 . 2010-01-18 18:48 -------- d-----w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2010-01-15 17:50 . 2010-01-15 17:50 -------- d-----w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\PowerDVDCox
2010-01-15 17:50 . 2010-01-15 17:53 -------- d-----w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\PowerDVDCinema
2010-01-15 17:50 . 2010-01-15 17:50 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\CyberLink
2010-01-15 17:49 . 2010-01-15 17:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2010-01-15 17:49 . 2010-01-15 17:49 -------- d-----w- c:\programme\Gemeinsame Dateien\CyberLink
2010-01-15 17:48 . 2010-01-15 17:49 -------- d-----w- c:\programme\CyberLink
2010-01-15 17:48 . 2008-08-13 10:22 24576 ----a-w- c:\windows\system32\msxml3a.dll
2010-01-15 17:47 . 2010-02-03 17:58 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2010-01-15 17:41 . 2010-01-20 14:29 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\DivX
2010-01-15 17:39 . 2010-01-15 17:39 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 21:34 . 2009-11-13 22:26 16608 ----a-w- c:\windows\gdrv.sys
2010-02-03 21:32 . 2009-11-14 12:12 -------- d-----w- c:\programme\ICQ6.5
2010-02-03 21:04 . 2009-11-15 19:15 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\SolidWorks
2010-02-03 20:11 . 2009-11-15 19:38 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-03 18:26 . 2009-11-13 22:26 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-03 16:45 . 2010-02-03 16:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-02-02 21:32 . 2009-11-14 15:20 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\uTorrent
2010-01-30 17:46 . 2009-11-16 14:39 -------- d-----w- c:\programme\AskTBar
2010-01-25 19:27 . 2009-11-13 22:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-19 18:49 . 2009-11-14 12:12 -------- d-----w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\ICQ
2010-01-15 17:40 . 2010-01-15 17:39 -------- d-----w- c:\programme\DivX
2010-01-13 14:54 . 2009-11-14 14:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-01-08 18:55 . 2009-11-14 18:39 -------- d-----w- c:\programme\Crypt Load
2010-01-07 15:07 . 2009-11-15 19:38 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-11-15 19:38 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-06 20:33 . 2003-04-02 11:00 81318 ----a-w- c:\windows\system32\perfc007.dat
2010-01-06 20:33 . 2003-04-02 11:00 452310 ----a-w- c:\windows\system32\perfh007.dat
2010-01-04 14:05 . 2009-11-14 14:18 -------- d-----w- c:\programme\McAfee
2009-12-21 19:05 . 2008-04-14 05:52 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-12 16:16 . 2009-11-13 22:36 81624 ----a-w- c:\dokumente und einstellungen\Privat\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-12 13:19 . 2009-11-14 14:26 -------- d-----w- c:\programme\Microsoft Works
2009-12-08 20:03 . 2009-12-08 19:56 -------- d-----w- c:\programme\SopCast
2009-12-08 19:30 . 2009-12-08 19:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-12-07 14:37 . 2009-11-13 22:38 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-24 18:49 . 2009-11-24 18:49 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-11-24 18:49 . 2003-03-19 08:44 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-11-22 08:58 . 2009-11-22 08:58 152576 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-21 15:54 . 2008-04-14 05:52 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-19 10:48 . 2009-12-01 18:21 872960 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-01 18:21 43008 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-01 18:21 340480 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-12-01 18:21 346624 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-18 18:50 . 2009-11-16 14:49 349432 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-11-16 19:21 . 2009-11-16 19:21 152576 ----a-w- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-11-16 19:18 . 2009-11-16 19:18 45056 ----a-w- c:\windows\system32\drivers\CBUSB.SYS
2009-11-16 19:18 . 2009-11-16 19:18 43520 ----a-w- c:\windows\system32\CBNDLL.DLL
2009-11-16 19:18 . 2009-11-16 19:18 335872 ----a-w- c:\windows\system32\MPIWIN32.DLL
2009-11-16 19:18 . 2009-11-16 19:18 15360 ----a-w- c:\windows\system32\drivers\CBN.SYS
2009-11-16 16:44 . 2009-11-16 16:44 335872 ----a-r- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Microsoft\Installer\{06379784-4648-46BF-9426-0B10817F0AF5}\NewShortcut2_5135BE5531E34696827B50FE43E48CC2_1.exe
2009-11-16 16:44 . 2009-11-16 16:44 335872 ----a-r- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Microsoft\Installer\{06379784-4648-46BF-9426-0B10817F0AF5}\NewShortcut1_5135BE5531E34696827B50FE43E48CC2_1.exe
2009-11-16 16:44 . 2009-11-16 16:44 335872 ----a-r- c:\dokumente und einstellungen\Privat\Anwendungsdaten\Microsoft\Installer\{06379784-4648-46BF-9426-0B10817F0AF5}\ARPPRODUCTICON.exe
2009-11-16 15:11 . 2009-11-16 15:11 2287616 ----a-w- c:\windows\system32\TUKernel.exe
2009-11-15 19:57 . 2009-11-15 19:57 603904 ----a-w- c:\windows\system32\TUProgSt.exe
2009-11-15 19:57 . 2009-11-15 19:57 360192 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-11-14 20:09 . 2009-11-13 19:41 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-14 00:49 . 2010-01-15 17:40 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-11-14 00:49 . 2010-01-15 17:40 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-11-14 00:49 . 2010-01-15 17:40 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2010-01-15 17:40 129784 ------w- c:\windows\system32\pxafs.dll
2009-11-14 00:49 . 2010-01-15 17:40 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2010-01-15 17:40 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-13 22:48 . 2009-11-13 22:48 0 ----a-w- c:\windows\nsreg.dat
2009-11-13 19:53 . 2009-11-13 19:53 0 ----a-w- c:\windows\ativpsrm.bin
2009-11-13 19:40 . 2009-11-13 19:40 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-11-13 16:45 . 2009-11-13 16:45 1571840 ----a-w- c:\windows\system32\sfcfiles.dll
2009-11-13 16:45 . 2009-11-13 16:45 446464 ----a-w- c:\windows\system32\SET11C.tmp
2009-11-13 16:35 . 2009-11-13 16:35 33792 ----a-w- c:\windows\system32\drivers\AmdPPM.sys
.

------- Sigcheck -------

[-] 2009-11-13 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="c:\programme\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-05-26 85160]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-04 98304]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2009-02-28 75048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
"EPSON Stylus DX4400 Series"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "c:\windows\TEMP\E_S17F.tmp" /EF "HKCU"
"Taskbar Shuffle"=c:\programme\Taskbar Shuffle\taskbarshuffle.exe
"RegistryMechanic"=c:\programme\Registry Mechanic\RegMech.exe /H

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"PDVD9LanguageShortcut"=c:\programme\CyberLink\PowerDVD9\Language\Language.exe
"RemoteControl9"=c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"52525:TCP"= 52525:TCP:torrent
"52525:UDP"= 52525:UDP:torrent2

R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [15.11.2009 13:23 40560]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/01/15 18:49];c:\programme\CyberLink\PowerDVD9\000.fcl [28.02.2009 19:40 87536]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.11.2009 23:38 108289]
R2 ES lite Service;ES lite Service for program management.;c:\programme\Gigabyte\EasySaver\essvr.exe [13.11.2009 23:26 68136]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [14.11.2009 13:13 222456]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [14.11.2009 15:18 93320]
R2 Remote Solver for Flow Simulation 2009;Remote Solver for Flow Simulation 2009;g:\cad-cam programme\Solid Works 2009 - Cosmos Flow Simulation\binCFW\StandAloneSlv.exe [03.09.2008 16:36 210216]
S0 ymsfa;ymsfa; [x]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;g:\cad-cam programme\Solid Works 2009+\swScheduler\DTSCoordinatorService.exe [09.09.2008 06:01 79144]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-02-03 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07]

2010-02-03 c:\windows\Tasks\User_Feed_Synchronization-{7EE0162D-72C2-4F79-9EF7-4237D3804A66}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - component: c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\components\AvkWebFilterFF.dll
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\qofsz506.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: network.http.max-connections-per-server - 8
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-eBay Icon - c:\dokumente und einstellungen\Privat\Anwendungsdaten\Desktopicon\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 22:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OOPM02.00.00.01PRO"="55156CBD2289830948585301806C050D1332DD1DC84178F066832C872CC42B48A26147463305861B5631DC40DA7D397903484C9486C72623B5AD0882C0DB2B33 F0D4B86BC9DAB7E6E47BC2D4FAEE2F6DF50D8C8AF33B9CCE199920C120D637D7F95D92D97FDFBAA2F0D8C3A4CE9787A75070693EF41099DA7B2AECFAC16B49E64CF0986381AB67E950EC0F B75A8F97484CE79FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452A9C6AE CB7A5D1407A9C6AECB7A5D1407E43FA7D8528F22FE8D84CD6B4F27A5274C32443E91B1986D7C0864023C9DB432D146D0258E0FD280E610D035B8EC5BCF509E3E93BC3AB325D0C0067EDF3B CA808AA6B6DBAEEF2E15D1891D6891DB2E5A7F16F226E72017E763B1A1A3C35F759DB708878C267E702631EAE29254242CBE9507B51FB7974156685F48D9D565C3FA25A1B97B495ADB110A 431A7260CA67656FF59CD934AB358AB762543AE3FA497CC442041F5176B2288634F87FF6A7743091788069473AF90F4D67DE93A4231DFC2C4AE125DB1BBE32F474FEDE3F68EDF123BA8194 C1F4196449AD4869AEB4DA48132E94E9E964CDE8484EEB6F430E706F6E7C7FD156E0227FEF8932F0805BA29F55792183E242AD79931FC4C071EC1F65618FA2D09BD82747A7E40515F89419 B876484DB80D78B68793D9D3179C2E1E0411DCD3738E0BBF18FDB9EAF3DC34E3BA1A4B2604979EBDA7A305A56C7BCD18EA33DFC1CC8D7786422198546153E0B0C50848FD17941FA264C7BA 0B6B271EBA342226DEA85C74190A67A7F2E36B942DE72F9866D377BBC43C24281AF51FC1B6695CD2E004A22D1B26C69E3F34141E0E289F2938D19B07872105122AA0C4B2428A079FC1906B 9D3244DAC7F34221220BFD0E7C8F5D3CE955F7564C5AB2603E180A67D5BF32A5980A83E48510304C155F5853264C75FC9F1B1CAAC28AA99983734EE956DD06A5C45177C8CBD6D3B1C2CB96 6C5094CDE1B6C75BB6F2E036817998331B92E0552219B9A88DA2CEB9D04A928E7B38CD4E55945176566FC63C89E6CB872F13D3A4B766F9145F25449E0E1D7C0843AFA5912470AFA4065DE7 5487E9568EFC710428E34C4D280E0645F5B384D3C1AD1B0C677F56DF10E878354CB6F286FE805F05C90B42F2CA0E08A5E46B18E9EBC773B4D3FC266356C48E6623B445AE04D59EAC277590 2C527603FB47474990ABC247980E16923D0A0202F10D04FC23BC42071491CCD5C00B0464A5AC3C59211A72B6F302A825F5AFAF4917738B04BEBBAC831A8E22037AB4172BBD54A1DEF64451 F7C54FF4381C43FEEE5573959B5D891E936058685FA805B1EDAAB7B3C670AA7B5452C8A1FB3F32478F72DC50D9E21FC7C94E5B75831EA27C52130093"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3492)
c:\programme\VisualTaskTips\VttHooks.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\System32\TUProgSt.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-03 22:37:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-03 21:37

Vor Suchlauf: 14 Verzeichnis(se), 215.694.123.008 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 215.590.375.424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /TUTag=GW9A5X /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=GW9A5X-BAK

- - End Of File - - B44814D658F06085AB7E80E768F5165A

so hoffe das ist das was du jetz brauchst:-)

Alt 04.02.2010, 12:02   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
c:\windows\system32\drivers\ymsja.sys
c:\windows\gdrv.sys
C:\WINDOWS\system32\ALSNDMGR1.dll

drivers to delete:
ymsfa
gdrv
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.02.2010, 15:31   #12
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


so hier die log file von avanger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\drivers\ymsja.sys" not found!
Deletion of file "c:\windows\system32\drivers\ymsja.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\gdrv.sys" deleted successfully.
File "C:\WINDOWS\system32\ALSNDMGR1.dll" deleted successfully.
Driver "ymsfa" deleted successfully.
Driver "gdrv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


und der Dateipfad:

http://www.file-upload.net/download-2226546/backup.zip.html

auf gehts:-)

MFG

Alt 04.02.2010, 16:24   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


Ok

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.02.2010, 16:33   #14
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


gut mach ich jetz

bisher alles gut gewesen? also alle schädlinge gut wegbekommen?

Alt 04.02.2010, 19:09   #15
Clockwork
 
Hab ich einen Backdoortrojaner? - Standard

Hab ich einen Backdoortrojaner?


so die logfile von malwarebytes:

04.02.2010 19:07:47
mbam-log-2010-02-04 (19-07-47).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 268903
Laufzeit: 36 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


alles sauber so wie es aussieht oder?!

Antwort
Seite 1 von 2 1 2

Themen zu Hab ich einen Backdoortrojaner?
arbeitet, dateien, einstellungen, explorer, firefox, folge, gelöscht, google, internet, malware.trace, microsoft, modem, mozilla, neu, ordner, programm, programme, registrierungsschlüssel, scan, seite, software, system, system32, trojan.agent, trojan.downloader, trojan.goldun, trojaner, virus, warnung, {66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job


« Schonwieder jemand mit "Google leitet falsch" Komme selber nicht weiter. | HTML/Crypted.Gen eingefangen »


Ähnliche Themen: Hab ich einen Backdoortrojaner?


  1. Habe einen virus! aber was für einen ?
    Log-Analyse und Auswertung - 17.07.2013 (8)
  2. Hab ich einen Virus?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (1)
  3. 2x | Habe einen virus !aber was für einen?
    Mülltonne - 20.05.2013 (0)
  4. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  5. Einen Lizenzvertrag für einen Testvirus ?
    Überwachung, Datenschutz und Spam - 22.02.2013 (3)
  6. Lt. Web.de einen Trojaner auf dem PC
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (10)
  7. Backdoortrojaner von anderen Trojanern unterscheiden
    Diskussionsforum - 23.12.2011 (10)
  8. Benötige einen Check meiner Dienste, evtl. habe ich einen Virus, der meinen PC überwacht!
    Log-Analyse und Auswertung - 19.12.2011 (10)
  9. Hab einen Trojaner oder wurm oder nen virus weis aber nicht was für einen
    Log-Analyse und Auswertung - 30.11.2011 (2)
  10. Hab ich einen Trojaner?
    Log-Analyse und Auswertung - 05.04.2011 (13)
  11. Hab ich einen Keylogger ?
    Plagegeister aller Art und deren Bekämpfung - 21.12.2010 (12)
  12. Verdacht auf backdoortrojaner
    Log-Analyse und Auswertung - 16.08.2009 (8)
  13. Hab ich einen Trojaner?!
    Log-Analyse und Auswertung - 24.02.2009 (2)
  14. IE einen Virus?
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (13)
  15. Backdoortrojaner-Verdacht
    Log-Analyse und Auswertung - 30.10.2008 (3)
  16. Backdoortrojaner gelöscht oder noch vorhanden
    Log-Analyse und Auswertung - 19.02.2008 (1)
  17. Woran erkennt man Backdoortrojaner?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hab ich einen Backdoortrojaner? - Hey hoffe ihr könnt mir weiterhelfen. Hab heut nen Programm installiert, welches ich letztens aus dem Internet gezogen hab. Antivir hat sich auch gemeldet das was nicht stimmt. Bin aber - Hab ich einen Backdoortrojaner?...
Archiv
Du betrachtest: Hab ich einen Backdoortrojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129