Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojana - Win32.AutRun.tmp

Trojana - Win32.AutRun.tmp


Plagegeister aller Art und deren Bekämpfung: Trojana - Win32.AutRun.tmp

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 3 von 4 12 3 4
Alt 13.07.2010, 23:55   #31
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


alles durchgeführt.

Hier das log: Combofix Logfile:
Code:
ATTFilter
ComboFix 10-07-10.02 - *** 14.07.2010   0:34.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1526.1039 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security 2006 *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-13 bis 2010-07-13  ))))))))))))))))))))))))))))))
.

2010-07-13 10:18 . 2010-07-13 10:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panda Security
2010-07-13 10:18 . 2010-07-13 14:33	--------	d-----w-	c:\programme\Panda USB Vaccine
2010-07-11 17:11 . 2010-07-11 21:43	--------	d-----w-	c:\programme\FindyKill
2010-07-11 13:33 . 2010-07-11 13:33	--------	d-----w-	c:\programme\CCleaner
2010-07-11 12:13 . 2010-07-11 12:13	--------	d-----w-	C:\_OTL
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-10 08:53 . 2010-07-11 23:09	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-07-10 08:53 . 2010-07-10 08:53	--------	d-----w-	c:\dokumente und einstellungen\***\.thumbnails
2010-07-10 06:52 . 2010-07-11 23:10	--------	d-----w-	c:\dokumente und einstellungen\***\.gimp-2.6
2010-07-10 06:51 . 2010-07-10 06:51	--------	d-----w-	c:\programme\GIMP-2.0
2010-06-19 15:52 . 2010-06-19 15:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-11 21:51 . 2010-01-13 13:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-11 08:12 . 2008-04-29 19:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2010-07-08 13:08 . 2007-05-12 19:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Image Zone Express
2010-07-06 13:28 . 2007-02-04 13:07	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-07-06 08:29 . 2009-10-22 19:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-06-23 21:56 . 2006-09-13 14:41	85686	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 21:56 . 2006-09-13 14:41	462850	----a-w-	c:\windows\system32\perfh007.dat
2010-06-16 18:33 . 2009-07-14 17:41	--------	d-----w-	c:\programme\ICQ6.5
2010-06-10 16:48 . 2009-02-11 14:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-06-04 12:36 . 2010-06-04 12:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Papyrus Autor
2010-05-05 14:35 . 2006-09-14 09:05	77432	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-04 20:56 . 2006-09-13 14:56	87479	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-02 08:05 . 2006-09-13 14:41	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2006-09-13 14:40	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-16 16:06 . 2006-09-13 14:41	672768	----a-w-	c:\windows\system32\wininet.dll
2010-04-16 16:06 . 2006-09-13 14:40	81920	----a-w-	c:\windows\system32\ieencode.dll
.


	
Code: 

 
ATTFilter


  

	
<pre>
c:\programme\Adobe\Acrobat 7.0\Reader\adobeupdatemanager .exe
c:\programme\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe
c:\programme\HP\HP Software Update\hpwuschd2 .exe
c:\programme\Intel\Wireless\Bin\ifrmewrk .exe
c:\programme\Intel\Wireless\Bin\zcfgsvc .exe
c:\programme\Microsoft Office\Office12\groovemonitor .exe
c:\programme\pdfforge Toolbar\searchsettings .exe
c:\programme\Spybot - Search & Destroy\teatimer .exe
c:\programme\Synaptics\SynTP\syntpenh .exe
c:\programme\Toshiba\TOSHIBA Applet\thotkey .exe
c:\programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\smoothview .exe
c:\programme\Toshiba\Tvs\tvstray .exe
c:\windows\ehome\ehtray .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\DLA\dlactrlw .exe
</pre>
         
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"TFncKy"="TFncKy.exe" [N/A]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 16206848]
"NDSTray.exe"="NDSTray.exe" [N/A]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 21:36 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.10.2008 17:39 222968]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.09.2006 13:50 7040]
S0 gijaz;gijaz; [x]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [04.01.2010 23:16 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [04.01.2010 23:16 8456]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://efh-freiburg.de/selbst.htm
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &MSN Suche - c:\programme\MSN Toolbar Suite\msntb.dll/search.htm
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sd9yx4ii.default\
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-14 00:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3112)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
c:\windows\RTHDCPL.EXE
c:\programme\TOSHIBA\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  00:52:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-13 22:52
ComboFix2.txt  2010-07-11 14:37

Vor Suchlauf: 22 Verzeichnis(se), 32.849.203.200 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 32.829.947.904 Bytes frei

- - End Of File - - 37DDAB15A3FDAF563797C90EA9D35572
--- --- ---
Alt 14.07.2010, 12:38   #32
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


sorry noch ne kleinigkeit vergessen, bitte erstelle n neues combofix script:

Drivers::
gijaz


ziehe wieder auf combofix, log posten.
berichte, wie der pc läuft
__________________
Alt 14.07.2010, 13:55   #33
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


Hey markusg, hab deine Anweisungen durchgeführt.

Dann kam aber bei mir die Meldung:
Hast Du versucht, CFScript auszuführen?
Der Name, CFScript scheint nicht korrekt buchstabiert zu sein.
Und dann der ok Button.
Hab da drauf gedrückt (gab keien andere Option) und das Programm war beendet.
__________________
Geändert von Eninaj (14.07.2010 um 14:12 Uhr)

Alt 14.07.2010, 14:44   #34
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


hast du auf alle dateien eingestellt und die datei cfscript.txt
genannt?

Alt 14.07.2010, 15:38   #35
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


hab es jetzt geschafft wobei ich mir nicht sicher bin ob ich auf alle dateien eingestellt hab. wie geht das?

Hier das log:
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-07-10.02 - *** 14.07.2010  16:25:51.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1526.1048 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security 2006 *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-14 12:56 . 2010-07-14 12:56	--------	d-----w-	c:\windows\LastGood
2010-07-14 12:44 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-13 10:18 . 2010-07-13 10:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panda Security
2010-07-13 10:18 . 2010-07-13 14:33	--------	d-----w-	c:\programme\Panda USB Vaccine
2010-07-11 17:11 . 2010-07-11 21:43	--------	d-----w-	c:\programme\FindyKill
2010-07-11 13:33 . 2010-07-11 13:33	--------	d-----w-	c:\programme\CCleaner
2010-07-11 12:13 . 2010-07-11 12:13	--------	d-----w-	C:\_OTL
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-10 08:53 . 2010-07-11 23:09	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-07-10 08:53 . 2010-07-10 08:53	--------	d-----w-	c:\dokumente und einstellungen\***\.thumbnails
2010-07-10 06:52 . 2010-07-11 23:10	--------	d-----w-	c:\dokumente und einstellungen\***\.gimp-2.6
2010-07-10 06:51 . 2010-07-10 06:51	--------	d-----w-	c:\programme\GIMP-2.0
2010-06-19 15:52 . 2010-06-19 15:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 12:54 . 2009-02-11 14:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-07-11 21:51 . 2010-01-13 13:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-11 08:12 . 2008-04-29 19:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2010-07-08 13:08 . 2007-05-12 19:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Image Zone Express
2010-07-06 13:28 . 2007-02-04 13:07	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-07-06 08:29 . 2009-10-22 19:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-06-23 21:56 . 2006-09-13 14:41	85686	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 21:56 . 2006-09-13 14:41	462850	----a-w-	c:\windows\system32\perfh007.dat
2010-06-16 18:33 . 2009-07-14 17:41	--------	d-----w-	c:\programme\ICQ6.5
2010-06-14 14:31 . 2006-09-13 14:54	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-04 12:36 . 2010-06-04 12:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Papyrus Autor
2010-05-05 14:35 . 2006-09-14 09:05	77432	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-04 20:56 . 2006-09-13 14:56	87479	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-02 08:05 . 2006-09-13 14:41	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2006-09-13 14:40	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-16 16:06 . 2006-09-13 14:41	672768	----a-w-	c:\windows\system32\wininet.dll
2010-04-16 16:06 . 2006-09-13 14:40	81920	----a-w-	c:\windows\system32\ieencode.dll
.


	
Code: 

 
ATTFilter


  

	
<pre>
c:\programme\Adobe\Acrobat 7.0\Reader\adobeupdatemanager .exe
c:\programme\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe
c:\programme\HP\HP Software Update\hpwuschd2 .exe
c:\programme\Intel\Wireless\Bin\ifrmewrk .exe
c:\programme\Intel\Wireless\Bin\zcfgsvc .exe
c:\programme\Microsoft Office\Office12\groovemonitor .exe
c:\programme\pdfforge Toolbar\searchsettings .exe
c:\programme\Spybot - Search & Destroy\teatimer .exe
c:\programme\Synaptics\SynTP\syntpenh .exe
c:\programme\Toshiba\TOSHIBA Applet\thotkey .exe
c:\programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\smoothview .exe
c:\programme\Toshiba\Tvs\tvstray .exe
c:\windows\ehome\ehtray .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\DLA\dlactrlw .exe
</pre>
         
 
(((((((((((((((((((((((((((((   SnapShot@2010-07-11_14.34.53   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-14 12:41 . 2010-07-14 13:00	11188              c:\windows\SoftwareDistribution\EventCache\{0A4CFBC9-34E8-44E1-AA6D-915845E3AA57}.bin
- 2007-01-02 21:34 . 2010-06-10 16:12	90112              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\xlicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	90112              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\xlicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	45056              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\wordicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	45056              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\wordicon.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	22528              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\unbndico.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	22528              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\unbndico.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	30720              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\pptico.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	30720              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\pptico.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	16384              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\PEicons.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	16384              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\PEicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	34304              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	34304              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	81920              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\fpicon.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	81920              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\fpicon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	35088              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	35088              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	18704              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	18704              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	20240              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	20240              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	3584              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\opwicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	3584              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\opwicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	8192              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\mspicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	8192              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\mspicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	2560              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\cagicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	2560              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\cagicon.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	114688              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	114688              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2007-01-02 21:34 . 2010-06-10 16:12	167936              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\accicons.exe
+ 2007-01-02 21:34 . 2010-07-14 12:52	167936              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\accicons.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	888080              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	888080              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	272648              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	272648              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	922384              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	922384              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	845584              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	845584              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	217864              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	217864              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	184080              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	184080              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	159504              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	159504              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe
+ 2009-03-06 01:37 . 2009-03-06 01:37	501640              c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\SOA.DLL
+ 2008-10-26 05:26 . 2008-10-26 05:26	162680              c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\ACCWIZ.DLL
+ 2010-05-20 17:57 . 2010-05-20 17:57	4989952              c:\windows\Installer\c88b9.msp
+ 2010-05-20 17:57 . 2010-05-20 17:57	5907456              c:\windows\Installer\c88b8.msp
+ 2010-06-11 09:03 . 2010-06-11 09:03	5021184              c:\windows\Installer\c8898.msp
+ 2010-05-24 11:54 . 2010-05-24 11:54	6704640              c:\windows\Installer\c8881.msp
+ 2009-02-11 14:27 . 2010-07-14 12:53	1172240              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	1172240              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
+ 2009-02-11 14:27 . 2010-07-14 12:53	1165584              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
- 2009-02-11 14:27 . 2010-06-10 16:48	1165584              c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe
+ 2007-02-05 10:45 . 2010-07-02 19:39	34045896              c:\windows\system32\MRT.exe
+ 2010-05-20 17:58 . 2010-05-20 17:58	12114432              c:\windows\Installer\c886d.msp
+ 2009-03-06 01:37 . 2009-03-06 01:37	10222432              c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\MSACCESS.EXE
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"TFncKy"="TFncKy.exe" [N/A]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 16206848]
"NDSTray.exe"="NDSTray.exe" [N/A]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 21:36 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.10.2008 17:39 222968]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.09.2006 13:50 7040]
S0 gijaz;gijaz; [x]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [04.01.2010 23:16 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [04.01.2010 23:16 8456]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://efh-freiburg.de/selbst.htm
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &MSN Suche - c:\programme\MSN Toolbar Suite\msntb.dll/search.htm
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sd9yx4ii.default\
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-14 16:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3244)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2010-07-14  16:32:16
ComboFix-quarantined-files.txt  2010-07-14 14:32
ComboFix2.txt  2010-07-13 22:52
ComboFix3.txt  2010-07-11 14:37

Vor Suchlauf: 23 Verzeichnis(se), 32.497.704.960 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 32.488.390.656 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 459DA5ABB2FAD25FC77FDD2BFE6A2F29
--- --- ---
Alt 14.07.2010, 15:43   #36
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


einfach bei dateityp alle einstellen.
ich hab aber n kleinen fehler gemacht, wir müssen noch mal n neues script erstellen, dann haben wirs aber auch.


Driver::
gijaz

das wieder als cfscript.txt speichern und auf combofix ziehen

Alt 14.07.2010, 16:06   #37
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


log:
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-07-10.02 - *** 14.07.2010  16:47:57.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1526.1096 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security 2006 *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GIJAZ
-------\Service_gijaz


(((((((((((((((((((((((   Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-14 12:44 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-13 10:18 . 2010-07-13 10:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panda Security
2010-07-13 10:18 . 2010-07-13 14:33	--------	d-----w-	c:\programme\Panda USB Vaccine
2010-07-11 17:11 . 2010-07-11 21:43	--------	d-----w-	c:\programme\FindyKill
2010-07-11 13:33 . 2010-07-11 13:33	--------	d-----w-	c:\programme\CCleaner
2010-07-11 12:13 . 2010-07-11 12:13	--------	d-----w-	C:\_OTL
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-10 16:41 . 2010-07-10 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-10 16:41 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-10 08:53 . 2010-07-11 23:09	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2010-07-10 08:53 . 2010-07-10 08:53	--------	d-----w-	c:\dokumente und einstellungen\***\.thumbnails
2010-07-10 06:52 . 2010-07-11 23:10	--------	d-----w-	c:\dokumente und einstellungen\***\.gimp-2.6
2010-07-10 06:51 . 2010-07-10 06:51	--------	d-----w-	c:\programme\GIMP-2.0
2010-06-19 15:52 . 2010-06-19 15:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 12:54 . 2009-02-11 14:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-07-11 21:51 . 2010-01-13 13:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-11 08:12 . 2008-04-29 19:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2010-07-08 13:08 . 2007-05-12 19:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Image Zone Express
2010-07-06 13:28 . 2007-02-04 13:07	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-07-06 08:29 . 2009-10-22 19:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-06-23 21:56 . 2006-09-13 14:41	85686	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 21:56 . 2006-09-13 14:41	462850	----a-w-	c:\windows\system32\perfh007.dat
2010-06-16 18:33 . 2009-07-14 17:41	--------	d-----w-	c:\programme\ICQ6.5
2010-06-14 14:31 . 2006-09-13 14:54	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-04 12:36 . 2010-06-04 12:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Papyrus Autor
2010-05-05 14:35 . 2006-09-14 09:05	77432	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-04 20:56 . 2006-09-13 14:56	87479	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-02 08:05 . 2006-09-13 14:41	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2006-09-13 14:40	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-16 16:06 . 2006-09-13 14:41	672768	----a-w-	c:\windows\system32\wininet.dll
2010-04-16 16:06 . 2006-09-13 14:40	81920	----a-w-	c:\windows\system32\ieencode.dll
.


	
Code: 

 
ATTFilter


  

	
<pre>
c:\programme\Adobe\Acrobat 7.0\Reader\adobeupdatemanager .exe
c:\programme\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe
c:\programme\HP\HP Software Update\hpwuschd2 .exe
c:\programme\Intel\Wireless\Bin\ifrmewrk .exe
c:\programme\Intel\Wireless\Bin\zcfgsvc .exe
c:\programme\Microsoft Office\Office12\groovemonitor .exe
c:\programme\pdfforge Toolbar\searchsettings .exe
c:\programme\Spybot - Search & Destroy\teatimer .exe
c:\programme\Synaptics\SynTP\syntpenh .exe
c:\programme\Toshiba\TOSHIBA Applet\thotkey .exe
c:\programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\smoothview .exe
c:\programme\Toshiba\Tvs\tvstray .exe
c:\windows\ehome\ehtray .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\DLA\dlactrlw .exe
</pre>
         
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\***\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"TFncKy"="TFncKy.exe" [N/A]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 16206848]
"NDSTray.exe"="NDSTray.exe" [N/A]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 21:36 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.10.2008 17:39 222968]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [14.09.2006 13:50 7040]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [04.01.2010 23:16 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [04.01.2010 23:16 8456]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://efh-freiburg.de/selbst.htm
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &MSN Suche - c:\programme\MSN Toolbar Suite\msntb.dll/search.htm
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sd9yx4ii.default\
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-14 16:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3472)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
c:\windows\RTHDCPL.EXE
c:\programme\TOSHIBA\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\windows\AGRSMMSG.exe
c:\programme\Avira\AntiVir Desktop\GUARDGUI.EXE
c:\programme\Avira\AntiVir Desktop\GUARDGUI.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  17:01:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-14 15:01
ComboFix2.txt  2010-07-14 14:32
ComboFix3.txt  2010-07-13 22:52
ComboFix4.txt  2010-07-11 14:37

Vor Suchlauf: 23 Verzeichnis(se), 32.511.365.120 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 32.362.438.656 Bytes frei

- - End Of File - - A4533E5716B81949E9614A10D517F69D
--- --- ---

Brauch ich eigentlich noch FindyKill? Weil mein AntiVir meldet die ganze Zeit bei dem Programm ein Dropper (DR/Tool.PsKill.K.45)

Alt 14.07.2010, 16:10   #38
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


ok jetzt hatts geklappt.

avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Alt 14.07.2010, 20:52   #39
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


so jetzt ist antivir entlich durchgelaufen



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 14. Juli 2010 20:09

Es wird nach 2346510 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : YOUR-CF5ED83388

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:51:22
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 16:51:27
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 16:51:27
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 16:51:27
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 16:51:27
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 16:51:27
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 16:51:27
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 16:51:27
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 16:51:28
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 16:51:28
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 16:51:28
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 16:51:29
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 16:51:30
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 16:51:30
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 16:51:30
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 16:51:31
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 16:51:31
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 16:51:32
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 16:51:32
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 16:51:33
VBASE025.VDF : 7.10.9.80 2048 Bytes 13.07.2010 16:51:33
VBASE026.VDF : 7.10.9.81 2048 Bytes 13.07.2010 16:51:33
VBASE027.VDF : 7.10.9.82 2048 Bytes 13.07.2010 16:51:33
VBASE028.VDF : 7.10.9.83 2048 Bytes 13.07.2010 16:51:33
VBASE029.VDF : 7.10.9.84 2048 Bytes 13.07.2010 16:51:33
VBASE030.VDF : 7.10.9.85 2048 Bytes 13.07.2010 16:51:33
VBASE031.VDF : 7.10.9.90 95744 Bytes 14.07.2010 16:51:33
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 14.07.2010 16:51:42
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 14.07.2010 16:51:42
AESCN.DLL : 8.1.6.1 127347 Bytes 14.07.2010 16:51:41
AESBX.DLL : 8.1.3.1 254324 Bytes 14.07.2010 16:51:42
AERDL.DLL : 8.1.4.6 541043 Bytes 14.07.2010 16:51:41
AEPACK.DLL : 8.2.2.5 430453 Bytes 14.07.2010 16:51:40
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 14.07.2010 16:51:39
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 14.07.2010 16:51:39
AEHELP.DLL : 8.1.11.6 242038 Bytes 14.07.2010 16:51:36
AEGEN.DLL : 8.1.3.13 381300 Bytes 14.07.2010 16:51:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 14.07.2010 16:51:35
AECORE.DLL : 8.1.15.3 192886 Bytes 14.07.2010 16:51:35
AEBB.DLL : 8.1.1.0 53618 Bytes 14.07.2010 16:51:34
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Mittwoch, 14. Juli 2010 20:09

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '476' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\***\Desktop\FindyKill.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.PsKill.K.45
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP8\A0003528.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.PsKill.K.45
Beginne mit der Suche in 'H:\' <***>
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP8\A0003528.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.PsKill.K.45
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4762b6d2.qua' verschoben!
C:\Dokumente und Einstellungen\***\Desktop\FindyKill.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.PsKill.K.45
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei existiert nicht!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

Alt 14.07.2010, 23:31   #40
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


treten noch probleme auf? usb laufwerke schon bereinigt?

Alt 15.07.2010, 12:18   #41
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


bis jetzt nicht, läuft alls ganz gut. *freu* Antivir hat sich auch nicht mehr gemeldet.
Hatte auch noch spybot drüberlaufen lassen und er hat nichts mehr gefunden.
Voll super! Schon mal vielen DANK!!!
USB laufwerke-bereinigung hab ich genau so gemacht wie du mir am 12.07.2010, 18:23 gepostet hast.
Wenn ich mir jetzt ein neues USB-Laufwerk besorge, reicht dann der flash infector aus? Oder auf was muss ich achten?

Alt 15.07.2010, 12:29   #42
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


du solltest deine usb sticks (sonstige usb laufwerke) immer mit dem panda vaccine "impfen" damit wird eine geschützte autorun datei drauf geschrieben, wenn du deinen stick nun verborgst, und dein gegenüber hat malware auf dem pc die sich auf usb laufwerke bzw allgemein laufwerke kopiert, sind deine sticks geschützt.
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
bitte besuche die windows update seite, spiele den internet explorer 8 auf. auch alle wichtigen updates.
um deine software aktuell zu halten, nutze secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
http://www.trojaner-board.de/51464-a...-ccleaner.html
nutze den ccleaner, bereinige auch die registry.
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung,, auf allen laufwerken deaktiviren, übernehmen, ok
5 min warten, die swh wieder einschalten.

Alt 15.07.2010, 13:49   #43
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


hab jetzt alles durchgeführt und die updates mit Secunia gemacht.
Geändert von Eninaj (15.07.2010 um 14:38 Uhr)

Alt 15.07.2010, 15:28   #44
markusg
/// Malware-holic
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


sehr schön :-) dann sind wir fertig

Alt 15.07.2010, 15:33   #45
Eninaj
 
Trojana - Win32.AutRun.tmp - Standard

Trojana - Win32.AutRun.tmp


Echt *freu*
Super! Vielen herzlichen Dank für deine Hilfe.
Alleine wäre ich echt aufgeschmissen gewesen!

Antwort
Seite 3 von 4 12 3 4

Themen zu Trojana - Win32.AutRun.tmp
.dll, 0 bytes, antivir, avg, csrss.exe, desktop, dringend, explorer.exe, firefox, hilfe trojana sos bitte, icq, keine viren, lsass.exe, m.exe, modul, nt.dll, problem, programme, prozesse, registry, sched.exe, service.exe, services.exe, svchost.exe, trojaner, updates, versteckte objekte, verweise, viren, virus gefunden, warnung, windows, winlogon.exe


« Anti-Vir zeigt jede 10 Minuten einen Trojaner, AntiMalware auch noch 7 Infizierte Dateien | Zeus 2 auf meinem pc »


Ähnliche Themen: Trojana - Win32.AutRun.tmp


  1. GVU Trojana 2.07 Windows 7
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (10)
  2. GVU Trojana 2.07 Vista
    Log-Analyse und Auswertung - 09.10.2012 (9)
  3. Skype Trojana
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (17)
  4. Skype Trojana
    Plagegeister aller Art und deren Bekämpfung - 30.09.2012 (5)
  5. Polizei Trojana
    Log-Analyse und Auswertung - 06.09.2012 (2)
  6. Trojana:Win32/Sirefef.R und Sirefef.AH kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (13)
  7. BKA Trojana 06.08.2011 /mak
    Log-Analyse und Auswertung - 09.08.2011 (1)
  8. BKA Trojana
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (35)
  9. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  10. verdacht auf Trojana
    Log-Analyse und Auswertung - 19.02.2010 (1)
  11. Trojana.wie krieg ich ihn weg?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (1)
  12. Trojana win32.agent.aoto
    Log-Analyse und Auswertung - 22.11.2008 (7)
  13. Trojana TR/BHO.czo
    Log-Analyse und Auswertung - 29.07.2008 (5)
  14. Hab ein Trojana!!!
    Plagegeister aller Art und deren Bekämpfung - 13.05.2005 (12)
  15. Trojana/Virus per ICQ?
    Plagegeister aller Art und deren Bekämpfung - 15.12.2004 (4)
  16. Ich hab nen trojana
    Plagegeister aller Art und deren Bekämpfung - 28.09.2004 (22)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojana - Win32.AutRun.tmp - alles durchgeführt. Hier das log: Combofix Logfile: Code: Alles auswählen Aufklappen ATTFilter ComboFix 10-07-10.02 - *** 14.07.2010 0:34.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1526.1039 [GMT 2:00] ausgeführt von:: c:\dokumente - Trojana - Win32.AutRun.tmp...
Archiv
Du betrachtest: Trojana - Win32.AutRun.tmp auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54