Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Wie Ihavenet-Virus beseitigen? (https://www.trojaner-board.de/124379-ihavenet-virus-beseitigen.html)

Psychotic 21.09.2012 10:25
oha! :wtf:


CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
FILELOOK::
c:\windows\system32\perfh007W.dll
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

BlueOcean 21.09.2012 10:55
Bin mir nicht sicher, ob das mit dem reinziehen der txt in Combofix richtig funktioniert hat? Combofix hat auch gemeckert, dass Avira EchtzeitScanner noch aktiv wäre, war aber definitiv deaktiviert.

Code:
ComboFix 12-09-20.03 - Sandra 21.09.2012  11:46:52.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-21 bis 2012-09-21  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58        --------        d-----w-        c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06        --------        d-----w-        c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39        --------        d-----w-        c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25        --------        d-----w-        c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07        --------        d-----w-        c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24        770384        ----a-w-        c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24        421200        ----a-w-        c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24        73696        ----a-w-        c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09        --------        dc-h--w-        c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
2012-09-14 15:11 . 2012-09-14 15:11        147456        --sha-r-        c:\windows\system32\perfh007W.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58        696520        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04        73416        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11        143872        ----a-w-        c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-07-06 13:59 . 2003-04-02 12:00        78336        ----a-w-        c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00        1866240        ----a-w-        c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2003-04-02 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2003-04-02 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2011-07-12 19:01        385024        ----a-w-        c:\windows\system32\html.iec
2004-10-01 13:00 . 2011-07-23 17:06        40960        ----a-w-        c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\perfh007W.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 147456
Created time: 2012-09-14 15:11
Modified time: 2012-09-14 15:11
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"40479:TCP"= 40479:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
S3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
S3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-21 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-21 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-21 c:\windows\Tasks\zukst.job
- c:\windows\system32\perfh007W.dll [2012-09-14 15:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title =
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-21 11:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"?????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1016)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3116)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-09-21  11:51:01
ComboFix-quarantined-files.txt  2012-09-21 09:50
ComboFix2.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 480.253.480.960 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 480.244.199.424 Bytes frei
.
- - End Of File - - 06411157C2A02071C7DE9EB4FAEAE64C
Jetzt funktioniert im Starmoney die Updatefunktion nicht mehr ("Der StarMoney Online-Update Dienst konnte nicht gestartet werden, da das Profilverzeichnis nicht existiert"). Wie kann ich das fixen?

Psychotic 24.09.2012 07:23
Um Starmoney kümmern wir uns später!

CF-Script



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
http://www.trojaner-board.de/124379-ihavenet-virus-beseitigen-2.html#post920389

SUSPECT::[93]
c:\windows\system32\perfh007W.dll
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

BlueOcean 24.09.2012 09:04
Code:
ComboFix 12-09-23.03 - Sandra 24.09.2012  9:50.3.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2700 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
file zipped: c:\windows\system32\perfh007W.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-24 bis 2012-09-24  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58        --------        d-----w-        c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06        --------        d-----w-        c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39        --------        d-----w-        c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25        --------        d-----w-        c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07        --------        d-----w-        c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24        770384        ----a-w-        c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24        421200        ----a-w-        c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24        73696        ----a-w-        c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09        --------        dc-h--w-        c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
2012-09-14 15:11 . 2012-09-14 15:11        147456        --sha-r-        c:\windows\system32\perfh007W.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58        696520        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04        73416        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11        143872        ----a-w-        c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-08-28 15:05 . 2003-04-02 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2003-04-02 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2011-07-12 19:01        385024        ----a-w-        c:\windows\system32\html.iec
2012-07-06 13:59 . 2003-04-02 12:00        78336        ----a-w-        c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00        1866240        ----a-w-        c:\windows\system32\win32k.sys
2004-10-01 13:00 . 2011-07-23 17:06        40960        ----a-w-        c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4123:TCP"= 4123:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
R3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
R3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-23 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-23 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-24 c:\windows\Tasks\zukst.job
- c:\windows\system32\perfh007W.dll [2012-09-14 15:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title =
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.123.254
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-24 09:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"?????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1020)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3212)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-09-24  09:55:15
ComboFix-quarantined-files.txt  2012-09-24 07:55
ComboFix2.txt  2012-09-21 09:51
ComboFix3.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 479.236.247.552 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 479.219.011.584 Bytes frei
.
- - End Of File - - EB41F8479ABFEB5D935E955BF7BC2A48
Hochladen war erfolgreich

Psychotic 24.09.2012 09:32
Schritt 1: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
http://www.trojaner-board.de/124379-ihavenet-virus-beseitigen-2.html#post922385

Collect::
c:\windows\system32\perfh007W.dll
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Schritt 2: Custom Scan mit OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\*. /s /90
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

BlueOcean 24.09.2012 10:17
Es wurde keine Extra.txt erstellt??

(Log-Datei zu lang, und als txt zu groß, deshalb als gezippter Anhang...)

Psychotic 24.09.2012 13:07
und wo ist die Logdatei von Combofix?

BlueOcean 24.09.2012 13:51
ups, vergessen...

Code:
ComboFix 12-09-23.03 - Sandra 24.09.2012  10:47:14.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2761 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
file zipped: c:\windows\system32\perfh007W.dll
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\perfh007W.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-24 bis 2012-09-24  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58        --------        d-----w-        c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06        --------        d-----w-        c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39        --------        d-----w-        c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25        --------        d-----w-        c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07        --------        d-----w-        c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24        770384        ----a-w-        c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24        421200        ----a-w-        c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24        73696        ----a-w-        c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28        --------        d-----w-        c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09        --------        dc-h--w-        c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58        696520        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04        73416        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11        143872        ----a-w-        c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-08-28 15:05 . 2003-04-02 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2003-04-02 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2011-07-12 19:01        385024        ----a-w-        c:\windows\system32\html.iec
2012-07-06 13:59 . 2003-04-02 12:00        78336        ----a-w-        c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00        1866240        ----a-w-        c:\windows\system32\win32k.sys
2004-10-01 13:00 . 2011-07-23 17:06        40960        ----a-w-        c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5083:TCP"= 5083:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
R3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
R3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-23 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-23 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title =
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.123.254
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-24 10:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"?????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1248)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2344)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-09-24  10:54:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-09-24 08:54
ComboFix2.txt  2012-09-24 07:56
ComboFix3.txt  2012-09-21 09:51
ComboFix4.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 479.496.536.064 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 479.491.801.088 Bytes frei
.
- - End Of File - - D247190335AC42F1AA8E0E2004EABC05
Hochladen war erfolgreich

Psychotic 24.09.2012 14:04
Bestehen die Google-Umleitungen noch?

BlueOcean 24.09.2012 14:18
Hab jetzt ein bisschen rumprobiert, es scheint sowohl mit IE als auch Firefox zu funktionieren - keine Umleitungen mehr.

Psychotic 24.09.2012 14:20
Bitte warte etwas ab, bevor wir weitermachen. Wir wissen noch nicht genau, worum es sich hier handelt, könnte etwas Neues sein und wir müssen uns intern absprechen, um dir die bestmögliche Unterstützung zukommen lassen zu können! :)

BlueOcean 02.10.2012 07:59
Hallo, das Problem scheint behoben zu sein, es gab seither keine unerwünschten Google-Umleitungen mehr - weder im IE noch im Firefox. War wohl schon ein Virus oder? Wie kann ich mich zukünftig dagegen schützen? Vielen Dank schonmal!

Die Updatefunktion im StarMoney funktioniert aber nach wie vor nicht mehr ("Der StarMoney Online-Update Dienst konnte nicht gestartet werden, da das Profilverzeichnis nicht existiert"). Wie kann ich das fixen?

Psychotic 06.10.2012 12:33
Was den StarMoney-Fehler angeht, damit verweise ich dich später an unser Windows-Forum.

Macht der Rechner noch Probleme?

BlueOcean 06.10.2012 16:22
Wie schon geschrieben: keine Google-Umleitungen mehr und sonst auch keine Probleme ...

Psychotic 06.10.2012 17:13
Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



Schritt 2: ESET



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



Alle Zeitangaben in WEZ +1. Es ist jetzt 15:59 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131