Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit SYSTEM SECURITY ANTIVIRUS (https://www.trojaner-board.de/99334-problem-system-security-antivirus.html)

kleinkariert 20.05.2011 10:49
Problem mit SYSTEM SECURITY ANTIVIRUS
 
Hallo!

Ich habe eine Mail von einer Person bekommen, die ich sehr gut kenne und auf auf dessen Link ich dann auch geklickt habe und dieser mir jetzt vermutlich Torjaner/Würmer/Viren auf meinen PC beschert hat.

Der Link lautet: hxxp://jp-styleru.705.com1.ru/ewm.php

Dann öffnete sich ein Fenster (ein Tap im firefox mit dem Titel: My computer Online Scan), dass wie ein Explorer aussieht und ein neues Fenster öffnet mit dem Titel: "Die Seite mit der Adresse hxxp://stupadoden.co.cc" darin steht ein Hinweis der wie folgt lautet:
"Danger Virus was found on your computer, Click "Okay" to install free System Security Antivirus"

Ausserdem gibt es ein weiteres Fenster mit dem Titel "Windows Security Alert" in dem mir "Dedected spyware and adware on your computer" aufgelistet werden. Diese kann ich nur löschen indem ich dieses System-Security-Antivirus-Program" herunterlade. Auch wenn ich dieses Tap schließen möchte, kommt diese Meldung wieder.

Werde diese Seite vorerst nicht schließen und warte auf eure Hilfe!

Vielen Dank im Voraus! Ich hoffe, es kann mir jemand helfen.
Liebe Grüße
Vicky

Swisstreasure 20.05.2011 11:06
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.Dies sind umbenannte Kopienund speichere die Datei auf dem Desktop.
  • Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen das es läuft.
  • Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
  • Lass das Tool in Ruhe laufen
Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt 2

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

kleinkariert 20.05.2011 11:25
Vielen lieben Dank für die schnelle Hilfe. Werde das jetzt mal versuchen und melde mich danach wieder!!

lg vicky

kleinkariert 20.05.2011 11:55
nachdem mein pc zuerst die internetverbindung verweigert hat und jetzt ganz abgestürzt ist, bleibt mit nur mehr ein neustart. Vermutlich wird dann die internetseite, in der die oben beschriebene warnung aufgetaucht ist, nicht mehr da sein. daher meine frage: soll ich die schritte nach dem neustart trotzdem noch befolgen?

lg

Swisstreasure 20.05.2011 16:23
Alles wie ich geschrieben habe.

kleinkariert 21.05.2011 08:47
Hab das jetzt gemacht:


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6627

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20.05.2011 18:05:06
mbam-log-2011-05-20 (18-05-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168498
Laufzeit: 1 Stunde(n), 22 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 7
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{04079851-5845-4dea-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04079851-5845-4DEA-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04079851-5845-4DEA-848C-3ECD647AA554} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultFilter.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultFilter (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} (Adware.MywaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C900B400-CDFE-11D3-976A-00E02913A9E0} (Adware.WebHancer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistant.Auxiliary (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistant.Auxiliary.1 (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IST (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RX Toolbar (Adware.RXToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Cydoor (AdWare.Cydoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MySearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\webHancer (Adware.WebHancer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWaySearchAssistant (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{59879FA4-4790-461c-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultTracker.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\RXResult.RXResultTracker (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{59879FA4-4790-461C-A1CC-4EC4DE4CA483} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\programme\MyWay (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\myBar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\whinstall (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\MyWay\SrchAstt\1.bin\PARTNER.DAT (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0107B084 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0131BA9A (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\01F30506 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\0289C9A4 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\MyWay\SrchAstt\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\programme\whinstall\whAgent.inf (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\programme\whinstall\whinstaller.ini (Adware.WebHancer) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_1_0_449200.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_111600.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_152400.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_155300.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_329_4_0_164100.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445100.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445400.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\AdCache\b_336_0_0_445500.htm (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\hp_besitzer\Desktop\WiNlOgOn.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

kleinkariert 21.05.2011 09:12
...und den Inhalt von OTL.txt als zip. und Extras.txt

Ich hoffe, das war in Ordnung soweit?

Liebe Grüße,
Vicky

Swisstreasure 21.05.2011 11:32
Schritt 1

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop.
  • Schließe alle Browserfenster.
  • Doppelklicke die JavaRa.exe, um das Programm zu starten.
    Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator starten
  • Die Sprache auswählen, nimm Deutsch und klicke "Select".
  • Klicke auf Weitere Funktionen, mache Haken bei Unnötige JRE Dateien löschen und Sun Download Manager löschen.
  • Klicke auf Start und jeweils auf Ja und schließe das Fenster "Weitere Funktionen" wieder.
  • Klicke auf Ältere Versionen löschen, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
  • Klicke auf Ja, wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
  • Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
  • Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
  • Rechner neu starten.
Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

Schritt 2

Code:
:OTL

PRC - [2005.12.06 01:51:24 | 000,086,016 | ---- | M] () -- C:\Programme\WebRebates4\w11150.exe
PRC - [2005.12.06 01:51:15 | 000,241,664 | ---- | M] () -- C:\Programme\WebRebates4\webrebates.exe
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [webrebates] C:\Programme\WebRebates4\webrebates.exe ()
O8 - Extra context menu item: Web Rebates. - C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm ()
O32 - AutoRun File - [2001.07.28 07:07:38 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 23:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{330a7fdc-818e-11dc-9ecb-0013d43b34f1}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\AutoRun\command - "" = ravira/ravira32.exe
O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\explore\command - "" = ravira/ravira32.exe
O33 - MountPoints2\{592af30c-8115-11df-a40e-0024d2387a02}\Shell\open\command - "" = .\ravira/ravira32.exe
O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{725f245e-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{725f2460-6c43-11dc-9e9d-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{820d9e48-6f73-11dc-9ea0-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8910385e-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8910385f-7edc-11dc-9ec4-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a2538bc4-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell - "" = AutoRun
O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a2538bc5-0488-11e0-a4bc-0013d43b34f1}\Shell\AutoRun\command - "" = G:\AutoRun.exe
MsConfig - StartUpReg: WebRebates - hkey= - key= - C:\Programme\WebRebates4\webrebates.exe ()
[2011.05.08 20:24:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs
[2011.05.08 20:24:05 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

kleinkariert 21.05.2011 13:25
hier die logfiles von schritt 1 und 2.

vielen Dank derweil.

kleinkariert 21.05.2011 13:34
eine Frage zu gmer.exe:

soll ich die Hacken nur auf C:\ lassen, oder alle Systemplatten anhacken?

Hört sich für mich nicht eindeutig an:

Zitat:
# Entferne rechts den Haken bei:


* Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)

Swisstreasure 21.05.2011 13:57
Zitat:
%SystemDrive% = C: |
Also nur bei C den Hacken lassen.

kleinkariert 21.05.2011 14:12
alles klar! Danke dir!

kleinkariert 21.05.2011 18:27
ok. schritt 3 erledigt.

Swisstreasure 22.05.2011 14:11
Schritt 1

Wie läuft das System?

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

kleinkariert 22.05.2011 21:38
Wie läuft das System?? kann mich nicht beschweren?! Weiß nicht genau, was du da gerne wissen möchtest?! ;) ist nun wieder alles ok??

...und noch einmal otl, damit kenn ich mich schon aus!

vielen dank, derweil!

lg

Swisstreasure 22.05.2011 21:39
Ja nochmals OTL :) Will mir noch ein neues Log ansehen.

kleinkariert 22.05.2011 21:49
ja, ich hab schon bemerkt, du bist ganz schön neugierig!.. und nachdem ich auf dich angewiesen bin, bleibt mir wohl nichts anderes übrig..

ausserdem bist du sehr schweigsam, was den stand der dinge betrifft?! ich hoffe, dass bedeutet nichts schlechtes?!

lg

Swisstreasure 22.05.2011 21:54
Nein gar nicht. Es geht hier auch nicht um Neugier.

kleinkariert 22.05.2011 22:02
so.. weiß nicht wo der mir dieses "Extras.txt" hingespeichert hat?! das letzte mal, war das auf dem desktop?!

Swisstreasure 22.05.2011 22:06

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


kleinkariert 23.05.2011 20:58
ok, jetz kann ich die frage zum system beantworten: es läuft seeeeeeehr langsam.

aba den scan hab ich jetzt geschafft.

Swisstreasure 23.05.2011 21:34
Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.
Code:
WebRebates
WebRebates4
Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Schritt 2

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Schritt 3

Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

kleinkariert 23.05.2011 21:56
WebRebates (by TopRebates.com) lässt sich nicht entfernen.



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x00000f3c

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806CF000 \WINDOWS\system32\hal.dll
0xF8B65000 \WINDOWS\system32\KDCOM.DLL
0xF8A75000 \WINDOWS\system32\BOOTVID.dll
0xF8535000 ACPI.sys
0xF8B67000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF8524000 pci.sys
0xF8665000 isapnp.sys
0xF8675000 ohci1394.sys
0xF8685000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF8C2D000 pciide.sys
0xF88E5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8695000 MountMgr.sys
0xF8505000 ftdisk.sys
0xF88ED000 PartMgr.sys
0xF86A5000 VolSnap.sys
0xF84ED000 atapi.sys
0xF86B5000 disk.sys
0xF86C5000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF84CD000 fltMgr.sys
0xF84BB000 sr.sys
0xF86D5000 PxHelp20.sys
0xF84A4000 KSecDD.sys
0xF8417000 Ntfs.sys
0xF83EA000 NDIS.sys
0xF83CF000 Mup.sys
0xF8A79000 kl1.sys
0xF88F5000 \WINDOWS\system32\drivers\TDI.SYS
0xF86E5000 gagp30kx.sys
0xF8725000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF8029000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF7DC9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF7DB5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF8019000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8009000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7FF9000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7D92000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B65000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF7B41000 \SystemRoot\system32\drivers\portcls.sys
0xF7FE9000 \SystemRoot\system32\drivers\drmk.sys
0xF89E5000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF7B1E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF89ED000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF89F5000 \SystemRoot\system32\DRIVERS\sisnic.sys
0xF7B0D000 \SystemRoot\system32\DRIVERS\serial.sys
0xF8B55000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7AF9000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7FD9000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF8B59000 \SystemRoot\system32\DRIVERS\PS2.sys
0xF89FD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8BB5000 \SystemRoot\system32\DRIVERS\vncdrv.sys
0xF7ADE000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF8C9B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7FC9000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF8B61000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7AC7000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7FB9000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7FA9000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7AB6000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7F99000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF8A1D000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF8A25000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF8865000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8A45000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8BB7000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7A82000 \SystemRoot\system32\DRIVERS\update.sys
0xF83A3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF88C5000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF87D5000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8B6D000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8B75000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8C54000 \SystemRoot\System32\Drivers\Null.SYS
0xF8B77000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8935000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF893D000 \SystemRoot\System32\drivers\vga.sys
0xF8B7B000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8B7D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8A3D000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF6FF3000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF2B9E000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF1728000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF16D0000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF16A8000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF1686000 \SystemRoot\System32\drivers\afd.sys
0xF8765000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF2B4F000 \SystemRoot\system32\DRIVERS\srvkp.sys
0xF0022000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF0712000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xEFFF7000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF063B000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xF0702000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xEFF88000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF06F2000 \SystemRoot\System32\Drivers\Fips.SYS
0xF8BD1000 \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
0xF0B98000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF04DB000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xEFF65000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF5DBA000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF05F6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xEFF4D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8BF7000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF02A1000 \SystemRoot\System32\drivers\Dxapi.sys
0xF0355000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8C32000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF6F71000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEFD98000 \SystemRoot\system32\drivers\wdmaud.sys
0xF04BB000 \SystemRoot\system32\drivers\sysaudio.sys
0xEFCF6000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF2B0F000 \SystemRoot\System32\drivers\aspi32.sys
0xEFC49000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xF8775000 \SystemRoot\SYSTEM32\DRIVERS\filedisk.sys
0xEFBE5000 \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
0xEFB66000 \SystemRoot\system32\DRIVERS\srv.sys
0xF8C05000 \SystemRoot\System32\Drivers\vnccom.SYS
0xF8875000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEF078000 \SystemRoot\System32\Drivers\HTTP.sys
0xF8A05000 \SystemRoot\System32\Drivers\ZDPSp50.sys
0xEEE5C000 \SystemRoot\system32\DRIVERS\zd1211Bu.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
680 C:\WINDOWS\system32\smss.exe
800 csrss.exe
824 C:\WINDOWS\system32\winlogon.exe
872 C:\WINDOWS\system32\services.exe
884 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\svchost.exe
1112 svchost.exe
1152 C:\WINDOWS\system32\svchost.exe
1192 svchost.exe
1252 svchost.exe
1400 C:\WINDOWS\system32\spoolsv.exe
1840 svchost.exe
1876 C:\Programme\AntiVir PersonalEdition Classic\sched.exe
1888 C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
1908 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1984 C:\Programme\Canon\IJPLM\ijplmsvc.exe
2008 C:\Programme\Java\jre6\bin\jqs.exe
228 C:\WINDOWS\explorer.exe
280 C:\WINDOWS\system32\HPZipm12.exe
328 C:\WINDOWS\system32\svchost.exe
460 wdfmgr.exe
1456 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
1524 C:\Programme\WLAN_Software\ZD1211B\ZDWLan.EXE
1532 C:\Programme\AutoInstall\ZD1211B_Auto_Install_CD_Only_Gen_0ACE20FF\AutoEJCD.EXE
1552 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
1756 C:\Programme\DivX\DivX Plus Web Player\DDMService.exe
1764 C:\Programme\Logitech\LWS\Webcam Software\LWS.exe
1444 C:\Programme\DivX\DivX Update\DivXUpdate.exe
1972 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1848 C:\WINDOWS\system32\ctfmon.exe
124 C:\Programme\Logitech\Vid\Vid.exe
1424 C:\WINDOWS\system32\sistray.exe
1264 C:\WINDOWS\system32\wuauclt.exe
916 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2176 alg.exe
2300 C:\WINDOWS\system32\wscntfy.exe
3720 C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
3700 C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
3460 C:\Programme\Mozilla Firefox\firefox.exe
424 C:\WINDOWS\system32\wuauclt.exe
3900 C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`be32e000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3160021A, Rev: 8.11
PhysicalDrive1 Model Number: ST380011A, Rev: 3.06

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Legit MBR code detected
SHA1: F75A10171F7488C11BA9A98CEC3D186D7A8D3972
74 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


OTL im Anhang.

Swisstreasure 23.05.2011 21:58
Software mit Revo Uninstaller deinstallieren

Downloade Dir bitte den Revo Uninstaller
  • Doppelklick auf die revosetup.exe.
  • Installiere das Tool in den vorgegebenen Pfad.
  • Doppelklick auf das Revo Uninstall Icon.
  • Suche Dir nun folgende Software aus der Code-Box.
    Code:
    WebRebates
    Klicke darauf und bestätige mit Ja.
  • Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
  • Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
  • Klick auf den Markiere alle Button und klick auf löschen und bestätige mit Ja.
Bebilderte Anleitung

Starte den Rechner neu auf.

kleinkariert 23.05.2011 22:17
das hat super funktioniert! danke!

Swisstreasure 23.05.2011 22:28
Schritt 1

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 2

Immernoch sehr langsam?

kleinkariert 24.05.2011 06:09
ja, wird erledigt!


ja erst ist leider immer noch sehr langsam. Beim hochfahren braucht er zwei anläufe und danach ist leider auch sehr mühsam. Komisch, denn gestern direkt nach dem neustart hat er zwar auch zwei anläufe gebraucht, aber danach ging alles richtig gut?! na egal :) auf gehts!

Swisstreasure 24.05.2011 12:28
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

kleinkariert 24.05.2011 16:07
hab ein bisschen angst vor dem programm aber ok...

und hat das überhaupt noch sinn oder läuft das darauf hinaus, dass ich meinen pc früher oder später neu aufsetzen muss`?? :(

Swisstreasure 24.05.2011 16:26
Das sehen wir dann. Brauchts keine Angst zu haben.

kleinkariert 24.05.2011 17:25
alles gut gegangen.. hoff ich zumindest! hier das resultat:

Swisstreasure 24.05.2011 17:42
Und wie läufts?

kleinkariert 24.05.2011 17:54
ja eigentlich super gut.. aber das hab ich das letzte mal auch gedacht und am nächsten tag wars voll langsam... also noch eine nacht drüber schlafen und du bekommst eine detailliertere antwort ;)

wie siehts aus?? wenns jetzt wieder läuft, haben wirs dann überstanden?

Swisstreasure 24.05.2011 18:08
Log ist sauber :) Aber noch nicht ganz am Schluss :)

kleinkariert 24.05.2011 18:29
was ehrlich??? ... das is ja wahninn :applaus:

Swisstreasure 24.05.2011 18:31
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
    • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

kleinkariert 24.05.2011 18:44
wieder ein problem:

ok, also ich öffne kaspersky und ein paar sekunden später, folgende nachricht:

"Die digitale Signatur der Anwendung weist einen Fehler auf. Möchten Sie die Anwendung ausführen?"

kaum durchgelesen ein weiteres fester:

"Launch of the Java application is interrupted! Please establish an uninterrupted Internet connection for work with this program."

Swisstreasure 24.05.2011 18:53
Mach es mit IE

kleinkariert 24.05.2011 20:19
ok jetzt kam folgendes fenster:

"Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab. Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: License has expired]"

hab das ganze noch mal neu gestartet und wieder die gleiche Meldung..

Swisstreasure 24.05.2011 20:28
Dann versuche diesen:
http://www.hijackthis-forum.de/allge...tml#post354553

kleinkariert 26.05.2011 06:17
Zum Stand der Dinge:

Ich habe f-secure über Nacht laufen lassen und hatte ne Fehlermeldung in der Früh.. werds jetzt noch einmal versuchen.

Beim Starten hatte er heute seine Schwierigkeiten. Ich musste im abgesicherten Modus hochfahren und von dort dann neu starten, bis er es dann endlich geschafft hatte.

Wenn das Hochfahren überstanden ist, funktioniert alles super! :)

Vielen Dank dafür!

kleinkariert 26.05.2011 07:00
Wieder die gleiche Fehlermeldung: "Bei F-Secure Online Scanner 4.2 ist ein Fehler aufgetreten. Das Programm wird ohne ausreichende Benutzerrechte ausgeführt, um alle Ziele nach Malware und Spyware zu durchsuchen. Starten Sie F-Secure Online Scanner 4.2 neu. Falls dieser Fehler erneut auftritt, kontaktieren Sie den Support von (Fehler-ID: 65)."

ok, das heisst, ich werde mir einen anderen Online Scanner von deinem Link holen.

kleinkariert 26.05.2011 11:47
Mit dem Symantec Security Check hats funktioniert :)

Hier die Ergebnisse der Analyse:


242370 Dateien geprüft 11 infizierte Datei(en) auf Ihren Laufwerken.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.

Es wurden keine Viren im Arbeitsspeicher gefunden.

Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.

Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.


Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.

C:\_OTL\MovedFiles\05212011_141543\C_Programme\WebRebates4\webrebates.exe ist infiziert mit Adware.WebRebates
C:\WINDOWS\system32\cd_clint.dll ist infiziert mit Adware.Cydoor
C:\Programme\Web_Rebates\disp1150.exe ist infiziert mit Adware.WebRebates
C:\Programme\Web_Rebates\WebRebates0.exe ist infiziert mit Adware.WebRebates
C:\Programme\Web_Rebates\WebRebates1.exe ist infiziert mit Adware.WebRebates
C:\Programme\Web_Rebates\Sy1150\Tp1150\kjk.exe ist infiziert mit Adware.TopMoxie
C:\Programme\Web_Rebates\Sy1150\Tp1150\topr11153.exe ist infiziert mit Adware.WebRebates
C:\Programme\WebRebates4\w11150.exe ist infiziert mit Adware.WebRebates
C:\Programme\WebRebates4\webrebates.dll ist infiziert mit Adware.WebRebates
C:\Programme\WebRebates4\websrebates\Images\topr_c_warning.gif ist infiziert mit Adware.WebRebates
C:\Programme\WebRebates\WebRebates1.exe ist infiziert mit Adware.TopMoxie





Lösung: Installieren All-In-One Security
Norton 360™: All-In-One Security - Umfangreicher, automatischer Schutz mit Backup-Technologien. (Höchster Norton-Schutz)
Kaufen
Weitere Infos





vlg vicky

Swisstreasure 26.05.2011 16:12
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista-User mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    :dir
    Web_Rebates
    WebRebates4
    :regfind
    Web_Rebates
    WebRebates4
    :content
    Web_Rebates
    WebRebates4
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

kleinkariert 26.05.2011 16:35
Es ist unglaublich wie viel Geduld du hast. Herzlichen Dank dafür!!



SystemLook 04.09.10 by jpshortstuff
Log created at 17:40 on 26/05/2011 by HP_Besitzer
Administrator - Elevation successful

========== dir ==========

Web_Rebates - Unable to find folder.

WebRebates4 - Unable to find folder.




========== regfind ==========

Searching for "Web_Rebates"
No data found.

Searching for "WebRebates4"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Programme\WebRebates4\webrebates.exe"="webrebates"
[HKEY_USERS\S-1-5-21-56174256-3997779108-1306931041-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Programme\WebRebates4\webrebates.exe"="webrebates"

Invalid Context: content

No Context: Web_Rebates

No Context: WebRebates4

-= EOF =-

Swisstreasure 26.05.2011 17:46
Fixen mit OTL
Code:
:OTL
:files
C:\Programme\WebRebates4\webrebates.exe
C:\Programme\WebRebates4\w11150.exe
C:\Programme\WebRebates4
C:\Programme\Web_Rebates

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WebRebates"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WebRebates0"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Programme\WebRebates4\webrebates.exe"=-
[HKEY_USERS\S-1-5-21-56174256-3997779108-1306931041-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Programme\WebRebates4\webrebates.exe"=-

:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

kleinkariert 26.05.2011 18:40
All processes killed
========== OTL ==========
========== FILES ==========
File\Folder C:\Programme\WebRebates4\webrebates.exe not found.
C:\Programme\WebRebates4\w11150.exe moved successfully.
C:\Programme\WebRebates4\websrebates\webtrebates folder moved successfully.
C:\Programme\WebRebates4\websrebates\websrebates folder moved successfully.
C:\Programme\WebRebates4\websrebates\Images folder moved successfully.
C:\Programme\WebRebates4\websrebates\Html folder moved successfully.
C:\Programme\WebRebates4\websrebates folder moved successfully.
C:\Programme\WebRebates4\webdrebates\HP_Besitzer folder moved successfully.
C:\Programme\WebRebates4\webdrebates folder moved successfully.
C:\Programme\WebRebates4\webarebates folder moved successfully.
C:\Programme\WebRebates4 folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\WebRebates not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\WebRebates0 not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\Programme\WebRebates4\webrebates.exe deleted successfully.
Registry value HKEY_USERS\S-1-5-21-56174256-3997779108-1306931041-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\Programme\WebRebates4\webrebates.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: HP_Besitzer
->Temp folder emptied: 622878624 bytes
->Temporary Internet Files folder emptied: 328082 bytes
->Java cache emptied: 157726 bytes
->FireFox cache emptied: 86332094 bytes
->Flash cache emptied: 975 bytes

User: LocalService
->Temp folder emptied: 65716 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2967862 bytes
RecycleBin emptied: 4460942 bytes

Total Files Cleaned = 684,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 05262011_185600

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Swisstreasure 26.05.2011 18:55
Schritt 1

Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

Schritt 2

Wie läufts?

kleinkariert 26.05.2011 21:32
Es läuft wieder superklasse! :) Gibt auch keine Schwierigkeiten mehr beim Hochfahren. Ich hoffe auf morgen, aber heute wars super! Danke!

Swisstreasure 28.05.2011 06:44
Sorry dass ich noch nicht geantwortet habe. Viel Arbeit zur Zeit :) Antwort kommt heute Abend.

Swisstreasure 28.05.2011 19:22
Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
  • SpywareBlaster
    Eine kurze Einführung findest du Hier

  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
    Hinweis: MBAM ersetzt keine Anti- Viren- Software.

  • Temp File Cleaner
    TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
    Ausserdem hilft es Deinen Computer zu beschleunigen.
    Du kannst Dir TFC ( by OldTimer ) hier downloaden.

  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.

  • Halte Dein System aktuell
    Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
    Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
    Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.

  • Halte Deine Software aktuell
    Der einfachste Weg dafür ist der Secunia Online Software.


Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.

  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

kleinkariert 29.05.2011 18:32
wouh das is ja superklasse!!! :Boogie: Vielen vielen lieben Dank für deine Hilfe und deinen Aufwand und deine Zeit und deine Geduld und sowieso für alles!! Wäre ohne dich total aufgeschmissen gewesen!

Ein paar kleine Fragen hätt ich da allerdings noch:

SpywareBlaster: Funktioniert das automatisch oder muss ich das immer starten wenn ich scannen mmöchte?
MalwareBytes: Die Reports trotzdem im Forum posten oder reichts, wenn ich gefundene Objekte lösche?
Kann ich die anderen Programme, die wir benutzt haben deinstallieren?


und wie siehts mit online banking aus? Hab mich seitdem nicht mehr getraut in mein online banking einzusteigen?

so, das wars!! Herzlichsten Dank noch einmal!

das beste und mehr...
vicky

Swisstreasure 29.05.2011 19:04
Zitat:
SpywareBlaster: Funktioniert das automatisch oder muss ich das immer starten wenn ich scannen mmöchte?
Musst Du jeweils starten.
Zitat:
MalwareBytes: Die Reports trotzdem im Forum posten oder reichts, wenn ich gefundene Objekte lösche?
Wenn etwas gefunden wird dann sicherheitshalber ein Thread hier eröffnen.

Zitat:
Kann ich die anderen Programme, die wir benutzt haben deinstallieren?
Die meisten sollten schon weg sein mit der Toolbereinigung von OTL welche wir gemacht haben. Den Rest kannst Du löschen.
Zitat:
und wie siehts mit online banking aus? Hab mich seitdem nicht mehr getraut in mein online banking einzusteigen?
Jo das kannst Du durchführen.

kleinkariert 01.06.2011 06:41
ja super. funktioniert wieder alles bestens :) ...vielen lieben dank, dir noch einmal! super arbeit! ich bin überglücklich!!

alles liebe,
vicky

Swisstreasure 01.06.2011 08:27
Gern geschehen :) UNd viel Spass mit dem sauberen System ;)

Gruss Stefan :)

kleinkariert 02.06.2011 10:22
Ich weiß nicht, ob du den Thread schon aus deinen Abos gelöscht hast, aber ich versuchs trotzdem:

Heute starte ich meinen PC und mein Avira Antivirus Program schlägt an und zeigt folgende Meldung:

"TR/Krazy.25000.80 Trojan"

Ich klicke auf "Deny access" und die Warnung schlägt wieder an, mit dem Vorschlag es zu löschen. Also hab ich das jetzt gelöscht. Heisst das, dass der jetzt weg ist?

Ich könnt durchdrehen und irgendwie ist es mir schon unangenehm, dich wieder damit zu belästigen.

Zu früh gefreut.
Ich hoffe nochmal auf deine Hilfe.
Lg vicky

Swisstreasure 02.06.2011 13:10
Du belästigst mich doch nich :)

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

kleinkariert 02.06.2011 14:06
Gut! Du bist noch da :)

Diese Warnung kann ich übrigens nicht wegklicken.
Hab auch dieses malwarebyte scan dings gemacht ... schicks dir gleich mit!

vielen dank!

Swisstreasure 03.06.2011 14:02
Schritt 1

Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.
Bebilderte Anleitung zur Benutzung von TDSSKiller.

Schritt 2

Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.
  • Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
    Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
  • Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
  • Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
  • Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
  • Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Klicke auf den Report Tab und danach auf Scan
  • Setze ein Häckchen bei
    • Drivers
    • Stealth Code
    • Files
    • Code Hooks
    Entferne alle anderen Hacken
  • Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
  • Klicke OK
  • Wenn der Scan beendet wurde
    File --> Save Report
    klicken.
  • Speichere die Datei als RKU.txt auf dem Desktop.
  • Klicke Close
Hinweis: Solltest Du folgende Warnung bekommen
Zitat:
"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"
Klicke auf OK

Schritt 3

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

kleinkariert 06.06.2011 05:03
ok. also Punkt 1 ergab keine Funde.

und die logs sind im Anhang!

lg

Swisstreasure 06.06.2011 11:57
Schritt 1
Code:
:OTL
PRC - [2011.05.31 09:43:45 | 000,179,200 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe
PRC - [2011.05.31 09:43:22 | 000,186,368 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe
PRC - [2011.05.31 09:42:59 | 000,192,512 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57273
[2011.05.31 07:28:59 | 000,192,512 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe
[2011.05.31 07:28:30 | 000,009,676 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\6CF6.39B
F3 - HKCU WinNT: Load - (C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\csrss.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe ()
O4 - HKCU..\Run: [{C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Urenok\escix.exe (GnuPT - Protect Your Data)
O4 - HKLM..\Run: [conhost] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe ()
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe ()
[2011.05.31 09:43:45 | 000,179,200 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe
[2011.05.31 07:28:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Yvis
[2011.05.31 07:28:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Urenok
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Scanne erneut mit Malwarebytes und poste ndas Log. (UPDATEN nicht vergessen)

kleinkariert 06.06.2011 19:48
ich hab das mit otl gemacht, der hat sich selbst neu gestartet und dann kam ein blauer bildschirm mit einer ewig langen fehlermeldung und der aufforderung, wenn dies das erste mal passiert, dann soll ich neu starten. das hab ich gemacht und hab jetzt eine windows fehlermeldung auf der steht "Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. Für diesen Fehler wurde ein Protokoll erstellt. Für weitere Informationen zu diesem Fehler, klicken Sie hier."
wenn ich klicke steht:

Problemsignatur "BCCode : 1000008e BCP1 : 80000003 BCP2 : 83B5E44E BCP3 : B539E45C
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 768_1 "

ausserdem wurde kein txt file von otl erstellt. weder am desktop noch im ordner. jetzt weiss ich nicht. malware scan trotzdem durchführen?

Swisstreasure 06.06.2011 20:24
Mach zuerst:


Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

und nun einen Scan mit Malwarebytes Anti-Malware. Poste das Log.

kleinkariert 07.06.2011 06:49
Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6793

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07.06.2011 07:56:55
mbam-log-2011-06-07 (07-56-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165776
Laufzeit: 1 Stunde(n), 6 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 552 -> Unloaded process successfully.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> 680 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Cycbot.Gen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2} (Trojan.Zbot) -> Value: {C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Cycbot.Gen) -> Bad: (C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\dwm.exe (Trojan.Downloader) -> Delete on reboot.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe (Backdoor.Cycbot.Gen) -> Delete on reboot.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\Urenok\escix.exe (Trojan.Zbot) -> Quarantined and deleted successfully.

Swisstreasure 07.06.2011 17:19
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

kleinkariert 07.06.2011 18:20
Extra.txt gabs leider nicht.

Swisstreasure 07.06.2011 22:17
Mach einen Fullscan mit Avira.

kleinkariert 08.06.2011 12:32
Im Anhang wieder die Funde (glaub da sind aba ältere dabei?!)

und hier der Report vom Scan:


Avira AntiVir Personal
Report file date: Mittwoch, 8. Juni 2011 07:59

Scanning for 2709893 virus strains and unwanted programs.

Licensed to: Avira AntiVir Personal - FREE Antivirus
Serial number: 0000149996-ADJIE-0000001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: KLEINKARIERT

Version information:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 28.11.2008 06:37:28
AVSCAN.DLL : 8.1.4.0 40705 Bytes 25.07.2008 07:32:16
LUKE.DLL : 8.1.4.5 164097 Bytes 25.07.2008 07:32:18
LUKERES.DLL : 8.1.4.0 12033 Bytes 25.07.2008 07:32:18
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:33:14
ANTIVIR1.VDF : 7.11.8.186 19644272 Bytes 31.05.2011 06:11:12
ANTIVIR2.VDF : 7.11.8.239 157088 Bytes 02.06.2011 06:11:55
ANTIVIR3.VDF : 7.11.8.250 61952 Bytes 03.06.2011 06:05:01
Engineversion : 8.2.5.12
AEVDF.DLL : 8.1.2.1 106868 Bytes 03.08.2010 17:56:17
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 29.05.2011 06:05:12
AESCN.DLL : 8.1.7.2 127349 Bytes 18.12.2010 15:54:31
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 06:12:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 07:23:52
AEPACK.DLL : 8.2.6.8 557430 Bytes 20.05.2011 08:57:31
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 06:12:15
AEHEUR.DLL : 8.1.2.123 3502456 Bytes 02.06.2011 06:12:12
AEHELP.DLL : 8.1.17.2 246135 Bytes 20.05.2011 08:57:24
AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 08:57:24
AEEMU.DLL : 8.1.3.0 393589 Bytes 18.12.2010 15:54:25
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 19:42:16
AEBB.DLL : 8.1.1.0 53618 Bytes 07.05.2010 07:07:12
AVWINLL.DLL : 1.0.0.12 15105 Bytes 25.07.2008 07:32:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 25.07.2008 07:32:16
AVREP.DLL : 10.0.0.9 174120 Bytes 18.02.2011 10:10:35
AVREG.DLL : 8.0.0.1 33537 Bytes 25.07.2008 07:32:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 10:55:12
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 25.07.2008 07:32:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 10:55:13
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 25.07.2008 07:32:18
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 10:55:13
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 25.07.2008 07:32:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 25.07.2008 07:32:12

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, F:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: Mittwoch, 8. Juni 2011 07:59

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sua.exe' - '1' Module(s) have been scanned
Scan process 'epmworker.exe' - '1' Module(s) have been scanned
Scan process 'Generic.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'sistray.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'DivXUpdate.exe' - '1' Module(s) have been scanned
Scan process 'LWS.exe' - '1' Module(s) have been scanned
Scan process 'DDMService.exe' - '1' Module(s) have been scanned
Scan process 'BJMYPRT.EXE' - '1' Module(s) have been scanned
Scan process 'AutoEJCD.EXE' - '1' Module(s) have been scanned
Scan process 'ZDWLan.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'psia.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'ijplmsvc.exe' - '1' Module(s) have been scanned
Scan process 'cvpnd.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
41 processes with 41 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD4
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD5
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'F:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '68' files ).


Starting the file scan:

Begin scan in 'C:\' <mei bebi>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <HP_RECOVERY>
Begin scan in 'F:\' <MP3s>


End of the scan: Mittwoch, 8. Juni 2011 12:53
Used time: 4:53:45 Hour(s)

The scan has been done completely.

12656 Scanning directories
705112 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
705111 Files not concerned
15494 Archives were scanned
5 Warnings
0 Notes

Swisstreasure 09.06.2011 14:56
Das sind nur ältere vom 3.6. :) Wie läuft das System?

kleinkariert 09.06.2011 17:52
hatte heute überhaupt keine probleme :) hoffentlich bleibts so!

Swisstreasure 09.06.2011 18:05
Ok dann testen wir es einmal für einige Tage. Melde Dich wieder für den Abschluss :)

kleinkariert 13.06.2011 04:57
hey!
also ich hatte die letzten tage wieder überhaupt keine schwierigkeiten! :) läuft spitze!! :daumenhoc

danke! :)

Swisstreasure 13.06.2011 12:20
Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Viel Spass :)

kleinkariert 17.06.2011 15:09
ich danke dir herzlichst! wieder einmal :) funktioniert immernoch super!!

Swisstreasure 17.06.2011 15:57
Gern geschehen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:31 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130