| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.08.2011, 16:20
| #1 |
| |  BKA Trojaner Hey! Ich habe mir auch den BKA Trojaner eingefangen.. Soeben habe ich es geschafft auf mein System zuzugreifen und OTL runterzuladen. Dann habe ich, wie bereits in anderen Beiträgen beschrieben, einen "Quick Scan" durchgeführt. Die beiden .txt Dateien sind angehängt. Was muss ich jetzt noch tun damit mein Laptop wieder sauber ist ? Vielen Dank & Gruß Ensiferum23 |
|
09.08.2011, 13:20
| #2 |
| /// Malwareteam   | BKA Trojaner Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1
Code:
ATTFilter :OTL
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q="
[2011/08/01 14:36:30 | 000,000,000 | ---D | M] ("Sopcast Ask Toolbar") -- C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com
[2011/08/08 14:18:10 | 000,002,396 | ---- | M] () -- C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml
O4 - HKCU..\Run: [avupdate] C:\Users\Can\AppData\Roaming\jashla.exe (Riviera Knoxville Rowland Dominican Tarbell Byrd)
O2 - BHO: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
[2011/08/06 19:50:24 | 000,134,144 | ---- | C] (Riviera Knoxville Rowland Dominican Tarbell Byrd) -- C:\Users\Can\AppData\Roaming\jashla.exe
[2011/08/06 19:50:24 | 000,134,144 | ---- | M] (Riviera Knoxville Rowland Dominican Tarbell Byrd) -- C:\Users\Can\AppData\Roaming\jashla.exe
:Commands
[purity]
[emptytemp]
Schritt 2 Downloade Dir bitte Malwarebytes
|
|
09.08.2011, 15:04
| #3 |
| | BKA Trojaner Vielen Dank!
__________________Hier die Log File von OTL: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.
C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q=" removed from keyword.URL
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\searchplugins folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\logs folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\defaults\preferences folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\defaults folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\datastore folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-26-May-2011-13-42-36-GMT folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-09-Jun-2011-17-43-43-GMT folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-02-Jun-2011-00-54-05-GMT folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sat-30-Apr-2011-21-59-50-GMT folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Mon-01-Aug-2011-12-19-45-GMT folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\skin folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\content folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome folder moved successfully.
C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com folder moved successfully.
C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\avupdate not found.
File C:\Users\Can\AppData\Roaming\jashla.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
File C:\Users\Can\AppData\Roaming\jashla.exe not found.
File C:\Users\Can\AppData\Roaming\jashla.exe not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Can
->Temp folder emptied: 127934743 bytes
->Temporary Internet Files folder emptied: 168777420 bytes
->Java cache emptied: 5720844 bytes
->FireFox cache emptied: 50317887 bytes
->Opera cache emptied: 23784645 bytes
->Flash cache emptied: 60100 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40926598 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 398.00 mb
OTL by OldTimer - Version 3.2.26.1 log created on 08092011_171115
Files\Folders moved on Reboot...
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2612.log moved successfully.
Registry entries deleted on Reboot...
Deshalb habe ich diese wiederhergestellt und noch mal gefixt. Die dazugehörige Log File: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q=" removed from keyword.URL
Folder C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\ not found.
File C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\avupdate not found.
C:\Users\Can\AppData\Roaming\jashla.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
File C:\Users\Can\AppData\Roaming\jashla.exe not found.
File C:\Users\Can\AppData\Roaming\jashla.exe not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Can
->Temp folder emptied: 1017 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 6409202 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6039 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 6.00 mb
OTL by OldTimer - Version 3.2.26.1 log created on 08092011_172134
Files\Folders moved on Reboot...
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2288.log moved successfully.
Registry entries deleted on Reboot...
Log File: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7416
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
09.08.2011 17:45:52
mbam-log-2011-08-09 (17-45-52).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179805
Laufzeit: 3 Minute(n), 56 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Ensiferum23 |
|
09.08.2011, 15:46
| #4 |
| /// Malwareteam | BKA TrojanerCombofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
 Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:  Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
|
09.08.2011, 17:17
| #5 |
| | BKA TrojanerCode:
ATTFilter ComboFix 11-08-09.02 - Can 09.08.2011 17:49:37.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3253.1802 [GMT 2:00]
ausgeführt von:: c:\users\Can\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\SystemData
c:\systemdata\2FB71FB2AACDE4A
c:\users\Can\AppData\Roaming\Local
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\2.ddi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\3.ddi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\7df5fafb57d2075018daa4a9f2d94134.avi.ddr
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\8786526ca5bd07311333bcadbf03f635.avi.ddr
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\DBZ13.divx(2).ddr
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\DBZ13.divx.ddr
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\7df5fafb57d2075018daa4a9f2d94134.avi.ddp
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\8786526ca5bd07311333bcadbf03f635.avi
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\DBZ13(2).divx
c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\DBZ13.divx
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-09 bis 2011-08-09 ))))))))))))))))))))))))))))))
.
.
2074-05-18 15:44 . 2008-03-21 12:46 607296 ------w- c:\program files\Microsoft Games\Age of Empires III\deformerdllyD.dll
2074-05-07 17:38 . 2006-11-21 19:48 203576 ------w- c:\program files\Microsoft Games\Age of Empires III\autopatcher2.exe
2011-08-09 15:39 . 2011-08-09 15:39 -------- d-----w- c:\users\Can\AppData\Roaming\Malwarebytes
2011-08-09 15:39 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-09 15:39 . 2011-08-09 15:39 -------- d-----w- c:\programdata\Malwarebytes
2011-08-09 15:39 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-09 15:39 . 2011-08-09 15:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-09 15:11 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{30D2F1EC-77A7-4946-94E0-2F66847ECE4E}\mpengine.dll
2011-08-08 13:55 . 2011-08-08 13:55 -------- d-----w- C:\_OTL
2011-08-08 11:56 . 2011-08-08 11:56 -------- d-----w- c:\program files\LogMeIn Hamachi
2011-08-08 09:34 . 2011-08-08 09:34 -------- d-----w- c:\users\Can\AppData\Local\ElevatedDiagnostics
2011-08-06 20:32 . 2011-08-06 20:32 -------- d-----w- c:\program files\7-Zip
2011-07-20 14:57 . 2011-07-20 14:57 -------- dc-h--w- c:\programdata\{47960B9E-9E4E-438D-AA0C-2F495913AD7E}
2011-07-20 14:51 . 2011-07-20 14:51 -------- d-----w- c:\users\Can\AppData\Local\Native Instruments
2011-07-20 14:51 . 2011-07-20 14:51 -------- dc-h--w- c:\programdata\{5E4CAE11-3142-4132-BACC-8515F1910998}
2011-07-20 14:50 . 2011-07-20 14:56 -------- d-----w- c:\program files\Common Files\Native Instruments
2011-07-20 14:50 . 2011-07-20 14:50 -------- d-----w- c:\program files\Common Files\Digidesign
2011-07-20 14:49 . 2011-07-20 14:49 -------- dc-h--w- c:\programdata\{C78336EC-F2EB-4640-99A4-DFE96581B90B}
2011-07-20 14:49 . 2011-07-20 14:50 -------- d-----w- c:\program files\Native Instruments
2011-07-20 14:49 . 2011-07-20 14:49 -------- d-----w- c:\programdata\Native Instruments
2011-07-13 19:13 . 2011-06-03 06:01 169984 ----a-w- c:\windows\system32\winsrv.dll
2011-07-13 19:13 . 2011-06-03 05:56 271872 ----a-w- c:\windows\system32\conhost.exe
2011-07-13 19:13 . 2011-06-11 02:29 2334208 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-08 16:53 . 2010-10-29 12:14 2300696 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2011-08-08 16:52 . 2010-10-29 12:14 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2011-08-08 16:52 . 2010-10-29 12:14 1166144 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-07-16 13:18 . 2011-05-18 21:57 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-01 11:40 . 2010-10-29 16:53 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-01 11:40 . 2010-10-29 16:53 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-30 09:42 . 2011-01-06 17:41 101720 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-06-29 11:01 . 2010-11-01 14:32 2300696 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2011-06-29 11:01 . 2010-11-01 14:32 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2011-06-29 11:01 . 2010-11-01 14:32 1166144 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2011-06-22 14:35 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2011-05-24 17:14 . 2010-07-06 21:02 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-24 10:44 . 2011-06-29 11:34 293376 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-07-06 15:08 . 2011-04-30 13:18 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-06-02 9222760]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-06-02 1481320]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-06-21 436264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-10 1594664]
"NUSB3MON"="c:\program files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-04-27 113288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-06 1047656]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
2011-05-17 11:29 395144 ----a-w- c:\program files\Ask.com\Updater\Updater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AshSnap]
2010-03-19 22:24 1167360 ----a-w- c:\program files\Medion MediaPack\Ashampoo Snap\ashsnap.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2011-08-04 12:34 1955208 ----a-w- c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-11-10 00:54 4240760 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2009-06-17 11:44 85160 ----a-w- c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
2010-01-22 21:13 129584 ----a-w- c:\program files\VMware\VMware Workstation\vmware-tray.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-06-28 2151640]
R3 dc3d;Microsoft-Hardware – Geräteerkennungstreiber;c:\windows\system32\DRIVERS\dc3d.sys [2010-07-01 44432]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2010-03-04 67624]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2010-05-24 193056]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
R3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [2002-11-25 16896]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-11-06 1343400]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-12-03 64288]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-07-26 19656]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-03-21 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-30 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2011-08-04 1361288]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2010-07-27 1620584]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-04-23 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-05-10 2320920]
S2 vmci;VMware vmci;c:\windows\system32\Drivers\vmci.sys [2010-01-22 70704]
S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-01-22 563760]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 132480]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-06-21 246272]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-04-27 64904]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-04-27 146568]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-03-02 1006624]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-04-23 550760]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-04-23 195944]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-04-23 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-04-23 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-23 209768]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-23 118560]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://medion.msn.com
IE: Free YouTube to MP3 Converter - c:\users\Can\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll
FF - ProfilePath - c:\users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-BsScanner
MSConfigStartUp-avupdate - c:\users\Can\AppData\Roaming\jashla.exe
MSConfigStartUp-DivX Download Manager - c:\program files\DivX\DivX Plus Web Player\DDmService.exe
MSConfigStartUp-DivXUpdate - c:\program files\DivX\DivX Update\DivXUpdate.exe
MSConfigStartUp-Fjuduzixuqot - c:\users\Can\AppData\Local\mapuaus.dll
MSConfigStartUp-ManyCam - c:\program files\ManyCam\Bin\ManyCam.exe
MSConfigStartUp-xawxg43 - c:\users\Can\AppData\Roaming\xawxg43.exe
MSConfigStartUp-Xxohiz - c:\users\Can\AppData\Local\axuziyequkive.dll
MSConfigStartUp-{F55E66B2-64AA-41E1-A054-BCA0F2618CC0} - c:\users\Can\AppData\Roaming\Xouha\onni.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-4196186309-1099370238-293027307-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-4196186309-1099370238-293027307-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-08-09 18:12:21
ComboFix-quarantined-files.txt 2011-08-09 16:12
.
Vor Suchlauf: 7 Verzeichnis(se), 288.428.969.984 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 288.321.646.592 Bytes frei
.
- - End Of File - - B5F5FB9115010342C5488FA7156613FF
|
|
09.08.2011, 22:58
| #6 |
| /// Malwareteam | BKA TrojanerESET Online Scanner
|
|
10.08.2011, 17:07
| #7 |
| | BKA TrojanerCode:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=9621967855244a438ed731097583e5e4
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-10 03:55:59
# local_time=2011-08-10 05:55:59 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 316992 49519873 123787 0
# compatibility_mode=5893 16776573 100 94 80355 64614208 0 0
# compatibility_mode=8192 67108863 100 0 129 129 0 0
# scanned=292508
# found=3
# cleaned=0
# scan_time=8742
C:\Users\Can\Desktop\Festplatte\My Book\Eigene Dateien\Setup Dateien\Setup19_FreeConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Can\Desktop\Festplatte\My Book\Eigene Dateien\Spiele\Sims 3\rzr-sim3.www.elitecrackers.com\rzr-sim3.iso probably a variant of Win32/Hupigon.CJKIBCX trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\08092011_172134\C_Users\Can\AppData\Roaming\jashla.exe a variant of Win32/Injector.ILV trojan (unable to clean) 00000000000000000000000000000000 I
|
|
10.08.2011, 17:57
| #8 |
| /// Malwareteam | BKA Trojaner Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zum Neu aufsetzten |
|
10.08.2011, 21:27
| #9 |
| | BKA Trojaner Falls du Sims 3 meinst, das befindet sich schon seit fast einem halben Jahr in der Quarantäne.. Was muss ich denn noch machen damit der Laptop wieder sauber ist? Jashla.exe scheint ja immernoch zu existieren.. |
|
10.08.2011, 21:29
| #10 | |
| /// Malwareteam | BKA TrojanerZitat:
 Die bereinigne wir am Schluss.Bestehen dann noch Probleme? |
|
10.08.2011, 21:33
| #11 |
| | BKA Trojaner Ich gehe davon aus, dass ich die "Moved Files" nicht einfach löschen kann oder? Wie gehe ich denn weiter vor? |
|
10.08.2011, 21:36
| #12 | |
| /// Malwareteam | BKA Trojaner Ich hab doch geschrieben dass wir das am Schluss noch machen!! Und dann habe ich folgendes geschrieben: Zitat:
|
|
10.08.2011, 21:40
| #13 |
| | BKA Trojaner Tut mir Leid, das habe ich missverstanden. Es sind keine Probleme mehr aufgetreten. |
|
10.08.2011, 21:43
| #14 |
| /// Malwareteam | BKA Trojaner Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall
 Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt 2 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 3 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 4 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 5 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
|
10.08.2011, 22:37
| #15 |
| | BKA Trojaner Alles bestens! Vielen Dank! |
|
| Themen zu BKA Trojaner |
| andere, anderen, beiträge, bereits, bka trojaner, bka trojaner bundeskriminalamt, dateien, laptop, quick, sauber, scan, system, troja, trojane, trojaner |
Textbox.
Linear-Darstellung
