Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Log-Analyse und Auswertung: gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 16.10.2006, 23:24   #16
fuchsi
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Teil 2:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.



10/17/06 00:11:21 [Info]: BlackLight Engine 1.0.47 initialized
10/17/06 00:11:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/17/06 00:11:21 [Note]: 7019 4
10/17/06 00:11:21 [Note]: 7005 0
10/17/06 00:11:23 [Note]: 7006 0
10/17/06 00:11:23 [Note]: 7011 1728
10/17/06 00:11:23 [Note]: 7026 0
10/17/06 00:11:24 [Note]: 7026 0
10/17/06 00:11:30 [Note]: FSRAW library version 1.7.1020
10/17/06 00:15:51 [Note]: 2000 1012
10/17/06 00:16:02 [Note]: 7007 0


"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"RegClean Expert Scheduler" = ""C:\Programme\Registry Clean Expert\RCHelper.exe" /startup" ["iExpert Software"]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]
"CHotkey" = "mHotkey.exe" ["Creative"]
"CNYHKey" = "CNYHKey.exe" ["Creative"]
"StopHid" = "StopHid.exe" [null data]
"CreativeMouse " = "C:\Programme\Creative\Desktop Wireless\mouse_2k.exe" [empty string]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"OtbStart" = "C:\Programme\TelefonCD\OtbStart.EXE" ["Icon Informations-Systeme GmbH"]
"FLMOFFICE4DMOUSE" = "C:\Programme\Browser Mouse\mouse32a.exe" [empty string]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {HKLM...CLSID} = "CorelDRAW Shell Extension Component"
\InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{BF05BB6E-442C-428B-8025-82280B7BC26C}" = "Zen Micro Media Explorer"
-> {HKLM...CLSID} = "Zen Micro Media Explorer"
\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Micro\Zen Micro Media Explorer\CTJBNS2.dll" ["Creative Technology Ltd"]
"{46E22146-59C0-4136-9233-52E412E2B428}" = "EzCddax extension"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 9\ezcddax9.dll" [null data]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
EzCddax\(Default) = "{46E22146-59C0-4136-9233-52E412E2B428}"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 9\ezcddax9.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "E:\WINZIP\WZSHLSTB.DLL" [file not found]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmypics.scr" [MS]


Startup items in "Andreas" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart
"WISO Bewerbung 2007 Reminder" -> shortcut to: "C:\Programme\WISO\Bewerbung 2007\KCReminder.exe" [empty string]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Acrobat - Schnellstart" -> shortcut to: "C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe" [null data]
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
"VIA RAID TOOL" -> shortcut to: "C:\Programme\VIA\RAID\raid_tool.exe" ["VIA Technologies"]
"WinZip Quick Pick" -> shortcut to: "E:\WinZip\WZQKPICK.EXE" [file not found]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"XoftSpySE" -> launches: "C:\Programme\XoftSpySE\XoftSpy.exe -t" ["ParetoLogic"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\NetLimiter\nl_lsp.dll [null data], 01 - 05, 17
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
hpzsnt12\Driver = "hpzsnt12.dll" ["HP"]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 48 seconds, including 6 seconds for message boxes)

und weiter??
grüsse fuchsi

Alt 16.10.2006, 23:46   #17
ordell1234
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Die logs sehen gut aus, zumindest kann ich nichts Auffälliges mehr finden. Deinstalliere Avast oder Antivir. 2 AVP sind eins zuviel, und es nützt ja doch nix . Wenn schon zwei scanner, nutze als zweiten einen on-demand-scanner wie escan (siehe faq).
Lade den CCleaner und reinige dein System, alle Häkchen setzen. Scanne dein System online bei Kaspersky (funktioniert nur mit dem Internet Explorer) und poste das log. Berichte, ob deine Software, zB Spybot SD, wieder funktioniert und wo ggf. noch der Schuh drückt. Systemwiederherstellung kannst du wieder aktivieren. Gute Nacht
__________________
Alt 17.10.2006, 12:25   #18
fuchsi
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


schönen tag orwell1234,

spybot se, adaware, antiVir, usw. funktionieren wieder, du bist spitze *grosslob* sonst sind mir keine softwareprobs bekannt *freu*


ccleaner habe ich durchlaufen lassen

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 17. Oktober 2006 13:05:41
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 17/10/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 218998


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
F:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 180032
Viren gefunden 2
Infizierte Objekte gefunden 1 / 0
Verdächtige Objekte gefunden 13
Untersuchungszeit 03:25:52

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\Andreas\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\hpodvd09.log Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Perflib_Perfdata_968.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Perflib_Perfdata_ba4.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Perflib_Perfdata_df0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006101720061018\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\ntuser.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Andreas\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen

C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen

C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen

C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{00BB0586-9738-44D7-A827-088212D44DAE}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_778.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

D:\data Infizierte Objekte: Trojan-Downloader.Win32.IstBar.nh übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\055c82127854be37e613f62b5f615142_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\12ec50963b33a8d8eee5938b04043526_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\14746abdb30713dd51cc4320bca499f8_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1b9cefd072283b81f5c7a6c5b4de998f_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\2189280eaa44c54791fd6010e85423d7_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\4cfe31adff9cab9f8f4510a58ad40455_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\62fe016ce658873e1f4cb2356af68d5c_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6f35a418a617647a399f41cd402d3e5e_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\878b086b6ae0534f3a099e858f25aaba_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\8d9bb84d7220549ea9e1d2288c6a14b6_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b325079c5289cfed640fb98215849a4a_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\be13d24a33490f76365278d0d345838d_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c6142dd98eb025a4ed1e9d19fcfde335_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\dada42bbb1a9090ee191da9eb9327bfe_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f72b79d49ef2a06468f0fb4b6df12feb_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f919f1a6cf1812ddf70a0cf5aa8ff047_1cddb525-28fa-4e6f-ae2e-367f5892d578 Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED/[From xxx@gmx.at][Date Sat, 27 Mar 2004 17:03:05 +0100]/UNNAMED/html Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED/[From xxx@gmx.at][Date Sat, 27 Mar 2004 17:03:05 +0100]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED/[From xxxx@gmx.at][Date Sat, 27 Mar 2004 17:03:05 +0100]/UNNAMED/html Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED/[From xxx@gmx.at][Date Sat, 27 Mar 2004 17:03:05 +0100]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From MAILER-DAEMON@slave3.runit.no (Mail Delivery System)][Date Sat, 27 Mar 2004 16:58:55 +0100 (CET)]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postmaster@viaginterkom.de][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED/UNNAMED/[From xxx@gmx.at][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED/html Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postmaster@viaginterkom.de][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED/UNNAMED/[From xxx@gmx.at][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postmaster@viaginterkom.de][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From Postmaster@viaginterkom.de][Date Sat, 10 Apr 2004 10:02:25 +0200]/UNNAMED Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload übersprungen

D:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Identities\{2901831B-4D7B-4A3E-BC5F-6B6698ED9ED4}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Mail MS Outlook 5: verdächtig - 12 übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB824141$\user32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB824141$\win32k.sys Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\ndis.sys Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\netshell.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB826942$\xpsp2res.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828028$\msasn1.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\catsrv.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\colbact.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\comadmin.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\comrepl.exe Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\comuid.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\es.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\migregdb.exe Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\ole32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\rpcss.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB828741$\txflog.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\dao360.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msexcl40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msjet40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msjetol1.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msjetoledb40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msjtes40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\mspbde40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msrepl40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\mstext40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB829558$\msxbde40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB833330$\Blastcln\blastcln.exe Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB833407$\bssym7.ttf Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB833998$\shell32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB833998$\sxs.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\callcont.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\h323.tsp Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\helpctr.exe Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\msgina.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\mst120.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\netapi32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\schannel.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB835732$\xpsp2res.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\dao360.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\msexcl40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\msjet40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\msjetol1.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\msjetoledb40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB837001$\msjtes40.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB839645$\shell32.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB839645$\sxs.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallKB839645$\xpsp2res.dll Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen

D:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

grüsse
fuchsi
__________________
Geändert von Shadow (18.10.2006 um 12:29 Uhr)

Alt 17.10.2006, 14:26   #19
ordell1234
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Hi,

C:\ sieht gut aus. Aber was ist D:\Windows? Eine parallele Installation von Win2000? Und was ist D:\data? Ein Ordner oder eine Datei? Falls Datei, prüfe sie bei virustotal.

Lösche den Papierkorb von Outlook Express auf D:\. Ich benutze keinen e-mail-clienten, habe aber gehört, dass Outlook Express in Punkto Sicherheit nicht das Gelbe vom Ei ist. Vielleicht schaust du dich nach Alternativen um, zB Outlook von MS Office oder Thunderbird.

Du bist mir noch den Inhalt der C:\Autoexec.bat schuldig. (mit dem Editor öffnen). Wird nix wildes sein, hätte es trotzdem gern gewußt.

Und frag mal freundlich bei Shadow per PN nach, ob er dir die persönlichen Informationen (Stichwort e-mail-Adresse) deines letzten Postings editiert. Gruß

Alt 17.10.2006, 20:14   #20
fuchsi
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


hallo ordell1234,

windows xp wurde nachträglich ein zweites mal aufgesetzt, da der windowsteil der D:\ einmal duch überhitzung zerstört wurde

D:\data habe ich prüfen lassen

STATUS: SCANNINGFile "data" received on 10.17.2006 at 19:33:25 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.2.0.30 10.17.2006 no virus found
Authentium 4.93.8 10.16.2006 no virus found
Avast 4.7.892.0 10.17.2006 no virus found
AVG 386 10.17.2006 no virus found
BitDefender 7.2 10.17.2006 no virus found
CAT-QuickHeal 8.00 10.17.2006 no virus found
ClamAV devel-20060426 10.17.2006 no virus found
eTrust-InoculateIT 23.73.24 10.17.2006 no virus found
eTrust-Vet 30.3.3139 10.17.2006 no virus found
DrWeb 4.33 10.17.2006 no virus found
Ewido 4.0 10.17.2006 Downloader.IstBar.nh
Fortinet 2.82.0.0 10.17.2006 W32/Istbar.NH!tr
F-Prot 3.16f 10.16.2006 no virus found
F-Prot4 4.2.1.29 10.17.2006 no virus found
Ikarus 0.2.65.0 10.17.2006 no virus found


Aditional Information
File size: 3499 bytes
MD5: bb8ba1acacb123b6362cfa3bbae545bd
SHA1: 0124e2ea1d3f6e2bed63be53f3e03febce586f12


outlook express habe ich noch nie verwendet (immer ms outlook) und der papierkorb ist meines erachtens auch leer?? habe die datei Gelöschte Objekte.dbx einfach gelöscht (ich hoffe das war ok?)

C:\Autoexec.bat :
PATH=%PATH%;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625

die auswertung von shadow reiche ich nach

grüsse
fuchsi


Alt 18.10.2006, 03:46   #21
ordell1234
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Die Auswertung von virustotal bricht bei "I" ab. Komisch. Egal. Schmerzt es, wenn du die Partition bzw. Festplatte D:\ einfach platt machst? Wäre in meinen Augen am einfachsten, das Ding zu formatieren.

Autoexec.bat: Ja, da kann ich nur rätseln. Ich bin aus dem Inhalt nicht schlau geworden; lösche den Eintrag in der autoexec.bat mit dem Editor. Suche bitte C:\Programme\Gemeinsame Dateien\muveet* und poste den Inhalt des Ordners.

Alt 18.10.2006, 12:32   #22
Shadow
/// Mr. Schatten
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Zitat:
Zitat von ordell1234
Und frag mal freundlich bei Shadow per PN nach, ob er dir die persönlichen Informationen (Stichwort e-mail-Adresse) deines letzten Postings editiert. Gruß
Er hat freundlich gefragt hoffentlich habe ich alle persönlichen E-Mail-Adressen erwischt.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-
Alt 18.10.2006, 16:17   #23
ordell1234
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Danke Shadow, auch wenns nicht meine Infos waren.

Alt 18.10.2006, 16:58   #24
fuchsi
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


hy ordell 1234,

schmerzt schon die D:\ zu formatiern -> sind 98 gb drauf ;-(( und für mich wieder ein neues erlebnis (ächtz)

Autoexec.bat - den eintrag habe ich gelöscht

C:\Programme\Gemeinsame Dateien\muveet* ist für mich nicht zu finden ??
kann das sein?

hoffe ich habe shadow nicht verstimmt :-)

Alt 18.10.2006, 17:37   #25
ordell1234
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


Hallo fuchsi,

ich denke, es besteht kein Problem mit "muveet", deine logs waren sauber, die Dateien sind nicht vorhanden. So weit so gut.

Wie gesagt, eine Bereinigung bleibt zweifelhaft. An deiner Stelle würde ich sämtliche Passwörter/Zugangsdaten, die du im Netz verwendest, ändern. Kann sein, dass während der Zeit der Umleitung sowas ausgelesen wurde. Sollten in nächster Zeit wieder Umleitungen auftreten, setze Windows neu auf. Alles andere bringt nichts.

Zu D:\
Sofern du die WinXP-Installation nicht mehr nutzt, solltest du Ordnung auf D:\ schaffen. Lösche den Windows-Ordner und alle veralteten Programmdateien. Durchforste die Konten von "Dokumente und Einstellungen" nach Dateien, die du noch benötigst, zB "Eigene Dateien" und lösche alles übrige, insb. D:\Data, falls nicht schon geschehen. Scanne dein System abschließend mit ewido und poste das log.

Falls das Win XP auf D:\ noch aktiv ist, dann scanne nach dem Hochfahren das System mit ewido, eröffne im Board einen eigenen Thread, poste ein HJT-log von D:\ sowie das log von Ewido. Gruß

Zitat fuchsi
Zitat:
hoffe ich habe shadow nicht verstimmt :-)
Nicht, wenn du nett warst, und das warste ja offenbar
Geändert von ordell1234 (18.10.2006 um 17:46 Uhr)

Alt 19.10.2006, 16:05   #26
fuchsi
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


hallo ordell1234,

habe mir auch deine letzten anweisungen zu herzen genommen und kann bis jetzt keine probleme mehr erkennen - mein pc fährt wieder wie eine höllenmachine
hast mir unwahrscheinlích geholfen und viel geduld bewiesen, vielen , vielen danke ordell1234 - was würden wir tun ohne euch in diesem forum hier? ;-)

herzlichen dank nocheinmal
fuchsi

Alt 08.07.2007, 23:31   #27
mcflyer
 
gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Standard

gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


DICKES FETTES LOB AN EUCH WIE IHR DAS PROBLEM DURCHGEKAUT UND ZUM ERFOLG GEBRACHT HABT

Hatte ungefähr das gleiche Problem,aber mit nem läßtigen "maxfiles.com" Virus.Somit hab ich diesen thread hier sofgfälltig verfolgt,bin bei Punkt "Killbox" eingestiegen und mein Problem,was ich nun seit Tagen mit mir rumschleppe ist gelöst.

Dafür schönen Dank nochmal an ordell1234:aplaus:

Gruß
mcflyer

Antwort
Seite 2 von 2 1 2

Themen zu gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten
ad-aware, adobe, als startseite, antivir, antivirus, avast!, avira, bho, browser, computer, desktop, einstellungen, excel, falsche seite, hijack, hijackthis, hängen, internet, internet explorer, konvertieren, norman, pdf-datei, problem, regclean, registry, scan, software, system, windows, windows xp, wiso


« Bitte um Durchsicht meines Log-Files | Bitte um Hilfe ... »


Ähnliche Themen: gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten


  1. Umleitung auf gefakte Seiten
    Plagegeister aller Art und deren Bekämpfung - 11.10.2015 (12)
  2. Umleitung auf falsche Seiten bei Google-Suchergebnissen
    Plagegeister aller Art und deren Bekämpfung - 31.12.2012 (23)
  3. Google, Umleitung auf unerwünschte Seiten
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (18)
  4. ASK Toolbar, bzw. Umleitung von google auf ASK
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (26)
  5. Bei Klicken auf Google Ergebnisse Umleitung auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 10.11.2012 (9)
  6. Umleitung auf falsche Seiten (nicht auf Google, sondern überall)
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (3)
  7. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  8. Falsche Umleitung bei Google
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (11)
  9. Nach Facebook-Link Umleitung von Google-Ergebnissen + Mozilla Toolbar mit Sexanzeigen...
    Log-Analyse und Auswertung - 09.01.2012 (7)
  10. Falsche Internetseitenverlinkung/Umleitung durch google
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (19)
  11. Keine Updates/ Google öffnet falsche Seiten/ Virussoftware updated nicht mehr
    Log-Analyse und Auswertung - 22.05.2010 (1)
  12. Google verlinkt auf falsche Seiten (auch p****seiten)T_T
    Plagegeister aller Art und deren Bekämpfung - 22.05.2009 (2)
  13. Umleitung auf fremde Seiten bei Google
    Log-Analyse und Auswertung - 06.05.2009 (17)
  14. Falsche Seiten bei Google; Keine Updates für Virenprogramme
    Log-Analyse und Auswertung - 14.12.2008 (6)
  15. Falsche Seiten bei Google; Keine Updates für Virenprogramme
    Mülltonne - 14.12.2008 (0)
  16. Ungewollte Umleitung von Google auf andere Seiten
    Log-Analyse und Auswertung - 20.09.2008 (1)
  17. GOOGLE-Ergebnislisten - Umleitung zu unerwünschten Seiten
    Log-Analyse und Auswertung - 10.10.2006 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten - Teil 2: Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM ... PLEASE NOTE, There - gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten...
Archiv
Du betrachtest: gefakte google-toolbar - keine zugriff auf datei - umleitung auf falsche seiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55