Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Kazy.mekml.1

TR/Kazy.mekml.1


Log-Analyse und Auswertung: TR/Kazy.mekml.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 07.05.2011, 15:38   #1
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Thema: trikazy.mekml.1

Hallo,
gemäß meiner google-Suche habe ich den Trojaner trikazy.mekml.1
eingefangen. Ich habe das Programm OTL im abgesicherten Modus gestartet, folgenden log-File erhalten und bitte um Angaben zum weiteren Vorgehen (Bin leider ziemlicher Computerlaie). Vielen Dank!!!OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 07.05.2011 16:01:16 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = F:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 794,00 Mb Available Physical Memory | 78,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 96,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 58,51 Gb Free Space | 78,51% Space Free | Partition Type: NTFS
Drive F: | 955,73 Mb Total Space | 875,41 Mb Free Space | 91,60% Space Free | Partition Type: FAT
 
Computer Name: CGWS10 | User Name: PRAXIS | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - F:\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - F:\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Sophos AutoUpdate Service) -- C:\Programme\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc)
SRV - (swi_service) -- C:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc)
SRV - (SAVService) -- C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc)
SRV - (SAVAdminService) -- C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc)
SRV - (Sophos Message Router) -- C:\Programme\Sophos\Remote Management System\RouterNT.exe (Sophos Plc)
SRV - (Sophos Agent) -- C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe (Sophos Plc)
SRV - (EpsonPOSPort) -- C:\Programme\EPSON\EPSON Advanced Printer Driver 4\EpsonPH.exe (SEIKO EPSON CORPORATION)
SRV - (EpsonPOSLog) -- C:\Programme\EPSON\EPSON Advanced Printer Driver 4\EpsonPHLog.exe (SEIKO EPSON CORPORATION)
SRV - (SR_Watchdog) -- C:\Programme\CheckPoint\SecuRemote\bin\SR_Watchdog.exe (Check Point Software Technologies)
SRV - (SR_Service) -- C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe (Check Point Software Technologies)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SAVOnAccessFilter) -- C:\WINDOWS\system32\drivers\savonaccessfilter.sys (Sophos Plc)
DRV - (SAVOnAccessControl) -- C:\WINDOWS\system32\drivers\savonaccesscontrol.sys (Sophos Plc)
DRV - (SophosBootDriver) -- C:\WINDOWS\system32\drivers\SophosBootDriver.sys (Sophos Plc)
DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (TMUSB) -- C:\WINDOWS\system32\drivers\TMUSBXP.sys (SEIKO EPSON Corp.)
DRV - (Uim_IM) -- C:\WINDOWS\system32\drivers\Uim_IM.sys (Paragon)
DRV - (hotcore3) -- C:\WINDOWS\system32\drivers\hotcore3.sys (Paragon Software Group)
DRV - (UimBus) -- C:\WINDOWS\system32\drivers\UimBus.sys (Windows (R) 2000 DDK provider)
DRV - (CP_OMDRV) -- C:\WINDOWS\system32\drivers\omdrv.sys (Check Point Software Technologies)
DRV - (FW1) -- C:\WINDOWS\system32\drivers\fw.sys (Check Point Software Technologies)
DRV - (VNASC) -- C:\WINDOWS\system32\drivers\vnasc.sys (Check Point Software Technologies)
DRV - (VPN-1) -- C:\WINDOWS\System32\drivers\vpn.sys (Check Point Software Technologies)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (NETFRITZ) -- C:\WINDOWS\system32\drivers\NETFRITZ.SYS (AVM Berlin)
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM Berlin)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
DRV - (AVMPORT) -- C:\WINDOWS\System32\drivers\avmport.sys (AVM Berlin)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://drpalm.mixxt.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Sophos Web Content Scanner) - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll (Sophos Plc)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [PfuSsSct.exe] C:\Programme\PFU\ScanSnap\PfuSsSct.exe (PFU LIMITED)
O4 - HKLM..\Run: [SimpleScreenshot] C:\Programme\SSS\SimpleScreenshot.exe (Mirko Böer)
O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] C:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Plc)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [EPSON B-510DN] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFKE.EXE (SEIKO EPSON CORPORATION)
O4 - HKCU..\Run: [IxRUyJtqHF] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe (QNP)
O4 - HKCU..\Run: [Philips Intelligent Agent] File not found
O4 - Startup: C:\Dokumente und Einstellungen\PRAXIS\Startmenü\Programme\Autostart\logon.bat.lnk = C:\logon.bat ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll (Google Inc.)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL) - C:\Programme\Sophos\Sophos Anti-Virus\sophos_detoured.dll (Sophos Plc)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\ckpNotify: DllName - ckpNotify.dll - C:\WINDOWS\System32\ckpNotify.dll (Check Point Software Technologies)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\PRAXIS\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\PRAXIS\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.08.22 08:13:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.07 15:23:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\PRAXIS\Recent
[2011.05.07 14:19:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\PRAXIS\Startmenü\Programme\Windows Recovery
[2011.05.07 14:09:45 | 000,510,464 | ---- | C] (QNP) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe
[2011.04.16 13:38:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\PRAXIS\Eigene Dateien\USBPCIProductDetail-Dateien
[2011.04.13 10:21:55 | 000,000,000 | ---D | C] -- C:\32993a3d1c68ddc7aac31a
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.07 15:26:30 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.07 15:26:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.07 15:24:08 | 000,000,224 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140
[2011.05.07 15:24:08 | 000,000,136 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140r
[2011.05.07 15:23:34 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.05.07 15:15:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.05.07 14:49:13 | 000,000,392 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140
[2011.05.07 14:22:37 | 000,002,916 | ---- | M] () -- C:\WINDOWS\COKOM.INI
[2011.05.07 14:19:12 | 000,000,823 | -H-- | M] () -- C:\Dokumente und Einstellungen\PRAXIS\Desktop\Windows Recovery.lnk
[2011.05.07 14:19:01 | 000,438,784 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140.exe
[2011.05.07 14:09:59 | 000,116,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\78925.sys
[2011.05.07 14:09:43 | 000,510,464 | ---- | M] (QNP) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe
[2011.05.05 14:57:04 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.04.28 14:02:51 | 000,000,118 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.16 13:41:13 | 000,150,636 | -H-- | M] () -- C:\Dokumente und Einstellungen\PRAXIS\Eigene Dateien\USBPCIProductDetail.pdf
[2011.04.16 13:38:52 | 000,736,290 | -H-- | M] () -- C:\Dokumente und Einstellungen\PRAXIS\Eigene Dateien\USBPCIProductDetail.html
[2011.04.13 13:34:40 | 000,175,464 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.13 13:03:24 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.07 14:19:15 | 000,000,224 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140
[2011.05.07 14:19:15 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140r
[2011.05.07 14:19:12 | 000,000,823 | -H-- | C] () -- C:\Dokumente und Einstellungen\PRAXIS\Desktop\Windows Recovery.lnk
[2011.05.07 14:19:03 | 000,000,392 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140
[2011.05.07 14:19:01 | 000,438,784 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140.exe
[2011.05.07 14:09:59 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\drivers\78925.sys
[2011.04.28 14:02:51 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.16 13:40:43 | 000,150,636 | -H-- | C] () -- C:\Dokumente und Einstellungen\PRAXIS\Eigene Dateien\USBPCIProductDetail.pdf
[2011.04.16 13:38:51 | 000,736,290 | -H-- | C] () -- C:\Dokumente und Einstellungen\PRAXIS\Eigene Dateien\USBPCIProductDetail.html
[2011.02.10 23:28:33 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.07.28 17:35:16 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.30 13:21:27 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\wklnhst.dat
[2008.02.08 12:48:09 | 000,090,112 | ---- | C] () -- C:\WINDOWS\SC_UNSET.EXE
[2008.02.08 12:47:01 | 000,000,701 | ---- | C] () -- C:\WINDOWS\labor.ini
[2008.02.08 11:10:03 | 000,086,016 | ---- | C] () -- C:\WINDOWS\WT_UNSET.EXE
[2007.11.17 18:44:38 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.11.06 14:08:37 | 000,005,632 | -H-- | C] () -- C:\Dokumente und Einstellungen\PRAXIS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.10.24 14:25:01 | 000,011,568 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys
[2007.10.24 14:24:59 | 004,244,744 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll
[2007.10.24 14:24:59 | 000,247,560 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll
[2007.10.24 14:24:59 | 000,013,576 | ---- | C] () -- C:\WINDOWS\System32\wnaspi32.dll
[2007.10.18 12:26:17 | 000,002,516 | ---- | C] () -- C:\WINDOWS\System32\drivers\default.bin
[2007.10.18 12:26:17 | 000,002,516 | ---- | C] () -- C:\WINDOWS\System32\default.bin
[2007.10.18 12:20:10 | 000,000,967 | ---- | C] () -- C:\WINDOWS\WINCMD.INI
[2007.09.05 09:55:59 | 000,000,776 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.09.05 09:55:37 | 000,178,944 | ---- | C] () -- C:\WINDOWS\System32\Tiff.dll
[2007.09.05 09:55:37 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\Blicefax.drv
[2007.09.05 09:55:37 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[2007.09.05 09:55:33 | 000,311,296 | ---- | C] () -- C:\WINDOWS\System32\ldf250.dll
[2007.09.05 09:55:33 | 000,099,552 | ---- | C] () -- C:\WINDOWS\System32\ftdv003w.dll
[2007.09.05 09:55:33 | 000,007,632 | ---- | C] () -- C:\WINDOWS\System32\ftuv003w.dll
[2007.09.05 09:55:33 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\fteh006w.dll
[2007.09.05 09:55:33 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\fteh006n.dll
[2007.09.05 09:27:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\FULINST.INI
[2007.08.29 16:57:39 | 000,000,161 | ---- | C] () -- C:\WINDOWS\DISPARAM.INI
[2007.08.29 16:52:23 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\imhost8.dll
[2007.08.29 12:06:43 | 000,002,916 | ---- | C] () -- C:\WINDOWS\COKOM.INI
[2007.08.29 12:06:43 | 000,001,940 | ---- | C] () -- C:\WINDOWS\WLATTERM.INI
[2007.08.22 08:57:11 | 000,004,566 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.08.22 08:56:11 | 000,175,464 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.08.22 08:56:01 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\aga.dll
[2007.08.22 08:56:00 | 000,080,384 | ---- | C] () -- C:\WINDOWS\System32\cctrl.dll
[2007.08.22 08:56:00 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\ispktdrv.dll
[2007.08.22 08:55:59 | 000,043,916 | ---- | C] () -- C:\WINDOWS\System32\vmutil.dll
[2007.08.22 08:55:59 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\zolegate.dll
[2007.08.22 08:55:59 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\cmvism32.dll
[2007.08.22 08:55:59 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\nti.dll
[2007.08.22 08:55:58 | 000,250,368 | ---- | C] () -- C:\WINDOWS\utilityl.dll
[2007.08.22 08:55:57 | 000,173,897 | ---- | C] () -- C:\WINDOWS\cdesktop.exe
[2007.08.22 08:55:57 | 000,000,075 | ---- | C] () -- C:\WINDOWS\openm.ini
[2007.08.22 08:19:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007.08.22 08:17:50 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2007.08.22 08:11:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.05.24 10:14:02 | 000,004,133 | ---- | C] () -- C:\WINDOWS\entrust.ini
[2007.05.24 10:13:48 | 000,106,584 | ---- | C] () -- C:\WINDOWS\System32\fwnetcfg.dll
[2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2003.07.30 11:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003.07.30 11:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.04.02 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003.04.02 14:00:00 | 000,391,000 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003.04.02 14:00:00 | 000,380,350 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003.04.02 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003.04.02 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003.04.02 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003.04.02 14:00:00 | 000,063,580 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003.04.02 14:00:00 | 000,052,764 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003.04.02 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003.04.02 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003.04.02 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003.04.02 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003.04.02 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2007.10.20 20:42:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2011.03.03 13:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Epson
[2008.02.08 11:08:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2007.12.06 22:06:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2007.12.06 22:03:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Philips Intelligent Agent
[2011.01.12 15:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2011.01.12 15:17:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
[2008.02.11 13:19:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\FRITZ!
[2007.08.29 17:03:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\Fujitsu
[2007.08.29 17:01:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\PFU
[2009.10.21 08:25:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\TeamViewer
[2008.04.30 13:21:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\PRAXIS\Anwendungsdaten\Template
 
========== Purity Check ==========
 
 
 
< End of report >
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 07.05.2011 16:01:16 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = F:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 794,00 Mb Available Physical Memory | 78,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 96,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 58,51 Gb Free Space | 78,51% Space Free | Partition Type: NTFS
Drive F: | 955,73 Mb Total Space | 875,41 Mb Free Space | 91,60% Space Free | Partition Type: FAT
 
Computer Name: CGWS10 | User Name: PRAXIS | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"" = 
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe:*:Enabled:VPN-1 SecuRemote/SecureClient service -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe:*:Enabled:VPN-1 SecuRemote/SecureClient application -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\scc.exe" = C:\Programme\CheckPoint\SecuRemote\bin\scc.exe:*:Enabled:VPN-1 SecuRemote/SecureClient command line -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.exe:*:Enabled:VPN-1 SecuRemote/SecureClient SDS agent -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_Diagnostics.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_Diagnostics.exe:*:Enabled:VPN-1 SecuRemote/SecureClient diagnostics -- (Check Point Software Technologies)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe:*:Enabled:VPN-1 SecuRemote/SecureClient service -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe:*:Enabled:VPN-1 SecuRemote/SecureClient application -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\scc.exe" = C:\Programme\CheckPoint\SecuRemote\bin\scc.exe:*:Enabled:VPN-1 SecuRemote/SecureClient command line -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_SDS.exe:*:Enabled:VPN-1 SecuRemote/SecureClient SDS agent -- (Check Point Software Technologies)
"C:\Programme\CheckPoint\SecuRemote\bin\SR_Diagnostics.exe" = C:\Programme\CheckPoint\SecuRemote\bin\SR_Diagnostics.exe:*:Enabled:VPN-1 SecuRemote/SecureClient diagnostics -- (Check Point Software Technologies)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{057f6911-35fd-4c8d-883f-11b8814480c9}" = Check Point VPN-1 SecuRemote/SecureClient NGX R60 HFA2
"{11FF6AF6-0141-4EF8-829A-989459A1E5D8}" = EPSON Advanced Printer Driver 4
"{15C418EB-7675-42be-B2B3-281952DA014D}" = Sophos AutoUpdate
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5F9662B9-ED3F-4F02-9DEE-EFA1F95F629F}" = Paragon Drive Backup 8.0 Special Edition
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7148F0A8-6813-11D6-A77B-00B0D0142010}" = Java 2 Runtime Environment, SE v1.4.2_01
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{901B0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word 2003
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{9ACB414D-9347-40B6-A453-5EFB2DB59DFA}" = Sophos Anti-Virus
"{9EE4D7C9-2DCD-42C0-8AF7-CC5F9D7A1031}" = Nero 7 Essentials
"{A87B11AC-4344-4E5D-8B12-8F471A87DAD9}" = LightScribe 1.4.136.1
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-1033-F400-BA7E-100000000002}" = Adobe Acrobat 7.0 Standard - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-000000000001}" = Adobe Reader 6.0 - Deutsch
"{CA4D84DA-BA97-45FD-9939-A15583E8E864}" = FireBird Client
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{D4F2AFD3-0167-4464-B92F-78AB6DA8A0AA}" = CardMinder V3.0
"{DBCDB997-EEEB-4BE9-BAFF-26B4094DBDE6}" = ScanSnap Manager
"{E58F3B88-3B3E-4F85-9323-04789D979C15}" = ScanSnap Organizer
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FED1005D-CBC8-45D5-A288-FFC7BB304121}" = Sophos Remote Management System
"Adobe Acrobat 7.0 Standard - EFG - V" = Adobe Acrobat 7.1.0 Standard - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Avantgarde 3.0" = Avantgarde 3.0
"CoKom Terminplanung " = CoKom Terminplanung
"ELOoffice" = ELOoffice
"EPSON B-510DN" = EPSON B-510DN Printer Uninstall
"Firebird ODBC Driver_is1" = Firebird ODBC Driver 1.2.0.69
"FRITZ! 2.0" = AVM FRITZ!
"Google Chrome" = Google Chrome
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Philips Intelligent Agent_is1" = Philips Intelligent Agent
"ShamCom" = ShamCom Terminal
"SimpleScreenshot" = SimpleScreenshot 1.30
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WINTEL" = WinTel
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 28.04.2011 04:03:22 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000001.
 
Error - 28.04.2011 07:20:13 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 28.04.2011 08:09:10 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 28.04.2011 13:56:55 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 29.04.2011 07:38:17 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 29.04.2011 07:39:39 | Computer Name = CGWS10 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Termin.exe, Version 10.3.0.4, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 29.04.2011 07:39:47 | Computer Name = CGWS10 | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -1873399691.
 
Error - 02.05.2011 08:07:17 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 03.05.2011 08:35:37 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 06.05.2011 07:15:58 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000001.
 
[ Application Events ]
Error - 28.04.2011 04:03:22 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000001.
 
Error - 28.04.2011 07:20:13 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 28.04.2011 08:09:10 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 28.04.2011 13:56:55 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 29.04.2011 07:38:17 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 29.04.2011 07:39:39 | Computer Name = CGWS10 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Termin.exe, Version 10.3.0.4, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 29.04.2011 07:39:47 | Computer Name = CGWS10 | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -1873399691.
 
Error - 02.05.2011 08:07:17 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 03.05.2011 08:35:37 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul sscalb32.ocx, Version 1.0.8.2, Fehleradresse 0x0001e7da.
 
Error - 06.05.2011 07:15:58 | Computer Name = CGWS10 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung termin.exe, Version 10.3.0.4, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000001.
 
[ System Events ]
Error - 04.05.2011 01:07:44 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: FW-1: last packet seen -3 seconds ago, assuming -->
 
Error - 04.05.2011 01:07:44 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: -->clock change.
 
Error - 04.05.2011 03:00:10 | Computer Name = CGWS10 | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{0BCA5230-065A-4F76-AB30-B3CC6FA9538D}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.
 
Error - 05.05.2011 01:05:00 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: C Sending reset dire
 
Error - 05.05.2011 01:05:31 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: FW-1: last packet seen -4 seconds ago, assuming -->
 
Error - 05.05.2011 01:05:31 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: -->clock change.
 
Error - 05.05.2011 04:19:38 | Computer Name = CGWS10 | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{0BCA5230-065A-4F76-AB30-B3CC6FA9538D}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.
 
Error - 07.05.2011 01:11:59 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: FW-1: last packet seen -3 seconds ago, assuming -->
 
Error - 07.05.2011 01:11:59 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: -->clock change.
 
Error - 07.05.2011 08:55:37 | Computer Name = CGWS10 | Source = FW1 | ID = 1
Description = FW1: C Sending reset dire
 
 
< End of report >
--- --- ---
Alt 07.05.2011, 15:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________
Alt 07.05.2011, 16:54   #3
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo,
vielen Dank für die Rückmeldung. Anbei alle logs aus Malwarebytes.
twiga
__________________
Alt 07.05.2011, 16:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Zitat:
Datenbank Version: 5363
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.05.2011, 17:18   #5
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
Danke! aktualisiert und anbei
twiga


Alt 07.05.2011, 17:20   #6
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
jetzt müsste es dabei sein. Danke!
twiga

Alt 07.05.2011, 17:49   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.05.2011, 18:25   #8
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
entschuldige bitte!!!!!!!!!!!!!
Anbei das Ergebnis eines vollständigen Suchlaufs!
Danke!!!!!!!!!!!
twiga

Alt 07.05.2011, 19:06   #9
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
darf ich für 2 bis 3 Stunden unterbrechen? Ich habe für heute abend noch ein Treffen vereinbart und melde mich danach wieder. Ganz herzliche Dank für die Unterstützung!!!
twiga

Alt 07.05.2011, 19:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [IxRUyJtqHF] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe (QNP)
[2011.05.07 14:09:45 | 000,510,464 | ---- | C] (QNP) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe
[2011.05.07 15:24:08 | 000,000,224 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140
[2011.05.07 15:24:08 | 000,000,136 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~20111140r
[2011.05.07 14:49:13 | 000,000,392 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140
[2011.05.07 14:19:12 | 000,000,823 | -H-- | M] () -- C:\Dokumente und Einstellungen\PRAXIS\Desktop\Windows Recovery.lnk
[2011.05.07 14:19:01 | 000,438,784 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\20111140.exe
[2011.05.07 14:09:59 | 000,116,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\78925.sys
[2011.05.07 14:09:43 | 000,510,464 | ---- | M] (QNP) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IxRUyJtqHF.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.05.2011, 23:00   #11
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
entschuldige die dummen Fragen, aber bevor es verkehrt läuft:
- Ich bin im "abgesicherten Mode", nachdem Windows nicht mehr normal zu starten war. Ist das o.k.?
- "Mach einen OTL-Fix": Heißt das, ich soll im OTL auf den "Fix"-Button klicken oder nochmals einen Scan laufen lassen?
- "Virenscanner deaktivieren": Ich denke, der ist im abgesicherten Modus ohnehin nicht aktiv???

VIELEN DANK!!!!!!!!!!!!!!!!!!!
Twiga

Alt 07.05.2011, 23:53   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Geht auch im abgesicherten Modus. Den Virenscanner zu deaktivieren ist nur eine allgemeine Vorsichtmaßnahme - denn: wir fixen bewusst schädliche Einträge und Dateien, Voraussetzung ist, dass ein Virenscanner dieses Vorhaben nicht auf einmal versehentlich torpediert.

Ich hoffe dir ist klar was du jetzt tun musst. Ansonsten zögere bitte nicht weitere Fragen zu stellen. Ich werd sie so schnell ich kann beantworten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.05.2011, 09:10   #13
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
hat super geklappt! Danke!!! Anbei das logfile nach dem Fix
Twiga

Alt 08.05.2011, 10:51   #14
twiga
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Hallo Arne,
ich habe jetzt nochmal im "normalen" Windows Modus gestartet und alles funktioniert. 1000 DANK!!!!!!!!!!!!!!!!!!!!!!
twiga

Alt 08.05.2011, 14:12   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 1 von 2 1 2

Themen zu TR/Kazy.mekml.1
.dll, 0x00000001, adobe, adobe flash player, bho, checkpoint, disabletaskmgr, einstellungen, error, explorer, festplatte beschädigt, flash player, format, google chrome, homepage, location, log-file, logfile, microsoft office word, monitor, object, oldtimer, pdf, plug-in, private daten sind in gefahr. ursache wohl: tr/kazy.mekml.1, programm, registry, router, rundll, scan, security, shell32.dll, shortcut, software, tcp, trojaner, udp, windows internet


« BKA-Trojaner | BKA-Trojaner/ PC-Absturz »


Ähnliche Themen: TR/Kazy.mekml.1


  1. TR/Kazy.mekml.1 ; 'TR/FakeSysdef.A.621 ; 'TR/Kazy.22847'..
    Log-Analyse und Auswertung - 15.05.2011 (33)
  2. TR/Kazy.mekml.1 - was tun?
    Plagegeister aller Art und deren Bekämpfung - 12.05.2011 (5)
  3. TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 06.05.2011 (1)
  4. Tr/kazy.mekml.1
    Log-Analyse und Auswertung - 03.05.2011 (13)
  5. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (2)
  6. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (37)
  7. TR/Kazy.mekml.1 - OTL Fix?
    Log-Analyse und Auswertung - 01.05.2011 (17)
  8. TR/Kazy.mekml.1 ... SOS
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (34)
  9. TR/kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (10)
  10. TR/kazy.mekml.1
    Mülltonne - 26.04.2011 (0)
  11. TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 26.04.2011 (1)
  12. Osterei: TR/Kazy.mekml.1 und TR/Kazy.20364
    Log-Analyse und Auswertung - 25.04.2011 (1)
  13. tr/kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 23.04.2011 (9)
  14. kazy.mekml.1
    Log-Analyse und Auswertung - 23.04.2011 (3)
  15. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (6)
  16. TR/kazy.mekml.1
    Log-Analyse und Auswertung - 20.04.2011 (16)
  17. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 18.04.2011 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Kazy.mekml.1 - Thema: trikazy.mekml.1 Hallo, gemäß meiner google-Suche habe ich den Trojaner trikazy.mekml.1 eingefangen. Ich habe das Programm OTL im abgesicherten Modus gestartet, folgenden log-File erhalten und bitte um Angaben zum weiteren - TR/Kazy.mekml.1...
Archiv
Du betrachtest: TR/Kazy.mekml.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55