Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Plagegeist im Ordner „Recycled“ auf "C" (https://www.trojaner-board.de/13608-plagegeist-ordner-recycled-c.html)

magnet 10.02.2005 20:36
Plagegeist im Ordner „Recycled“ auf "C"
 
Hallo zusammen, bin neu hier im forum und bitte um eure hilfe. Seit mitte dezember werde ich von einem plagegeist genervt. Auf dem laufwerk „C“ im ordner „Recycled“ hat sich eine datei mit dem namen „Info“ eingenistet. Sie aktualisiert sich jeden tag mit dem aktuellen tagesdatum sowie der uhrzeit und erzeugt weitere dateien wie „sp.html“ ; „DC1776.HTML“ selbsttätig, beide dateien stehen im zusammenhang mir der änderung meiner startseite in „aboutblank“. Weitere dateien mit den namen „Dc1989.dat“ und „Dc2276.txt“ werden ebenfalls erzeugt. Bei dem versuch die datei „Info“ zu löschen werden weitere Dateien „Dc.....“ mit sich steigender nummer erzeugt.
Die pogramme „Antivir“ und „Spybot - Search & Destroy“ habe sich als stumpfe waffen herausgestellt.

Hoffentlich könnt ihr mir helfen diesen plagegeits loszuwerden.

mfg euer Volkmar

chaosman 10.02.2005 21:04
@magnet
poste mal ein HJT logfile
download
anleitung
chaosman

magnet 10.02.2005 21:58
Hier der logfile, hatte probleme mit win zip, konnte daher nicht früher reagieren, hoffentlich kannst du mit diesen angaben etwas abfagen. Mir sagt das alles gar nichts.
mfg volkmar

Logfile of HijackThis v1.99.0
Scan saved at 21:48:34, on 10.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lookfor.cc?pin=44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://lookfor.cc/sp.php?pin=44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\SYSTEM\MSHELPER.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F42672C1-5469-11D9-8ED2-000410337306} - C:\WINDOWS\SYSTEM\BOJE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 2***
O4 - HKLM\..\Run: [5103.TMP] C:\WINDOWS\TEMP\5103.TMP.exe 1 10001
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: Als Start in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsStart
O8 - Extra context menu item: Als Ziel in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsDest
O8 - Extra context menu item: Falk Stadtplan anzeigen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/GetMap
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: ppctlcab - hxxp://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - hxxp://www.20x2p.com/3f7c7594/enter.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

riesurf 10.02.2005 23:31
HI,
da gibts wohl nur eins ! Rechner platt machen neu installieren und absichern.

Das Leben ist grausam :heulen: ,

Yopie 10.02.2005 23:39
Zitat:
Zitat von riesurf
da gibts wohl nur eins ! Rechner platt machen neu installieren und absichern.
Da ist zwar ne Menge Mist drauf, aber einen Backdoor kann ich nicht entdecken. :confused:

Gruß :daumenhoc
Yopie

chaosman 12.02.2005 12:40
@magnet
system und IE dringenst updaten, sind nicht auf den neuesten stand.
die O15 einträge bekommst du hiermit weg
http://www.trojaner-board.de/showthr...9&page=4&pp=10
(lutz posting durchführen)

wechsle danach in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\SYSTEM\MSHELPER.DLL (file missing)
O2 - BHO: (no name) - {F42672C1-5469-11D9-8ED2-000410337306} - C:\WINDOWS\SYSTEM\BOJE.DLL
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3f7c7594/enter.cabO18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
lösche danach manuell,
C:\WINDOWS\SYSTEM\BOJE.DLL
C:\WINDOWS\web\related.htm
C:\WINDOWS\TEMP\sp.html
neu booten, neues HJT logfile posten
chaosman

magnet 12.02.2005 23:55
@chaosman

habe updates gemacht, nachfolgend mein stand der dinge.
Habe die pfade nicht gefunden:
C:\WINDOWS\SYSTEM\BOJE.DLL
C:\WINDOWS\web\related.htm
Bin leider nicht der fitteste um umgang mit einem pc, dafür aber lernwillig


Logfile of HijackThis v1.99.0
Scan saved at 23:40:54, on 12.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\EIGENE DATEIEN VOLKMAR\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\SYSTEM\MSHELPER.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F42672C1-5469-11D9-8ED2-000410337306} - C:\WINDOWS\SYSTEM\BOJE.DLL
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 2***
O4 - HKLM\..\Run: [5103.TMP] C:\WINDOWS\TEMP\5103.TMP.exe 1 10001
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: Als Start in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsStart
O8 - Extra context menu item: Als Ziel in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsDest
O8 - Extra context menu item: Falk Stadtplan anzeigen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/GetMap
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: ppctlcab - hxxp://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - hxxp://www.20x2p.com/3f7c7594/enter.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

dartus 13.02.2005 01:40
Hi magnet,

öffne den Windows-Explorer -->Extras --> Ordneroptionen --> Ansicht
-Häcken bei Dateierweiterungen bei bekannten Dateitypen ausblenden entfernen
-Alle Dateien anzeigen "anklicken"
Dann solltest Du die finden:
C:\WINDOWS\SYSTEM\BOJE.DLL
C:\WINDOWS\web\related.htm
Dann führe bitte das aus, was Dir chaosman empfohlen hat.

dartus

magnet 14.02.2005 20:55
Hi dartus,

bin deinen anweisungen gefolgt und die dateien gefunden.

Jetzt das nächste problen, datei "BOJE.DLL" läßt sich nicht löschen, der zugriff wurde verweigert. Die "Eigenschaften" sagen aus, programmbibliothek, größe 30kb, nur "archiv" hat ein "häkchen". Eine neue info habe ich aber dabei herausgefunden. der 22.12.2004 war der abend mit dem die probleme angefangen haben und ich einen rechnerabsturtz hatte.

gruß magnet (auf weitere hilfe wartend)

PS. bin leider nicht so oft im internet und an meinem rechner, daher reagiere ich auf eure antworten schon einmal etwas zeitverzögert. Habe aber interesse den "plagegeist" loszuwerden.

dartus 15.02.2005 00:21
Hi magnet,

lade Dir mal das Teil:
killbox.
Wechsel in den abgesicherten Modus.
Versuch es da mal zunächst manuell, falls das nicht klappt, nimm die Killbox.

dartus

magnet 17.02.2005 01:57
:crazy:
Hi dartus,
habe im "abgesicherten modus" die datei "boje.dll" gefunden und ich konnte sie auch löschen. Danach habe ich den rechner wieder runter gefahren und ca. 1 minute gewartet bis ich den rechner wieder hochgefahren habe. Die Startseite wird seit dem nicht mehr in "aboutblank" geändert.

Glückwunsch an dich und chaosman, hoffentlch bleibt es so.

Nun noch zwei fragen:
a) Ist es normal, dass nachdem man im abgesicheten modus war, alle symbole auf dem desktop durcheinander "gewürfelt" werden ? ?
b) Die datei "INFO 2" treibt im ordner "Recycled" weiter ihr unwesen, indem sie dateien wie "Dc2642.txt" und "Dc2643.dat" erzeugt,jedoch ohne auswirkung auf die startseite ??

mit dankendem gruß magnet

hier noch mein Logfile.

Logfile of HijackThis v1.99.0
Scan saved at 01:48:40, on 17.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
D:\EIGENE DATEIEN VOLKMAR\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metso.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\SYSTEM\MSHELPER.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F42672C1-5469-11D9-8ED2-000410337306} - C:\WINDOWS\SYSTEM\BOJE.DLL (file missing)
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 2***
O4 - HKLM\..\Run: [5103.TMP] C:\WINDOWS\TEMP\5103.TMP.exe 1 10001
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O8 - Extra context menu item: Als Start in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsStart
O8 - Extra context menu item: Als Ziel in Falk übernehmen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/SetAsDest
O8 - Extra context menu item: Falk Stadtplan anzeigen - res://C:\PROGRA~1\FALK\FALKTO~1\FALKBAR.DLL/GetMap
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)
O9 - Extra button: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {137A28E0-1E20-11D9-8ED2-00040EFFFFFF} - C:\WINDOWS\SYSTEM\IEGFXFRW.DLL (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3f7c7594/enter.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

dartus 17.02.2005 10:10
Hallo magnet,

Dein System sind aber noch gar nicht sauber aus.
Hast Du die Schritte befolgt, die Dir chaosman aufgezeigt hat?
So wie es aussieht nicht.

die O15 einträge bekommst du hiermit weg
http://www.trojaner-board.de/showth...79&page=4&pp=10
(lutz posting durchführen) <-- tip von chaosman

Also wechsel nochmals in den absicherten Modus.
Scanne mit Hijackthis und setze ein Häckchen vor folgenden Einträgen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metso.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\SYSTEM\MSHELPER.DLL (file missing)
O2 - BHO: (no name) - {F42672C1-5469-11D9-8ED2-000410337306} - C:\WINDOWS\SYSTEM\BOJE.DLL (file missing)
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll (file missing)
O4 - HKLM\..\Run: [5103.TMP] C:\WINDOWS\TEMP\5103.TMP.exe 1 10001
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3f7c7594/enter.cab
O18 - Filter: text/html - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O18 - Filter: text/plain - {F42672C0-5469-11D9-8ED2-00047F7FD69D} - C:\WINDOWS\SYSTEM\BOJE.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
Klicke dann auf fix checked.

Leere Deinen Papierkorb.

Leere diesen Ordner:

C:\WINDOWS\TEMP\

Geht an schnellsten mit diesem Programm, dass nebenbei sämtlichen Datenmüll entfernt: clearprog downloaden.
Häckchen bei alles löschen und dann auf löschen klicken.

Surfen NICHT mehr mit den IExplorer, nur noch zum Updaten nutzen! Besorge Dir Firefox oder Opera.
Dann poste nochmal ein Logfile.

dartus

kalama 17.02.2005 23:15
Hi magnet,
hatte ein ähnliches Problem und habe es erst gelöst, nachdem ich alle empfohlenen Maßnahmen im ABGESICHERTEN MODUS durchgeführt habe und nach dem manuellen Löschen der Dateien diese dann auch aus dem Recycled-Ordner nochmals gelöscht habe. Ohne das löschen der Dateien aus dem Recycled Ordner ist alles nach dem Neustart im Normalmodus wieder aufgetaucht und hat sich wieder installiert.
Also, alles was dir hier empfohlen wurde im abgesicherten Modus durchführen und danach den Inhalt des Ordners "Recycled" löschen !
Dann wird es wohl auch bei dir klappen.
Gruß Kalama

Feierfox 17.02.2005 23:37
Zitat:
Zitat von kalama
Inhalt des Ordners "Recycled" löschen !
@kalama
Dein Hinweis wurde hier schon gepostet:

Zitat:
Zitat von dartus
Leere Deinen Papierkorb.
Recycled=Recycler=Papierkorb

magnet 20.02.2005 23:25
Hi alle miteinander,

besonders dartus und chaosman.

Bin nach einigen problemen wieder im Internet "gelandet"
Habe jetzt alle anweisungen befolgt, mit folgenden ergebnissen.
Nachdem ich im abgesicherten Modus an alle positionen ein häkchen gemacht und anschließend auf fix checked geklickt und den rechner herunter und wieder hochgefahren habe, bekam ich keine seite im internet angezeigt.
Wärend des fix checked prozesses, bekam ich 3 warnhinweise, die ich mit o.k. bestätigen mußte, damit der prozess fortgesetzt wurde.
Die verbindung über das modem "fritzcard" funktionierte und auch das öffnen des IE, aber es kam die Meldung "Seite kann nicht angezeigt werden".
Habe jetzt noch einmal die software mt den Treibern von "fritzcard" neu installiert. Jetzt funktionierte die Internetverbindung wieder.
Dann habe ich firefox installiert, dann ging mit Internet überhaupt nicht mehr. Nach deinstallation von firefox klappt es wieder der Verbindug, jetzt wird der IE aber nicht mehr automatisch mit der verbindung von "fritzcard" gestartet, ich muß ihn anklicken, dann geht es.
So wie es aussieht ist alles noch nicht perfekt aber vieleicht könnt ihr mich auf "spur" bringen.

mit kollegialem gruß
magnet

PS:mein zone alarm muß ich jetzt auch "manuell" starten, früher ging das automatisch

hier noch mein locfile, jetzt schon wesentlich kürzer

Logfile of HijackThis v1.99.0
Scan saved at 23:15:16, on 20.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\EIGENE DATEIEN VOLKMAR\SONSTIGES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metso.com/
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

dartus 20.02.2005 23:55
Hi,

hast Du alles gefixt? Sieht mir bald so aus.
Du solltest doch nur die vorgegeben Einträge fixen.
Hast Du Hijackthis in einem Extra-Ordner, dann müssen wir ein Backup machen und alles von vorn durchführen.

dartus

magnet 22.02.2005 23:09
Hi dartus,

wollte nur ein lebenszeichen von mir geben. Du hast recht ich habe alles gefixt, sagte doch, dass ich über wenig erfahrung verfüge. Benutze gerade das notbook von meiner Frau , mit meinem "FRITZweb DSL". Mit meinem Rechner komme ich z.Zt. nicht ins internet. Bei meinem rechner wird die DSL leitung über "FRITZ-MODEM" zwar angewählt und auch das programm "FRITZweb DSL" wird nach dem doppelklick gestartet, auch der IE öffnet sich. Aber dann kommt das große erwachen. IE zeigt, "server nicht gefunden" , "Seite kann nicht angezeigt werden".
Vermute mal, das bei den vielen aktionen, die eine oder andere datei ohne mein wissen auf der strecke geblieben ist.
Hatte doch die hoffnung alles im griff zu haben. Einen locfile kann ich im moment nicht direkt einstellen, aber wenn es sinn macht, könnte ich den locfile auf word speichen, auf einen stick runterladen und auf den rechner meiner frau speichen etc. oder????

mfg magnet :headbang:

dartus 22.02.2005 23:21
Hi magnet,

Du hättest Dich an die Empfehlungen halten sollen.
Versuche mit Hijackthis (Scan->Config->Backups) einen älteren Zustand herzustellen.
Am besten wäre, wenn Du einen Strich ziehst und alles neu aufsetzt
mit der immer wieder zitierten Anleitung. Geht schneller und macht nun weniger Stress, wenn das Teil immer wieder auftaucht.

dartus

magnet 28.02.2005 19:25
Hi dartus,

arbeite noch an meinem problem. Wenn ich anweisungen icht nach euren vorstellungen genau befolgt habe lag es mit sicherheit zu 95% an mir, aber der rest an den für mich nicht genau erkennbaren notwendigen arbeitsschritten. Aber wie schon gesagt es ist meine unkenntnis und die tatsache, dass ich nicht über eure routiene verfüge. Werde jetzt meine treiber wieder installieren, damit ich wieder über die notwendigen startdateien verfüge. Melde mich in einigen tagen wieder. Bis dahin danke ich euch und verbleibe mit den besten grüßen

euer magnet

PS. alles wird gut

magnet 07.03.2005 19:30
Hi, der magnet ist wieder an bord. :daumenhoc

Habe windows neu installiert, seit dem läuft alles wieder. Den Plagegeist im Ordner „Recycled“ auf "C" bin ich los. Habe ihn mit der "Killerbox" endlich löschen können.

Hier mein aktueller logfile.
Ist denn jetzt alles i.O. ???
Die 015 eintäge habe ich immer noch nicht löschen können, da sich die mit dem link vernüpfte Seite nicht geööfnet hat.

Seit alle bestens gegrüßt von eurem magnet

Logfile of HijackThis v1.99.0
Scan saved at 19:18:30, on 07.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\EIGENE DATEIEN VOLKMAR\SONSTIGES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metso.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

dartus 07.03.2005 20:59
Hallo Magnet,

Zitat:
mach bitte folgendes:

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.

Es sollten jetzt alle Einträge aus den vertrauenswürdigen Sites verschwunden sein.
Starte den Rechner neu und poste anschließend ein neues Log von HijackThis.

Zitat:
; DelDomains.inf
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
__________________
Gruß
Lutz
dartus

magnet 17.03.2005 22:29
Hi dartus,

vielen dank für deinen Vorschlag, aber bevor ich wieder einmal etwas falsch verstehe hier meine frage zum Zitatbeginn und zum Zitatende.
Habe ich das alles richtig verstanden?? Wenn ja laß es mich bitte wissen.
Bin jetzt für 4 tage nach finnland eingeladen, zum "icefishing" ins Blockhaus. Temperatut derzeit -20°C.

Zitatbeginn:;

DelDomains.inf
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

Zitatende ???

mfg Magnet :crazy:
__________________

dartus 17.03.2005 22:39
Hallo Magnet,

:daumenhoc

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131