Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Escan findet wieder "backdoor (ircbot) trojans" (https://www.trojaner-board.de/51424-escan-findet-backdoor-ircbot-trojans.html)

d4m1 08.04.2008 21:37
Escan findet wieder "backdoor (ircbot) trojans"
 
Hey Leute,

habe mal wieder ein Virenproblem.
Hatte meinen Rechner vor ein paar Monaten neu aufgesetzt und ihn anscheinend nicht 100% abgesichert.
Das Problem ist, dass Escan genau den netten Plagegeist wiederfindet, der sich damals eingenistet hat. Nun wollte ich euch um eure Hilfe bitten, mir auf der Suche nach dem Ursprung zu helfen, da ich meine Backups nicht einfach alle löschen kann *grml*
Ich bin mir auch garnicht sicher, ob da überhaupt was ist, weil mir der Fundort, zumindest vom "backdoor (ircbot) trojans", irgendwie komisch erscheint.

Also hier der eScan-Log:
Am aufälligsten ist wohl, dass eScan so viele Files einfach nicht scannen konnte.

Gestern meldete er noch zusätzlich:
- "possilbe Fujacks-type worm" (fiel weg nach Ausführung von CCleaner)
- "NULL.Corrupted" (habe die Dateien gelöscht, da ich sie ohnehin nicht mehr brauchte)

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
 
eScan Version: 9.7.8
Sprache: German
H:\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\Rohre\L-rohr.prtdot infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z15-L40-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z30-L60-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m8-z40-L80-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\security.config.cch
Offending file found: C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\enterprisesec.config.cch
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: H:\Temp\spydb.avs, Size: 470886].
Indexed Spyware Databases Successfully Created...
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with livekill Corrupted Adware/Spyware (C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\security.config.cch)! Action taken: Keine Maßnahme ergriffen.
System found infected with livekill Corrupted Adware/Spyware (C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\enterprisesec.config.cch)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run//msconfig)! Action taken: Keine Maßnahme ergriffen.
F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\Rohre\L-rohr.prtdot possibly infected and removed by background antivirus package!
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z15-L40-Passfeder.SLDPRT possibly infected and removed by background antivirus package!
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z30-L60-Passfeder.SLDPRT possibly infected and removed by background antivirus package!
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m8-z40-L80-Passfeder.SLDPRT possibly infected and removed by background antivirus package!
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
CScript-Fehler: Der Zugriff auf Windows Script Host wurde f�r diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry system32\drivers\kx.sys in SYSTEM\CurrentControlSet\Services\kxwdmdrv...
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\KASPER~1\KASPER~1.325\German\KISDE~1.MSI
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\POP3WE~1.DE\Inbox
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\POSTST~1.DE\Inbox
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\RSS-NE~3\Golem.de
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\RSS-NE~3\TAGESS~1.DE
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\sp2.cab
ERROR!!! ScanFile fails for C:\WINDOWS\Help\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9A84C~1\AccLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~2\ExcelLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~4\PptLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9AE1C~1\PubLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~3\OutlkLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{92471~1\WordLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9094B~1\EnterWW.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9B8C5~1\InfLR.cab
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~1\OfficeLR.cab
ERROR!!! ScanFile fails for D:\Programme\Java\jre1.6.0_05\lib\rt.jar
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\EXCELD~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\EXCEL.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSACCE~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSE_LE~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSPUBD~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\OUTLOO~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\POWERP~1.HXS
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\WINWOR~1.HXS
ERROR!!! ScanFile fails for D:\Spiel\SPORTS~1\FOOTBA~1\jre\lib\rt.jar
ERROR!!! ScanFile fails for E:\EIGENE~1\Backup\THUNDE~1.PCV
ERROR!!! ScanFile fails for E:\EIGENE~1\EIGENE~2\07-11-~1\Replay\NORDSC~1.VCR
ERROR!!! ScanFile fails for E:\EIGENE~1\EIGENE~2\07-11-~1\Replay\NORDSC~2.VCR
Result: ERROR!!! File F:\Format\BAK\Desktop\unterlagen.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for F:\Format\BAK\Desktop\unterlagen.zip
Result: ERROR!!! File F:\Backup-071003\Job\Temp-02\mp3cd160.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for F:\Backup-071003\Job\Temp-02\mp3cd160.exe
ERROR!!! FindFirstFile For F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\L\*.* Failed!!! Reason is Das System kann den angegebenen Pfad nicht finden. (0x3)
ERROR!!! ScanFile fails for F:\Spiele\FOOTBA~1\Grafiken\LOGOME~1\SHINY_~1.RAR
ERROR!!! ScanFile fails for I:\pagefile.sys
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1      localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1        .archivioadulti.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1        .internet-explorer.name
...

Hier folgen noch viel mehr, habe das mal gekürzt! Gehe davon aus, dass die von Spybot S&D eingetragen wurden!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 196385
Zahl der kritischen Objekte: 35
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 20
Zeit verstrichen: 03:01:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
 
Batchstart: 22:08:02,68
Batchende: 22:08:12,54
Hier dann auch noch der Hijack-Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:32, on 08.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
d:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Razer\Diamondback\razertra.exe
E:\Eigene Dateien\MirandaProZblack\miranda32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Razer\Diamondback\razerofa.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - d:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office 2007\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - d:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Diamondback] d:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [amd_dc_opt] D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://d:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{83FE7E1A-B281-4E81-9D60-D0F89F0C87E6}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office 2007\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 7872 bytes
VIELEN DANK FÜR EURE HILFE!

virus 09.04.2008 15:51
Du hast Neuaufgesetz???:confused:

Bitte lass mal Malwarebytes laufen und poste den Report:daumenhoc
Bitte auch ComboFix laufen lassen vorher aber CCleaner anwenden.
ComboFix report bitte posten.

Bitte fixe folgende Einträge mit Hijackthis:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

d4m1 09.04.2008 22:29
Zitat:
Zitat von virus (Beitrag 333007)
Du hast Neuaufgesetz???:confused:
Ja, vor 2-3 Monaten, schätze ich. Habe auch dummerweise nicht das eingeschränkte Benutzerkonto genutzt fürs Surfen :headbang:

Also hier ist der Anti-Malware-Log:

Code:
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 603

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 173258
Scan Dauer: 1 hour(s), 53 minute(s), 20 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Und auch der Combofix-Log, nach Ausführung von CCleaner:

Code:
ComboFix 08-04-09.1 - xxx 2008-04-09 23:22:30.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((  Dateien erstellt von 2008-03-09 bis 2008-04-09  ))))))))))))))))))))))))))))))
.

2008-04-09 17:38 . 2008-04-09 17:38        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-04-09 17:37 . 2008-04-09 17:37        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-09 08:03 . 2008-03-20 09:56        1,846,016        ---------        C:\WINDOWS\system32\dllcache\win32k.sys
2008-04-09 08:03 . 2008-02-20 08:52        282,624        ---------        C:\WINDOWS\system32\dllcache\gdi32.dll
2008-04-09 08:03 . 2008-02-20 07:20        147,968        ---------        C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-09 08:03 . 2008-02-20 20:50        45,568        ---------        C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-04-08 21:44 . 2008-04-08 22:08        <DIR>        d--------        C:\escan
2008-04-08 14:24 . 2008-04-08 14:24        0        --a------        C:\WINDOWS\oodcnt.INI
2008-04-07 21:24 . 2008-04-07 21:24        <DIR>        d--------        C:\WINDOWS\system32\xircom
2008-04-07 21:24 . 2008-04-07 21:24        <DIR>        d--------        C:\WINDOWS\system32\restore
2008-04-07 21:24 . 2008-04-07 21:24        <DIR>        d--------        C:\WINDOWS\srchasst
2008-04-07 21:24 . 2008-04-07 21:24        <DIR>        d--------        C:\Programme\microsoft frontpage
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\zts2.exe
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\system32\vcmgcd32.dll
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\system32\iifgfgf.dll
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\rundll16.exe
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\rundl132.dll
2008-04-07 21:01 . 2008-04-07 21:01        <DIR>        d-a------        C:\WINDOWS\logo1_.exe
2008-04-07 21:00 . 2005-06-21 19:33        153,600        --a------        C:\WINDOWS\R.COM
2008-04-07 21:00 . 2004-08-04 01:58        140,800        --a------        C:\WINDOWS\system32\T.COM
2008-04-07 21:00 . 2008-04-08 17:08        50        --a------        C:\WINDOWS\Lic.xxx
2008-04-05 16:20 . 2008-04-09 20:00        1,080        --a------        C:\WINDOWS\system32\settingsbkup.sfm
2008-04-05 16:20 . 2008-04-09 20:00        1,080        --a------        C:\WINDOWS\system32\settings.sfm
2008-04-05 16:19 . 2008-04-09 20:00        4,958,588        --a------        C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF
2008-04-05 16:19 . 2008-04-09 20:00        31,056        --a------        C:\WINDOWS\system32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00        31,056        --a------        C:\WINDOWS\system32\BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00        30,528        --a------        C:\WINDOWS\system32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00        30,528        --a------        C:\WINDOWS\system32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00        11,564        --a------        C:\WINDOWS\system32\DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:18 . 2006-08-11 15:14        86,446        --a------        C:\WINDOWS\system32\instwdm.ini
2008-04-05 16:15 . 2008-04-05 16:15        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Logitech
2008-04-05 15:41 . 2008-04-05 15:41        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-04-05 15:41 . 2008-04-05 15:41        34,064        --a------        C:\WINDOWS\system32\lhacm.acm
2008-04-03 09:37 . 2008-04-03 09:37        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Adobe
2008-03-30 00:53 . 2008-03-30 00:53        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc
2008-03-26 19:00 . 2008-04-08 18:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-03-23 00:53 . 2007-06-17 13:43        186,592        --a------        C:\WINDOWS\system32\drivers\windrvr6.sys
2008-03-23 00:53 . 2007-06-17 13:46        114,688        --a------        C:\WINDOWS\system32\wdapi901.dll
2008-03-19 15:10 . 2008-04-09 19:54        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Free Download Manager
2008-03-19 15:10 . 2008-03-19 15:10        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-03-19 14:50 . 2008-03-19 14:50        <DIR>        d--------        C:\Programme\DFX
2008-03-19 14:50 . 2008-03-19 14:50        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-03-15 14:53 . 2008-04-09 14:53        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
2008-03-15 13:35 . 2008-03-15 13:35        <DIR>        d--------        C:\Programme\Microsoft Silverlight
2008-03-12 17:48 . 2008-03-12 17:48        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sports Interactive
2008-03-12 17:38 . 2008-03-12 17:38        2,550        --a------        C:\WINDOWS\system32\sdbackup.reg
2008-03-12 17:23 . 2008-03-12 17:23        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SecuROM
2008-03-12 17:23 . 2008-03-12 17:23        107,888        --a------        C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 17:14 . 2008-03-12 17:14        <DIR>        d--h-----        C:\Programme\Zero G Registry
2008-03-12 17:13 . 2008-03-12 17:13        <DIR>        d--h-----        C:\Dokumente und Einstellungen\xxx\InstallAnywhere
2008-03-11 19:55 . 2008-03-11 19:55        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\RouterControl
2008-03-11 19:54 . 2008-01-15 15:20        330,336        --a------        C:\WINDOWS\RCoUn0.exe
2008-03-11 19:54 . 2008-03-11 19:54        1,759        -r-------        C:\WINDOWS\RouterControl_Uninstall.in
2008-03-11 19:00 . 2008-04-05 16:15        <DIR>        d--------        C:\Programme\Logitech
2008-03-11 19:00 . 2008-03-11 19:00        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-03-11 18:16 . 2008-03-11 21:27        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mp3tag
2008-03-10 00:46 . 2008-03-10 00:46        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ImgBurn
2008-03-10 00:22 . 2008-03-10 00:34        <DIR>        d--------        C:\WINDOWS\system32\XPSViewer
2008-03-10 00:21 . 2008-03-10 00:21        <DIR>        d--------        C:\Programme\Reference Assemblies
2008-03-09 23:57 . 2006-10-26 20:56        32,592        --a------        C:\WINDOWS\system32\msonpmon.dll
2008-03-09 23:57 . 2006-10-26 20:58        30,512        --a------        C:\WINDOWS\system32\mdimon.dll
2008-03-09 23:56 . 2008-03-09 23:56        <DIR>        d--------        C:\Programme\Microsoft Works
2008-03-09 23:55 . 2008-03-09 23:55        <DIR>        d--------        C:\Programme\MSBuild
2008-03-09 23:53 . 2008-03-09 23:55        <DIR>        d--------        C:\WINDOWS\SHELLNEW
2008-03-09 23:53 . 2008-04-09 08:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-09 22:31 . 2008-03-09 22:31        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\gtk-2.0
2008-03-09 22:31 . 2008-04-04 20:47        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\.gconfd
2008-03-09 22:31 . 2008-04-04 20:46        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\.gconf
2008-03-09 22:30 . 2008-03-09 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\.gnucash
2008-03-09 22:30 . 2008-03-09 22:30        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\.gnome2_private
2008-03-09 22:30 . 2008-03-09 22:30        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx\.gnome2
2008-03-09 21:09 . 2008-03-09 21:09        <DIR>        d--------        C:\O&O

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 21:24        592,672        --sha-w        C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-09 21:23        18,050,848        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-09 21:20        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-09 18:00        57,512        --sha-w        C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-09 18:00        243,512        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-08 16:20        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Winamp
2008-04-05 14:19        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-04-05 14:18        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Creative
2008-03-20 07:56        1,846,016        ----a-w        C:\WINDOWS\system32\win32k.sys
2008-03-08 20:40        ---------        d-----w        C:\Programme\FreePDF_XP
2008-03-08 20:13        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Media Player Classic
2008-03-08 16:09        ---------        d-----w        C:\Programme\Winamp Remote
2008-03-08 16:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-03-08 15:30        151,756        ----a-w        C:\WINDOWS\HAM Uninstaller.exe
2008-03-08 15:18        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Java
2008-03-08 15:02        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-08 14:54        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InstallShield
2008-03-08 14:31        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
2008-03-08 14:31        ---------        d-----w        C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Talkback
2008-03-08 14:25        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-08 14:16        91,700        ----a-w        C:\WINDOWS\system32\drivers\klin.dat
2008-03-08 14:16        85,860        ----a-w        C:\WINDOWS\system32\drivers\klick.dat
2008-03-08 14:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-03-08 13:57        ---------        d-----w        C:\Programme\MSXML 6.0
2008-03-08 13:57        ---------        d-----w        C:\Programme\MSXML 4.0
2008-03-08 10:52        ---------        d-----w        C:\Programme\Creative
2008-03-08 10:43        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-08 10:26        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Dienste
2008-03-08 10:25        ---------        d-----w        C:\Programme\Windows Media Connect 2
2008-02-20 18:50        45,568        ----a-w        C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 06:52        282,624        ----a-w        C:\WINDOWS\system32\gdi32.dll
2008-02-08 17:37        219,664        ----a-w        C:\WINDOWS\system32\klogon.dll
2008-01-11 05:49        44,544        ------w        C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-10 12:16        159,839        ----a-w        C:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15        755,027        ----a-w        C:\WINDOWS\system32\xvidcore.dll
.

------- Sigcheck -------

2004-08-04 01:58  14336  65a819b121eb6fdab4400ea42bdffe64        C:\WINDOWS\system32\svchost.exe

2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-10-07 12:58  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\system32\user32.dll

2004-08-04 01:57  82944  d569240a22421d5f670bb6fb6dd522b5        C:\WINDOWS\system32\ws2_32.dll

2007-10-07 12:58  512512  fdd544cd9a10443a242c2ce7489693e9        C:\WINDOWS\system32\winlogon.exe

2007-10-07 12:57  182656  bc84c4f67d0e880b0c46dc0ce2b8cbaa        C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00  29056  4448006b6bc60e6c027932cfc38d6855        C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 11:11  2059264  ae8364004bbfd70461d2ef34888d3360        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 09:06  2061696  9b9ca27ad315c02b71510238574894b2        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-10-07 13:03  2023424  6ad938f00c02111a70a832080c9a2614        C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-10-07 12:57  2143744  f54af55d175bf7406ab634d2fbf19cc9        C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-10-07 12:55  1036288  331ed93570baf3cfe30340298762cd56        C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 19:36 227856]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2007-10-07 12:56 172544]
"Diamondback"="d:\Programme\Razer\Diamondback\razerhid.exe" [2007-02-14 12:15 147456]
"amd_dc_opt"="D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 12:06 77824]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 18:57 2095640]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 15:03 93208]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"IE7"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AMD_Display]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 18:05 81920 D:\Programme\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 21:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 08:00 33648 D:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LgDevAgt]
--a------ 2007-12-13 18:59 346648 C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-01-07 22:02 495616 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 D:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 NMSAccessU;NMSAccessU;d:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-04-24 23:43]
S1 DumpDrv;Crash Dump Driver;C:\WINDOWS\system32\drivers\DumpDrv.sys [2007-10-07 12:59]
S3 kxwdmdrv;kX WDM Driver Service;C:\WINDOWS\system32\drivers\kx.sys []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 23:24:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-09 23:25:15
ComboFix-quarantined-files.txt  2008-04-09 21:25:09
              8 Verzeichnis(se), 16,026,419,200 Bytes frei
              10 Verzeichnis(se), 16,017,440,768 Bytes frei
.
2008-04-09 06:07:11        --- E O F ---
Erst danach habe ich die Einträge in Hijackthis deaktiviert!

Also mir scheint an den Logs nichts auffälliges, aber ich würde ja auch nicht hier fragen, wenn ich es besser wüsste!
Danke für deine/eure Hilfe!

virus 10.04.2008 13:22
Bitte folgende Dateinen hier online scanne lassen und Report posten:

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\system32\wdapi901.dll
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe


weisst du evt. um was es sich beim Ordner xxx:pfui: handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O

d4m1 10.04.2008 15:18
Zitat:
Zitat von virus (Beitrag 333106)
weisst du evt. um was es sich beim Ordner xxx:pfui: handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O
Ach so, also "xxx" ist mein ersetzter Loginname. Die genannten Ordner dürften aber von GnuCash aus kommen. Das ist ein Finanzverwaltungsprogramm, was es ursprünglich nur für Linux gab.
Der Ordner O&O gehört wohl zu O&O Defrag, ist aber komplett leer, weshalb ich ihn einfach mal gelöscht habe. Was der da verloren hat, weiß ich allerdings auch nicht.

Scans kommen gleich.

d4m1 10.04.2008 16:23
Zitat:
Zitat von virus (Beitrag 333106)
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
Das sind keine Datei, sondern nur Ordner. Wurde wohl von eScan angelegt und soll eben verhindern, dass die Dateien erstellt werden können.

Zitat:
Zitat von virus (Beitrag 333106)
C:\WINDOWS\Lic.xxx
Code:
Datei:        Lic.xxx
Auslastung:                0%                            100%

Status:        OK
Entdeckte Packprogramme:        -
Bit9 rapportiert:        File not found
 
A-Squared        Keine Viren gefunden
AntiVir        Keine Viren gefunden
ArcaVir        Keine Viren gefunden
Avast        Keine Viren gefunden
AVG Antivirus        Keine Viren gefunden
BitDefender        Keine Viren gefunden
ClamAV        Keine Viren gefunden
CPsecure        Keine Viren gefunden
Dr.Web        Keine Viren gefunden
F-Prot Antivirus        Keine Viren gefunden
F-Secure Anti-Virus        Keine Viren gefunden
Fortinet        Keine Viren gefunden
Ikarus        Keine Viren gefunden
Kaspersky Anti-Virus        Keine Viren gefunden
NOD32        Keine Viren gefunden
Norman Virus Control        Keine Viren gefunden
Panda Antivirus        Keine Viren gefunden
Rising Antivirus        Keine Viren gefunden
Sophos Antivirus        Keine Viren gefunden
VirusBuster        Keine Viren gefunden
VBA32        Keine Viren gefunden
Zitat:
Zitat von virus (Beitrag 333106)
C:\WINDOWS\system32\wdapi901.dll
Code:
Datei:        wdfapi.dll
Auslastung:                0%                            100%

Status:        OK
Entdeckte Packprogramme:        -
Bit9 rapportiert:        No threat detected (more info)
 
A-Squared        Keine Viren gefunden
AntiVir        Keine Viren gefunden
ArcaVir        Keine Viren gefunden
Avast        Keine Viren gefunden
AVG Antivirus        Keine Viren gefunden
BitDefender        Keine Viren gefunden
ClamAV        Keine Viren gefunden
CPsecure        Keine Viren gefunden
Dr.Web        Keine Viren gefunden
F-Prot Antivirus        Keine Viren gefunden
F-Secure Anti-Virus        Keine Viren gefunden
Fortinet        Keine Viren gefunden
Ikarus        Keine Viren gefunden
Kaspersky Anti-Virus        Keine Viren gefunden
NOD32        Keine Viren gefunden
Norman Virus Control        Keine Viren gefunden
Panda Antivirus        Keine Viren gefunden
Rising Antivirus        Keine Viren gefunden
Sophos Antivirus        Keine Viren gefunden
VirusBuster        Keine Viren gefunden
VBA32        Keine Viren gefunden
Zitat:
Zitat von virus (Beitrag 333106)
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Code:
Datei:        ntkrnlpa.exe
Auslastung:                0%                            100%

Status:        OK
Entdeckte Packprogramme:        -
Bit9 rapportiert:        No threat detected (more info)
 
A-Squared        Keine Viren gefunden
AntiVir        Keine Viren gefunden
ArcaVir        Keine Viren gefunden
Avast        Keine Viren gefunden
AVG Antivirus        Keine Viren gefunden
BitDefender        Keine Viren gefunden
ClamAV        Keine Viren gefunden
CPsecure        Keine Viren gefunden
Dr.Web        Keine Viren gefunden
F-Prot Antivirus        Keine Viren gefunden
F-Secure Anti-Virus        Keine Viren gefunden
Fortinet        Keine Viren gefunden
Ikarus        Keine Viren gefunden
Kaspersky Anti-Virus        Keine Viren gefunden
NOD32        Keine Viren gefunden
Norman Virus Control        Keine Viren gefunden
Panda Antivirus        Keine Viren gefunden
Rising Antivirus        Keine Viren gefunden
Sophos Antivirus        Keine Viren gefunden
VirusBuster        Keine Viren gefunden
VBA32        Keine Viren gefunden
Zitat:
Zitat von virus (Beitrag 333106)
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Code:
Datei:        ntkrnlpa.exe
Auslastung:                0%                            100%

Status:        OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:        -
Bit9 rapportiert:        No threat detected (more info)
 
A-Squared        Keine Viren gefunden
AntiVir        Keine Viren gefunden
ArcaVir        Keine Viren gefunden
Avast        Keine Viren gefunden
AVG Antivirus        Keine Viren gefunden
BitDefender        Keine Viren gefunden
ClamAV        Keine Viren gefunden
CPsecure        Keine Viren gefunden
Dr.Web        Keine Viren gefunden
F-Prot Antivirus        Keine Viren gefunden
F-Secure Anti-Virus        Keine Viren gefunden
Fortinet        Keine Viren gefunden
Ikarus        Keine Viren gefunden
Kaspersky Anti-Virus        Keine Viren gefunden
NOD32        Keine Viren gefunden
Norman Virus Control        Keine Viren gefunden
Panda Antivirus        Keine Viren gefunden
Rising Antivirus        Keine Viren gefunden
Sophos Antivirus        Keine Viren gefunden
VirusBuster        Keine Viren gefunden
VBA32        Keine Viren gefunden

d4m1 12.04.2008 12:42
Hmm, kann keiner mehr helfen?
Ich würde ja nochmal neu aufsetzen, wenn ich wüsste, dass der unliebsame Gast sich dann auch verabschiedet :-\

virus 12.04.2008 13:26
Hi

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll

Das sind sehrwohl Dateien:headbang: Wie kommst du darauf dass das keine Dateien sind:confused:
Wenn du einmal Google benutzt hättest, wärst du z.B. auf diese Seite gestossen!! Schau dort einmal unter "weitere Informationen"

Bitte lass diese Dateien nun hier oder hier online scannen und poste den Report, danke:daumenhoc

Lade bitte einmal folgende Dateien hier hoch:

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

Du wirst per Mail in wenigen Tagen informiert werden was sich hinter den Dateien verbirgt und ob sie Schadcode enthällt.

raman 12.04.2008 14:43
Wie kommst du darauf, das das Dateien sind? Es sind schon Ordner wie d4m1 vermutet und sie werden auch von Escan erstellt. Ein Grund fuer mich, Escan nicht zu nutzen.

Achte auf den Combofix Eintraege:

2008-04-07 21:01 . 2008-04-07 21:01 <DIR> d-a------ C:\WINDOWS\zts2.exe

<DIR> bedeutet halt directory.
Auch die Dateien
r.com
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

werden von Escan erzeugt

Die Datei ntkrnlpa.exe aus der sigcheck sektion ist genauso vertrauenswuerdig wie die dort aufgefuehrte C:\WINDOWS\explorer.exe. Davon wuerde mich ein VT Scan mehr interessieren.

d4m1 12.04.2008 17:15
Hey,

also hier nochmal die geforderten Ergebnisse:

Zuerst die C:\Windows\explorer.exe bei VT (bin mal davon ausgegangen, dass VirusTotal gemeint ist):
Code:
Datei explorer.exe empfangen 2008.04.12 18:05:32 (CET)
Status:    Beendet
Ergebnis: 0/31 (0%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.4.12.0        2008.04.11        -
AntiVir        7.6.0.85        2008.04.11        -
Authentium        4.93.8        2008.04.11        -
Avast        4.8.1169.0        2008.04.12        -
AVG        7.5.0.516        2008.04.12        -
BitDefender        7.2        2008.04.12        -
CAT-QuickHeal        9.50        2008.04.12        -
ClamAV        0.92.1        2008.04.12        -
DrWeb        4.44.0.09170        2008.04.12        -
eSafe        7.0.15.0        2008.04.09        -
eTrust-Vet        31.3.5692        2008.04.11        -
Ewido        4.0        2008.04.12        -
F-Prot        4.4.2.54        2008.04.11        -
F-Secure        6.70.13260.0        2008.04.11        -
FileAdvisor        1        2008.04.12        -
Fortinet        3.14.0.0        2008.04.12        -
Ikarus        T3.1.1.26        2008.04.12        -
Kaspersky        7.0.0.125        2008.04.12        -
McAfee        5272        2008.04.11        -
Microsoft        1.3408        2008.04.12        -
NOD32v2        3020        2008.04.11        -
Norman        5.80.02        2008.04.12        -
Panda        9.0.0.4        2008.04.12        -
Prevx1        V2        2008.04.12        -
Rising        20.39.52.00        2008.04.12        -
Sophos        4.28.0        2008.04.12        -
Sunbelt        3.0.1041.0        2008.04.12        -
Symantec        10        2008.04.12        -
TheHacker        6.2.92.275        2008.04.12        -
VirusBuster        4.3.26:9        2008.04.12        -
Webwasher-Gateway        6.6.2        2008.04.11        -
Und hier die beiden anderen Dateien bei Avira:
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Code:
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:Datei ID        Dateiname        Größe (Byte)        Ergebnis
958493        ntkrnlpa.exe        1.97 MB        KNOWN CLEAN



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname        Ergebnis
 ntkrnlpa.exe        KNOWN CLEAN


Die Datei 'ntkrnlpa.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft Windows XP (KB931784)' ist.
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Code:
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:Datei ID        Dateiname        Größe (Byte)        Ergebnis
121404        ntkrnlpa.exe        1.96 MB        KNOWN CLEAN



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname        Ergebnis
 ntkrnlpa.exe        KNOWN CLEAN


Die Datei 'ntkrnlpa.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft (KB890859)' ist.

raman 13.04.2008 08:09
Ich sehe keine Malware in deinen Reporten und Listen. Was nicht bedeuten soll, das wirklich keine da ist :)

Wenn du einen Kontrollscan machen moechtest, solltest du drweb cureit http://freedrweb.com/ oder Ewido http://downloads.ewido.net/ewido_micro.exe nutzen, da Escan die Kav engine nutzt, die du selber bereits installiert hast.

d4m1 13.04.2008 20:51
Zitat:
Zitat von raman (Beitrag 333357)
Ich sehe keine Malware in deinen Reporten und Listen.
Das ist gut! :D


Zitat:
Zitat von raman (Beitrag 333357)
Was nicht bedeuten soll, das wirklich keine da ist :)
Das ist schlecht! ;)

Zitat:
Zitat von raman (Beitrag 333357)
Wenn du einen Kontrollscan machen moechtest, solltest du drweb cureit Dr.Web CureIt! – download free anti-virus! Cure viruses, Best free anti-virus scanner! oder Ewido http://downloads.ewido.net/ewido_micro.exe nutzen...
Die Scans werden ich morgen mal nachholen und die Ergebnisse mal posten. Das Problem ist ja einfach, dass der Plagegeist eben mein Grund zum Formatieren war. Damals hatte ich aber die Datei gelöscht, die das wohl ausgelöst hat. Ich meine auch, dass nach dem Formatieren nichts mehr davon aufgetaucht ist beim eScan-Scan. Naja, schaun wir morgen mal weiter!
Vielen Dank soweit für die Hilfe!

d4m1 13.04.2008 21:36
Habe die Scans doch mal eben vorgezogen...

Also beide finden nichts im abgesicherten Modus, wobei ich bei Dr.Web CureIt nur die "schnelle Überprüfung" machen konnte, allerdings ist er bei der "Kompletten Überprüfung" direkt nach Betätigen des Buttons abgeschmiert.

d4m1 15.04.2008 21:01
Also, nur um nochmal sicher zugehen.
Den eScan-Fund kann ich also nun mehr oder weniger ignorieren, aber zur Sicherheit sollte ich dennoch mal formatieren, oder? ;)

Sobald die neue Ubuntuversion raus ist, werde ich mich mal dran probieren.
Wollte das ohnehin mal wieder draufmachen und dann kann man direkt mal Windows etwas beschneiden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19