Trojaner-Board - Virenfund TDSS + Sinowal

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virenfund TDSS + Sinowal (https://www.trojaner-board.de/82003-virenfund-tdss-sinowal.html)

Virenfund TDSS + Sinowal

Hallo zusammen,

vor ca. 3 Wochen konnte ich meinen AVIRA nichtmehr starten und andere kostenlose Scanner konnte ich auch nicht starten.
Habe dann in Google herausgefunden, dass mein Notebook mit dem Rootkit TDSS infiziert war. Als Lösung habe ich das Programm TDSSKiller von Kaspersky ausgeführt, und der Rootkit wurde "gelöscht.

Seitdem funktioniert AVIRA zwar wieder, aber er findet nun immer mal wieder Viren und/oder Trojaner.

Code:

Avira Berichte (aktuellste oben):
 

In der Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\H8SRT2dc3.tmp'

wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.DF.3' [trojan] gefunden.

Ausgeführte Aktion: Datei in Quarantäne verschieben
 

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd'

enthielt einen Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baa6573.qua' verschoben!
 

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd'

enthielt einen Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aded7ad.qua' verschoben!
 

Die Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll'

enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b786533.qua' verschoben!
 

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\ceva_vfs.cvd'

enthielt einen Virus oder unerwünschtes Programm 'DOS/PS-MPC-base.182' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb6567.qua' verschoben!
 

Die Datei 'C:\Dokumente und Einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd'

enthielt einen Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba66574.qua' verschoben!
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.

Ausgeführte Aktion: Datei in Quarantäne verschieben
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301335.dll

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP670\A0301315.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.

Ausgeführte Aktion: Datei in Quarantäne verschieben
 

In der Datei 'C:\WINDOWS\system32\H8SRTpvrcqokhie.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3183' [trojan] gefunden.

Ausgeführte Aktion: Datei in Quarantäne verschieben
 

In der Datei 'C:\WINDOWS\system32\H8SRTnwxbufnksj.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3165' [trojan] gefunden.

Ausgeführte Aktion: Datei in Quarantäne verschieben
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299590.exe'

wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Ausgeführte Aktion: Zugriff 
 

In der Datei 'C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP663\A0299589.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern
 

Die Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'

enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan].

Durchgeführte Aktion(en):

Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.

Die Quelldatei konnte nicht gefunden werden.

Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.

Fehler in der ARK Library.

Die Datei wurde zum Löschen nach einem Neustart markiert.
 

In der Datei 'C:\WINDOWS\system32\H8SRTkuplwnhnqt.dll'

wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.AA.3117' [trojan] gefunden.Ausgeführte Aktion: Datei löschen

Gestern hatte ich gmer gestartet und den Virus Sinowal gefunden.
Habe dann von XP-CD gebootet und mit fixmbr den MBR neu beschrieben.
Danach Malwarebytes und Gmer laufen lassen -> keine neuen Funde.

Laut Anleitung aus diesem Forum habe ich heute Ccleaner, danach Malwarebytes und zum Schluss RSIT laufen lassen.
anbei die Textdatei. (konnte die Dateien nicht einzeln hochladen)

Ausserdem hatte ich während der Virus aktiv war, diverse Externe Datenträger dranhängen.
Wie kann ich feststellen, ob die infiziert sind, und wie kann ich diese - ohne Formatierung - bereinigen.

Hoffe, ihr könnt mir helfen
Viele Grüße
Six Cylinders

Hallo und :hallo:

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

C:\WINDOWS\system32\drivers\mailKmd.sys

C:\WINDOWS\system32\6.tmp
 

drivers to delete:

mailKmd

CrystalSysInfo

h8srtd.sys

MEMSWEEP2

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo Cosinus,

danke für die schnelle Antwort. Hab Avenger ausgeführt und folgendes Logfile erhalten:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
 

http://swandog46.geekstogo.com
 
 
 

Platform:  Windows XP
 
 
 

*******************
 
 
 

Script file opened successfully.
 

Script file read successfully.
 
 
 

Backups directory opened successfully at C:\Avenger
 
 
 

*******************
 
 
 

Beginning to process script file:
 
 
 

Rootkit scan active.
 

No rootkits found!
 
 
 
 
 

Error:  file "C:\WINDOWS\system32\drivers\mailKmd.sys" not found!
 

Deletion of file "C:\WINDOWS\system32\drivers\mailKmd.sys" failed!
 

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 

  --> the object does not exist
 
 
 
 
 

Error:  file "C:\WINDOWS\system32\6.tmp" not found!
 

Deletion of file "C:\WINDOWS\system32\6.tmp" failed!
 

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 

  --> the object does not exist
 
 
 

Driver "mailKmd" deleted successfully.
 

Driver "CrystalSysInfo" deleted successfully.
 
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\h8srtd.sys" not found!
 

Deletion of driver "h8srtd.sys" failed!
 

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 

  --> the object does not exist
 
 
 

Driver "MEMSWEEP2" deleted successfully.
 
 
 

Completed script processing.
 
 
 

*******************
 
 
 

Finished!  Terminate.

VG
Six

Mach nun bitte ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier das CF Logfile:

Code:

ComboFix 10-01-21.01 - XXX 22.01.2010   0:43.2.1 - x86
 

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.502.199 [GMT 1:00]
 

ausgeführt von:: c:\dokumente und einstellungen\XXX.NOTEBOOK\Desktop\cofi.exe
 

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 

.
 
 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
 

.
 
 
 

C:\data
 

c:\windows\regedit.com
 

c:\windows\system32\H8SRTwyqxvnvufo.dat
 

c:\windows\system32\krl32mainweq.dll
 

c:\windows\system32\srcr.dat
 

c:\windows\system32\taskmgr.com
 
 
 

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-12-21 bis 2010-01-21  ))))))))))))))))))))))))))))))
 

.
 
 
 

2010-01-21 08:00 . 2010-01-21 08:00        --------        d-----w-        C:\rsit
 

2010-01-21 06:16 . 2010-01-07 15:07        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
 

2010-01-21 06:16 . 2010-01-07 15:07        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
 

2010-01-21 06:16 . 2010-01-21 06:16        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
 

2010-01-21 05:53 . 2010-01-21 05:53        --------        d-----w-        c:\programme\CCleaner
 

2010-01-20 17:21 . 2010-01-20 17:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panda Security
 

2010-01-20 17:21 . 2010-01-20 17:21        --------        d-----w-        c:\programme\Panda USB Vaccine
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\VDLL.DLL
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\system32\runouce.exe
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\rundll16.exe
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\RUNDL132.EXE
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\logo1_.exe
 

2010-01-20 17:18 . 2010-01-20 17:18        --------        d---a-w-        c:\windows\logo_1.exe
 

2010-01-20 17:10 . 2010-01-20 17:10        632064        ----a-w-        c:\windows\system32\msvcr80.dll
 

2010-01-20 17:10 . 2010-01-20 17:10        554240        ----a-w-        c:\windows\system32\msvcp80.dll
 

2010-01-20 17:10 . 2010-01-20 17:10        34048        ----a-w-        c:\windows\system32\eEmpty.exe
 

2010-01-20 17:10 . 2008-04-14 02:23        140800        ----a-w-        c:\windows\system32\T.COM
 

2010-01-20 17:10 . 2008-04-14 02:22        153600        ----a-w-        c:\windows\R.COM
 

2010-01-20 17:10 . 2010-01-20 17:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld
 

2010-01-20 17:10 . 2010-01-20 17:10        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
 

2010-01-20 17:01 . 2010-01-20 17:02        --------        d--h--w-        c:\windows\system32\GroupPolicy
 

2010-01-06 17:32 . 2010-01-06 17:32        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Malwarebytes
 

2010-01-06 17:32 . 2010-01-06 17:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
 

2010-01-05 19:07 . 2010-01-05 19:07        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
 

2010-01-05 06:01 . 2010-01-02 23:26        789320        ----a-w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
 

2010-01-05 06:01 . 2010-01-02 23:26        697672        ----a-w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
 

2010-01-05 05:23 . 2009-06-30 08:37        28552        ----a-w-        c:\windows\system32\drivers\pavboot.sys
 

2010-01-05 05:22 . 2010-01-05 05:22        --------        d-----w-        c:\programme\Panda Security
 

2010-01-05 03:43 . 2010-01-05 03:43        --------        d-sh--w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\PrivacIE
 

2010-01-04 06:16 . 2010-01-04 06:16        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
 

2010-01-04 06:03 . 2010-01-04 06:03        --------        d-sh--w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\IETldCache
 

2010-01-04 05:40 . 2010-01-04 16:59        --------        d-----w-        c:\windows\ie8updates
 

2010-01-04 05:34 . 2010-01-04 05:38        --------        dc-h--w-        c:\windows\ie8
 

2010-01-04 05:31 . 2009-10-29 07:40        594432        -c----w-        c:\windows\system32\dllcache\msfeeds.dll
 

2010-01-04 05:31 . 2009-10-29 07:40        246272        -c----w-        c:\windows\system32\dllcache\ieproxy.dll
 

2010-01-04 05:31 . 2009-10-29 07:40        55296        -c----w-        c:\windows\system32\dllcache\msfeedsbs.dll
 

2010-01-04 05:31 . 2009-10-29 07:40        1985536        -c----w-        c:\windows\system32\dllcache\iertutil.dll
 

2010-01-04 05:31 . 2009-10-29 07:40        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll
 

2010-01-04 05:31 . 2009-10-29 07:40        11069952        -c----w-        c:\windows\system32\dllcache\ieframe.dll
 

2010-01-04 05:31 . 2009-10-02 04:44        92160        -c----w-        c:\windows\system32\dllcache\iecompat.dll
 

2010-01-04 05:19 . 2010-01-04 05:19        --------        d-----w-        c:\programme\MozBackup
 

2010-01-04 04:39 . 2010-01-04 04:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
 

2010-01-02 16:09 . 2010-01-21 06:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
 

2010-01-02 16:09 . 2010-01-02 16:14        --------        d-----w-        c:\programme\Spybot - Search & Destroy
 

2010-01-02 16:04 . 2009-03-30 08:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys
 

2010-01-02 16:04 . 2009-02-13 10:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
 

2010-01-02 16:04 . 2009-02-13 10:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
 

2010-01-02 16:04 . 2010-01-02 16:04        --------        d-----w-        c:\programme\Avira
 

2010-01-02 16:04 . 2010-01-02 16:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
 

2010-01-02 13:41 . 2010-01-02 13:41        161296        ----a-w-        c:\windows\system32\drivers\tmcomm.sys
 

2010-01-02 12:31 . 2010-01-02 12:31        --------        d-----w-        c:\programme\Sophos
 

2010-01-02 11:38 . 2010-01-02 11:38        --------        d-----w-        c:\programme\Trend Micro
 

2010-01-02 04:25 . 2010-01-02 07:11        132        ----a-w-        c:\windows\system32\rezumatenoi.dat
 

2010-01-02 04:10 . 2010-01-02 07:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
 

2010-01-02 04:10 . 2010-01-02 04:10        --------        d-----w-        c:\programme\BitDefender
 

2010-01-02 04:08 . 2010-01-02 04:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\BitDefender
 

2010-01-01 18:24 . 2010-01-05 21:17        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\QuickScan
 

2010-01-01 10:30 . 2010-01-01 10:30        172848        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
 

2009-12-30 02:19 . 2009-12-30 02:19        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Anwendungsdaten\Mindjet
 

2009-12-30 02:14 . 2009-12-30 02:14        --------        d-----w-        c:\programme\Mindjet
 

2009-12-29 11:57 . 2010-01-02 07:06        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
 

2009-12-29 11:57 . 2009-12-29 11:58        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\tipptrainer2
 

2009-12-29 11:54 . 2009-12-29 11:54        57344        ----a-r-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\NewShortcut8_7036A07AFE2A4920A94419B73D16F106.exe
 

2009-12-29 11:54 . 2009-12-29 11:54        57344        ----a-r-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\NewShortcut2_7036A07AFE2A4920A94419B73D16F106_1.exe
 

2009-12-29 11:54 . 2009-12-29 11:54        25214        ----a-r-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Microsoft\Installer\{7036A07A-FE2A-4920-A944-19B73D16F106}\ARPPRODUCTICON.exe
 

2009-12-29 11:53 . 2009-12-29 11:53        --------        d-----w-        c:\programme\Duden
 

2009-12-29 04:55 . 2009-12-29 04:55        103424        ----a-w-        c:\windows\system32\presenter_nat.dll
 

2009-12-29 04:54 . 2009-12-29 04:54        --------        d-----w-        c:\programme\Brontes Processing
 

2009-12-29 04:54 . 2009-12-29 04:54        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brontes Processing
 

2009-12-27 22:04 . 2010-01-03 14:23        --------        d-----w-        c:\programme\Der Schreibtrainer
 

2009-12-27 09:22 . 2009-12-27 09:22        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\dBpoweramp
 

2009-12-26 04:35 . 2009-12-26 04:35        3103        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.dat
 

2009-12-26 04:08 . 2009-12-26 04:08        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\AccurateRip
 

2009-12-26 04:07 . 2009-12-26 04:31        413048        ----a-w-        c:\windows\system32\SpoonUninstall.exe
 

2009-12-26 04:07 . 2009-12-26 04:07        15337        ----a-w-        c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
 

2009-12-26 04:07 . 2009-12-26 04:07        --------        d-----w-        c:\programme\Illustrate
 

2009-12-25 07:33 . 2009-12-25 07:33        --------        d-----w-        c:\programme\WinDjView
 

2009-12-23 04:42 . 2010-01-03 14:23        --------        d-----w-        c:\programme\MIBA
 
 
 

.
 

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
 

.
 

2010-01-21 15:42 . 2009-10-10 08:32        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Skype
 

2010-01-21 15:23 . 2009-10-10 08:35        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\skypePM
 

2010-01-05 05:12 . 2008-08-13 05:22        --------        d-----w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Thunderbird
 

2010-01-05 05:08 . 2008-08-13 05:21        --------        d-----w-        c:\programme\Mozilla Thunderbird
 

2010-01-03 19:48 . 2003-04-02 12:00        85732        ----a-w-        c:\windows\system32\perfc007.dat
 

2010-01-03 19:48 . 2003-04-02 12:00        462906        ----a-w-        c:\windows\system32\perfh007.dat
 

2010-01-03 15:47 . 2009-12-04 17:44        --------        d-----w-        c:\programme\Diagnose-BK
 

2010-01-03 14:25 . 2008-04-05 22:04        --------        d--h--w-        c:\programme\InstallShield Installation Information
 

2010-01-03 14:23 . 2008-09-25 16:11        --------        d-----w-        c:\programme\Wortschatz
 

2010-01-03 14:22 . 2008-05-26 19:28        --------        d-----w-        c:\programme\uTorrent
 

2010-01-02 17:43 . 2009-08-04 07:49        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
 

2010-01-02 11:49 . 2008-08-30 08:53        --------        d-----w-        c:\programme\Hardcopy
 

2010-01-02 03:33 . 2009-02-08 14:12        --------        d-----w-        c:\programme\StreamDown v6.4.3
 

2009-12-29 04:55 . 2008-04-06 15:59        73816        ----a-w-        c:\dokumente und einstellungen\XXX.NOTEBOOK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
 

2009-12-24 05:41 . 2008-04-06 17:42        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
 

2009-12-04 05:56 . 2009-11-09 05:02        --------        d-----w-        c:\programme\Garmin
 

2009-12-04 05:47 . 2009-11-09 05:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\GARMIN
 

2009-11-21 15:54 . 2003-04-02 12:00        471552        ----a-w-        c:\windows\AppPatch\aclayers.dll
 

2009-11-13 18:37 . 2009-11-13 18:42        1420481        ----a-w-        c:\programme\8009267F_UT_20021014_001_mathe1_0001.asf320.asf
 

2009-11-13 18:36 . 2008-12-28 09:24        156672        ----a-w-        c:\windows\system32\rmc_fixasf.exe
 

2009-11-13 18:36 . 2008-12-28 09:24        237568        ----a-w-        c:\windows\system32\rmc_rtspdl.dll
 

2009-11-13 18:35 . 2008-12-28 09:22        323584        ----a-w-        c:\windows\system32\AUDIOGENIE2.DLL
 

2009-10-29 07:40 . 2003-04-02 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
 

2009-10-19 17:59 . 2010-01-02 04:21        47104        ----a-w-        c:\programme\mozilla firefox\components\FFComm.dll
 

.
 
 
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
 

.
 

.
 

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
 

REGEDIT4
 
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]
 

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
 
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 

"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]
 

"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
 

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 126976]
 

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 561152]
 

"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
 

"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
 

"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
 

"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2003-01-09 53248]
 

"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-10 1190632]
 

"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-10 1966928]
 

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-09 149024]
 

"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]
 

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
 

"iTunesHelper"="g:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
 

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
 

"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
 

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
 

"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240]
 

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
 

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
 

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
 

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
 

"Adobe Reader Speed Launcher"="g:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
 

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
 

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
 
 
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
 

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 
 
 

c:\dokumente und einstellungen\XXX.NOTEBOOK\Startmen\Programme\Autostart\
 

Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
 
 
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
 

Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2008-8-30 1281536]
 

HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
 
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
 

2006-08-03 01:20        188482        ----a-w-        c:\windows\system32\LgNotify.dll
 
 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
 

"%windir%\\system32\\sessmgr.exe"=
 

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
 

"c:\\Programme\\Microsoft Games\\Age of Empires\\Empires.exe"=
 

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
 

"g:\\Programme\\mIRC\\mirc.exe"=
 

"c:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=
 

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
 

"c:\\WINDOWS\\system32\\java.exe"=
 

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
 

"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
 

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
 

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
 

"c:\\Programme\\ICQ6.5\\ICQ.exe"=
 

"g:\\Programme\\iTunes\\iTunes.exe"=
 

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
 

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
 

"g:\\Programme\\Nero\\Nero 9\\Nero ShowTime\\ShowTime.exe"=
 

"g:\\Programme\\SoulseekNS\\slsk.exe"=
 

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
 

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 
 
 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [05.01.2010 06:23 28552]
 

R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 09:13 330144]
 

R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 11:46 251680]
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.01.2010 17:04 108289]
 

R3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;c:\windows\system32\drivers\wbms.sys [06.04.2008 10:16 30208]
 

R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\wbsd.sys [06.04.2008 10:16 25600]
 

S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [20.08.2008 06:08 70336]
 

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [10.05.2009 20:34 89256]
 

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [10.05.2009 20:34 15016]
 

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [10.05.2009 20:34 120744]
 

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [10.05.2009 20:34 114216]
 

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [10.05.2009 20:34 25512]
 

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [10.05.2009 20:34 110632]
 

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [10.05.2009 20:34 115752]
 

.
 

.
 

------- Zusätzlicher Suchlauf -------
 

.
 

uStart Page = hxxp://www.google.de/
 

uInternet Connection Wizard,ShellNext = iexplore
 

uInternet Settings,ProxyOverride = *.local
 

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
 

FF - ProfilePath - c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\
 

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
 

FF - component: c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
 

FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll
 

FF - plugin: c:\dokumente und einstellungen\XXX.NOTEBOOK\Anwendungsdaten\Mozilla\Firefox\Profiles\8bebwa6k.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
 

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
 

FF - plugin: g:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
 

FF - plugin: g:\programme\iTunes\Mozilla Plugins\npitunes.dll
 

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

.
 

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 
 
 

HKLM-Run-DXDllRegExe - dxdllreg.exe
 

AddRemove-Tomb Raider - The Last Revelation - g:\tomb\Uninst.isu
 
 
 
 
 
 
 

**************************************************************************
 
 
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 

Rootkit scan 2010-01-22 00:51
 

Windows 5.1.2600 Service Pack 3 NTFS
 
 
 

Scanne versteckte Prozesse... 
 
 
 

Scanne versteckte Autostarteinträge... 
 
 
 

Scanne versteckte Dateien... 
 
 
 

Scan erfolgreich abgeschlossen
 

versteckte Dateien: 0
 
 
 

**************************************************************************
 

.
 

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 
 
 

- - - - - - - > 'winlogon.exe'(1044)
 

c:\windows\system32\LgNotify.dll
 
 
 

- - - - - - - > 'lsass.exe'(1100)
 

c:\windows\system32\relog_ap.dll
 

.
 

Zeit der Fertigstellung: 2010-01-22  00:56:09
 

ComboFix-quarantined-files.txt  2010-01-21 23:56
 
 
 

Vor Suchlauf: 1.492.221.952 Bytes frei
 

Nach Suchlauf: 7.209.263.104 Bytes frei
 
 
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 

[boot loader]
 

timeout=2
 

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
 

[operating systems]
 

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 
 
 

- - End Of File - - 36AA5DF9DC9827779444A904DD716D2A

VG
Six Cylinders

Bitte mach nochmal einen Durchlauf mit GMER und poste das Log, danach bitte noch einen Kontrollscan: öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Guten Morgen,

werde ich gleich machen.
Eine Frage noch vorab:
Habe auf meiner externen Platte einige Musikdateien, PDF-, Word-, und Excel-Dateien, die ich eigentl. nicht löschen möchte.
Wie kann ich feststellen, ob die Platte nicht auch infiziert ist?

Gruß
Six

Zitat:

Wie kann ich feststellen, ob die Platte nicht auch infiziert ist?

Malwarebytes? :confused:
Eine "Platte" kann man scheklcht infizieren, wenn sind da schädöliche Dateien drauf. Es kann aber sein, dass da ein Schädling die Autorunfunktion missbraucht, deswegen abschalten!!

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Hallo,

bei beiden Anwendungen wieder Funde!

Gmer

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-22 11:13:27

Windows 5.1.2600 Service Pack 3

Running: qcinxwiq.exe; Driver: C:\DOKUME~1\XXX~1.NOT\LOKALE~1\Temp\kxrdqpow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8B683BE                                  ZwCreateKey

SSDT            F8B683B4                                  ZwCreateThread

SSDT            F8B683C3                                  ZwDeleteKey

SSDT            F8B683CD                                  ZwDeleteValueKey

SSDT            F8B683D2                                  ZwLoadKey

SSDT            F8B683A0                                  ZwOpenProcess

SSDT            F8B683A5                                  ZwOpenThread

SSDT            F8B683DC                                  ZwReplaceKey

SSDT            F8B683D7                                  ZwRestoreKey

SSDT            F8B683C8                                  ZwSetValueKey

SSDT            F8B683AF                                  ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.reloc          C:\WINDOWS\system32\drivers\acehlp10.sys  section is executable [0xF7F64B80, 0x37FC7, 0xE0000060]

.reloc          C:\WINDOWS\system32\drivers\acedrv10.sys  section is executable [0xEE4B0000, 0x459C1, 0xE0000060]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   mouclass.sys (Mausklassentreiber/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
 

---- EOF - GMER 1.0.15 ----

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3614

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

22.01.2010 12:06:08

mbam-log-2010-01-22 (12-06-08).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 205916

Laufzeit: 47 minute(s), 28 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP678\A0306495.sys (Malware.Trace) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{05B68C21-811F-49AF-8443-32B017F02786}\RP678\A0306583.sys (Malware.Trace) -> Quarantined and deleted successfully.

Gruß
Six

Das GMER Log ist okay, MBAM hat nur Dateien in der SWH gefunden :)

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

OK, habe die Systemwiederherstellung deaktiviert.
Ist mein Rechner jetzt frei von Viren?

Gruß
Six

Ja, ich denke man kann Dich entlassen :D

OK, vielen Dank für deine Hilfe:party:

VG
Six