Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus wordslife.com/index.php (https://www.trojaner-board.de/91140-virus-wordslife-com-index-php.html)

MWinni 25.09.2010 23:59
Virus wordslife.com/index.php
 
Hallo liebe Virus-Experten!

Ich habe mir heute offensichtlich übers WEB einen Virus eingefangen, der jetzt mächtig Ärger macht und habe keine Ahnung, wie ich den wieder los werde, da ich PC-Laie bin. Ich nutze Win VISTA und den IE. Antivir hat ebenso wie SpyBot Search and Destroy nichts gefunden.
Alles fing mit einer wohl gefakten Internetseiten-Meldung an, dass ich Malware auf dem Rechner habe und das System gescant werden müsse oder sowas (die Meldung kam, als ich bei h**p://www.onlinefussballmanager.de war - die Meldung kam dort heute gleich 2 Mal). Ich habe es als Fake erkannt und oben rechts aufs X geklickt um die Seite zuzumachen. Leider hat das aber nicht funktioniert und es wurde eine Windows-Kontrollseite geöffnet in der irgendwas automatisch passierte. Erschrocken habe ich sofort den Rechner manuell ausgeschaltet und neu gestartet.
Seitdem öffnet sich im IE willkürlich eine Seite namens h**p://wordslife.com/index.php. Ich meine auch mal eine zufällig geöffnete Seite namens google syndicate gesehen zu haben, die sofort auf eine andere Seite mit einer sehr langen URL verwiesen hat, die ich ebenfalls eilig geschlossen habe noch bevor sie richtig geladen war.
Die Google-Suche ergab, dass ein Programm namens STOPzilla diesen wordslife-Virus löschen könne. Ich habe es installiert und suchen lassen. Es hat "nur" etwas namens "Search Hijacker.H" entdeckt und geblockt. Um es löschen zu können müsste ich mich dort registrieren und das Programm für 23.95$ kaufen. Da es nicht den Wordslife.com-Virus anzeigt und man auf deutschen Seiten kaum etwas dazu findet habe ich bislang vom Kauf abgesehen.

Ich hoffe, ihr könnt mir helfen mein System ohne Neuinstallation zu retten! Ich bin über jede Hilfe unendlich dankbar!

Viele Grüße

Marc

Nachtrag:
Ich habe jetzt auch malwarebytes das System checken lassen und anschließend OTL durchgeführt, so wie das von euch hier im Forum angegeben war. Leider funktioniert die Aktualisierung bei malwarebytes nicht, weshalb der Check wohl ziemlich wenig aussagekräftig ist. (Version 1.46, aktuelle Datenbank-Information: 4/29/2010, Version 4052)
Es erscheint die Fehlermeldung:
Ein Fehler ist aufgetreten. Bitte geben sie folgendem Fehlercode an das Malwarebytes' Antimalware Support-Team weiter: MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest).
Liegt das an meinem System oder ist evtl. die Aktualisierungs-Routine von Malwarebytes gerade defekt?

Hier aber mal das logfile (gefunden hat er ja trotzdem was) sowie im Anschluss die Files von OTL (Einstellung Minimal-Ausgabe, war das richtig?)

Ich hoffe sooo sehr, dass mir hier jmd. helfen kann! :-)

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

26.09.2010 02:07:13
mbam-log-2010-09-26 (02-07-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 360967
Laufzeit: 1 Stunde(n), 22 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.



OTL.txt:OTL Logfile:
Code:
OTL logfile created on: 26.09.2010 02:29:49 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Users\***\Desktop\TOPF - WM Songs
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 63,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 100,01 Gb Total Space | 34,06 Gb Free Space | 34,06% Space Free | Partition Type: NTFS
Drive D: | 257,90 Gb Total Space | 234,02 Gb Free Space | 90,74% Space Free | Partition Type: NTFS
Drive E: | 648,72 Gb Total Space | 646,14 Gb Free Space | 99,60% Space Free | Partition Type: NTFS
Drive F: | 390,63 Gb Total Space | 388,39 Gb Free Space | 99,42% Space Free | Partition Type: NTFS
Drive G: | 4,21 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: HORST
Current User Name: Marc
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\TOPF - WM Songs\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe (Google Inc.)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Common Files\iS3\Anti-Spyware\SZServer.exe (iS3, Inc.)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10e.exe (Adobe Systems, Inc.)
PRC - C:\Program Files (x86)\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
PRC - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Windows\SysWOW64\conime.exe (Microsoft Corporation)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
PRC - C:\Program Files (x86)\ASUS\EPU\EPU.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\***\Desktop\TOPF - WM Songs\OTL.exe (OldTimer Tools)
MOD - C:\Windows\SysWOW64\WindowsCodecs.dll (Microsoft Corporation)
MOD - C:\Windows\SysWOW64\EhStorShell.dll (Microsoft Corporation)
MOD - C:\Windows\SysWOW64\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\SysWOW64\linkinfo.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (appdrvrem01) -- C:\Windows\SysNative\appdrvrem01.exe (Protection Technology)
SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (szserver) -- C:\Program Files (x86)\Common Files\iS3\Anti-Spyware\SZServer.exe (iS3, Inc.)
SRV - (WPFFontCache_v0400) -- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_64) -- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (SBSDWSCService) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (NwlnkFwd) -- C:\Windows\SysNative\DRIVERS\nwlnkfwd.sys File not found
DRV:64bit: - (NwlnkFlt) -- C:\Windows\SysNative\DRIVERS\nwlnkflt.sys File not found
DRV:64bit: - (IpInIp) -- C:\Windows\SysNative\DRIVERS\ipinip.sys File not found
DRV:64bit: - (Lbd) -- C:\Windows\SysNative\DRIVERS\Lbd.sys (Lavasoft AB)
DRV:64bit: - (appdrv01) Application Driver (01) -- C:\Windows\SysNative\Drivers\appdrv01.sys (Protection Technology)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\DRIVERS\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\DRIVERS\avgntflt.sys (Avira GmbH)
DRV:64bit: - (L1E) -- C:\Windows\SysNative\DRIVERS\L1E60x64.sys (Atheros Communications, Inc.)
DRV:64bit: - (s115mgmt) Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM) -- C:\Windows\SysNative\DRIVERS\s115mgmt.sys (MCCI Corporation)
DRV:64bit: - (s115obex) -- C:\Windows\SysNative\DRIVERS\s115obex.sys (MCCI Corporation)
DRV:64bit: - (s115mdm) -- C:\Windows\SysNative\DRIVERS\s115mdm.sys (MCCI Corporation)
DRV:64bit: - (s115mdfl) -- C:\Windows\SysNative\DRIVERS\s115mdfl.sys (MCCI Corporation)
DRV:64bit: - (s115bus) Sony Ericsson Device 115 driver (WDM) -- C:\Windows\SysNative\DRIVERS\s115bus.sys (MCCI Corporation)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\DRIVERS\ASACPI.sys ()
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\Wbem\ntfs.mof ()
DRV - (szkg5) -- C:\Windows\SySWOW64\DRIVERS\szkg64.sys (iS3 Inc.)
DRV - (is3srv) -- C:\Windows\SySWOW64\drivers\is3srv64.sys (iS3 Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2006.09.18 23:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2:64bit: - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg64.dll (Google Inc.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
O2 - BHO: (STOPzilla Browser Helper Object) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Program Files (x86)\STOPzilla!\SZIEBHO.dll (iS3, Inc.)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Program Files (x86)\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe ()
O4 - HKCU..\Run: [Orb] C:\Program Files (x86)\Winamp Remote\bin\OrbTray.exe (Orb Networks)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dragon NaturallySpeaking.lnk = E:\Nuance\NaturallySpeaking10\Program\natspeak.exe (Nuance Communications, Inc.)
O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mausarm.lnk = C:\Program Files (x86)\Mausarm\Mausarm.exe (hxxp://www.repetitive-strain-injury.de)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions present
O8:64bit: - Extra context menu item: Google Sidewiki... - C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files (x86)\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: cnet.com ([download] http in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img22.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img22.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.05.05 15:59:37 | 000,000,055 | R--- | M] () - G:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Launcher.exe -- [2009.06.01 17:43:53 | 000,304,472 | R--- | M] (Cyanide)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.26 00:36:52 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2010.09.26 00:36:41 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.09.26 00:36:39 | 000,024,664 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.09.26 00:36:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2010.09.26 00:36:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.09.25 23:57:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2010.09.25 23:57:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2010.09.25 22:18:43 | 000,000,000 | ---D | C] -- C:\ProgramData\SITEguard
[2010.09.25 22:17:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\STOPzilla!
[2010.09.25 22:17:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\iS3
[2010.09.25 22:17:31 | 000,000,000 | ---D | C] -- C:\ProgramData\STOPzilla!
[2010.09.15 12:40:38 | 000,317,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MP4SDECD.DLL
[2010.09.15 12:40:38 | 000,295,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MP4SDECD.DLL
[2010.09.15 12:40:32 | 000,621,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\usp10.dll
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.26 02:28:51 | 002,097,152 | -HS- | M] () -- C:\Users\***\NTUSER.DAT
[2010.09.26 02:25:46 | 000,000,656 | ---- | M] () -- C:\Windows\SysNative\drivers\kgpcpy.cfg
[2010.09.26 02:17:35 | 001,445,310 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.09.26 02:17:35 | 000,628,504 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.09.26 02:17:35 | 000,595,798 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.09.26 02:17:35 | 000,126,248 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.09.26 02:17:35 | 000,103,872 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.09.26 02:13:04 | 000,000,394 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2010.09.26 02:12:31 | 000,034,800 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2010.09.26 02:12:31 | 000,034,800 | ---- | M] () -- C:\ProgramData\nvModes.001
[2010.09.26 02:11:54 | 000,003,712 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.09.26 02:11:54 | 000,003,712 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.09.26 02:11:53 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.26 02:11:51 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.09.26 02:11:49 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.09.26 02:10:41 | 000,524,288 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{c328fef1-6a85-11db-9fbd-cf3689cba3de}.TMContainer00000000000000000001.regtrans-ms
[2010.09.26 02:10:41 | 000,065,536 | -HS- | M] () -- C:\Users\***\NTUSER.DAT{c328fef1-6a85-11db-9fbd-cf3689cba3de}.TM.blf
[2010.09.26 02:10:39 | 001,476,740 | -H-- | M] () -- C:\Users\***\AppData\Local\IconCache.db
[2010.09.26 01:55:02 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.26 00:36:43 | 000,000,848 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.25 23:57:50 | 000,001,097 | ---- | M] () -- C:\Users\***\Desktop\Spybot - Search & Destroy.lnk
[2010.09.25 19:26:40 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{EEDF699F-0E41-4ECC-B79D-90AE2425CDF4}.job
[2010.09.22 17:13:45 | 000,001,917 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
 
========== Files Created - No Company Name ==========
 
[2010.09.26 02:12:46 | 000,000,656 | ---- | C] () -- C:\Windows\SysNative\drivers\kgpcpy.cfg
[2010.09.26 00:36:43 | 000,000,848 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.25 23:57:50 | 000,001,097 | ---- | C] () -- C:\Users\***\Desktop\Spybot - Search & Destroy.lnk
[2010.09.25 22:24:59 | 000,000,394 | ---- | C] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2010.03.25 17:57:17 | 000,441,082 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistMSI44CE.txt
[2010.03.25 17:57:16 | 000,011,658 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistUI44CE.txt
[2010.03.20 02:08:42 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.03.13 19:40:04 | 000,430,392 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistMSI69E0.txt
[2010.03.13 19:40:03 | 000,011,462 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistUI69E0.txt
[2010.03.13 19:39:27 | 000,413,914 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistMSI696B.txt
[2010.03.13 19:39:27 | 000,011,598 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistUI696B.txt
[2010.02.02 21:18:14 | 010,182,144 | ---- | C] () -- C:\Programme\openofficeorg32.msi
[2010.02.02 21:18:10 | 146,492,804 | ---- | C] () -- C:\Programme\openofficeorg1.cab
[2010.02.02 01:28:52 | 000,000,290 | ---- | C] () -- C:\Programme\setup.ini
[2009.12.13 18:27:09 | 000,001,315 | ---- | C] () -- C:\Users\***\AppData\Roaming\SAS7_000.DAT
[2009.12.06 18:00:15 | 000,368,640 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.12.06 18:00:08 | 000,117,248 | ---- | C] () -- C:\Windows\SysWow64\EhStorAuthn.dll
[2009.12.06 17:45:12 | 000,009,216 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.12.06 17:06:09 | 000,042,276 | ---- | C] () -- C:\Windows\Ascd_log.ini
[2009.12.06 17:01:11 | 000,024,576 | R--- | C] () -- C:\Windows\SysWow64\AsIO.dll
[2009.12.06 17:01:11 | 000,014,392 | R--- | C] () -- C:\Windows\SysWow64\drivers\AsIO.sys
[2009.12.06 17:01:09 | 000,011,832 | ---- | C] () -- C:\Windows\SysWow64\drivers\AsInsHelp64.sys
[2009.12.06 17:01:09 | 000,010,216 | ---- | C] () -- C:\Windows\SysWow64\drivers\AsInsHelp32.sys
[2009.12.06 16:59:31 | 000,001,746 | ---- | C] () -- C:\Windows\Language_trs.ini
[2009.12.06 16:56:57 | 000,035,811 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
[2009.12.06 16:36:47 | 000,418,498 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistMSI42B6.txt
[2009.12.06 16:36:47 | 000,011,362 | ---- | C] () -- C:\Users\***\AppData\Local\dd_vcredistUI42B6.txt
[2009.12.06 16:27:33 | 000,034,800 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009.12.06 16:27:33 | 000,034,800 | ---- | C] () -- C:\ProgramData\nvModes.001
[2009.12.06 16:18:50 | 000,000,732 | ---- | C] () -- C:\Users\***\AppData\Local\d3d9caps64.dat
[2009.09.24 00:46:04 | 000,085,504 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll
[2009.05.30 02:37:40 | 000,205,824 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2009.05.30 02:31:52 | 000,881,664 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\SysWow64\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll
[2008.09.12 16:21:02 | 000,000,547 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll.manifest
[2008.01.21 04:50:05 | 000,060,124 | ---- | C] () -- C:\Windows\SysWow64\tcpmon.ini
[2007.12.28 09:22:02 | 000,010,296 | ---- | C] () -- C:\Windows\SysWow64\drivers\ASUSHWIO.SYS
[2007.09.04 12:56:10 | 000,164,352 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2007.02.05 20:05:26 | 000,000,038 | ---- | C] () -- C:\Windows\AviSplitter.INI
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 228 bytes -> C:\ProgramData\TEMP:F35A93AD
< End of report >
--- --- ---


EXTRAS.TXT:OTL Logfile:
Code:
OTL Extras logfile created on: 26.09.2010 02:29:49 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Users\***\Desktop\TOPF - WM Songs
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 63,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 100,01 Gb Total Space | 34,06 Gb Free Space | 34,06% Space Free | Partition Type: NTFS
Drive D: | 257,90 Gb Total Space | 234,02 Gb Free Space | 90,74% Space Free | Partition Type: NTFS
Drive E: | 648,72 Gb Total Space | 646,14 Gb Free Space | 99,60% Space Free | Partition Type: NTFS
Drive F: | 390,63 Gb Total Space | 388,39 Gb Free Space | 99,42% Space Free | Partition Type: NTFS
Drive G: | 4,21 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.exe [@ = exefile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "C:\Programme (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" File not found
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" File not found
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 9F 9E 16 8C DC 5B C8 01  [binary data]
"VistaSp2" = 35 D0 9E 17 90 76 CA 01  [binary data]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{07BEB848-5AC5-4CA6-9FAD-5E60A44D7589}" = protocol=6 | dir=in | app=d:\spiele\cyanide\tour de france 2009 - der offizielle radsport-manager\autorun\exe\autorun.exe |
"{16C27E2C-E7EF-42DD-8773-90379A853FBC}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbstreamerclient.exe |
"{45A4BB28-D700-434A-B0D8-577D1008EE7B}" = protocol=6 | dir=in | app=d:\spiele\cyanide\tour de france 2009 - der offizielle radsport-manager\pcm.exe |
"{4EA07465-FF9C-4BC9-A190-65174C064904}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orb.exe |
"{54086710-7C2D-4971-A0BF-964D96AC97F9}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbir.exe |
"{81898922-268F-4533-99AF-0705E5677725}" = protocol=17 | dir=in | app=d:\spiele\cyanide\tour de france 2009 - der offizielle radsport-manager\autorun\exe\autorun.exe |
"{8202AD1C-7662-4771-9591-F93FD2446AE2}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbstreamerclient.exe |
"{A4BF6CAB-908B-4A52-9C13-2E3D3AB01CD7}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbtray.exe |
"{A6D6C7D4-4F1E-41C0-853D-142D4BE8107F}" = protocol=17 | dir=in | app=d:\spiele\cyanide\tour de france 2009 - der offizielle radsport-manager\pcm.exe |
"{B68C9863-5900-4209-84C5-BA417AF9DC0F}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbtray.exe |
"{C6E481EA-DA30-4DD9-B909-9DA95857598E}" = protocol=6 | dir=in | app=c:\program files (x86)\cyanide\gamecenter\gamecenter.exe |
"{C7ED10E8-6D93-4D5B-B8B8-A4EF42520121}" = protocol=6 | dir=in | app=c:\program files (x86)\winamp remote\bin\orbir.exe |
"{C986287D-0FE1-45AA-8A6D-A1C1F06AAE7D}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe |
"{E15B0004-9B9F-4602-B67B-1AC06A43D252}" = protocol=17 | dir=in | app=c:\program files (x86)\winamp remote\bin\orb.exe |
"{EED0D9D3-BFF6-4702-B7CD-8B1BEEB1E916}" = protocol=17 | dir=in | app=c:\program files (x86)\cyanide\gamecenter\gamecenter.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java(TM) 6 Update 16 (64-bit)
"{350AA351-21FA-3270-8B7A-835434E766AD}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022
"{4A5A427F-BA39-4BF0-9A47-7777FBE60C9F}" = Visual C++ Runtime for Dragon NaturallySpeaking 64bit (x64)
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216017F0}" = Java(TM) 6 Update 17
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4DECFC9F-2310-4C02-009A-B6758306EF00}" = FIFA 06
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7A690610-D345-4889-98E0-CC2153718A46}_is1" = Mausarm 1.0.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A9EB5FC-1155-497B-9AF9-D1AB20382B10}" = STOPzilla
"{9C2AC00C-0C06-4B7E-97A4-A833808D54D6}" = EPU
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D4FE08FD-C342-4A50-AE8B-3E9236DC20ED}" = Evoluent Mouse Manager
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
"{E7712E53-7A7F-46EB-AA13-70D5987D30F2}" = Dragon NaturallySpeaking 10
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}" = Vista Codec Package
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"eMusic Promotion" = 50 FREE MP3s +1 Free Audiobook!
"GameCenter" = GameCenter
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Orb" = Winamp Remote
"PokerStars" = PokerStars
"Pro Cycling Manager 2009_is1" = Pro Cycling Manager - Season 2009 1.0.3.3
"VLC media player" = VLC media player 1.0.3
"Winamp" = Winamp
 
========== Last 10 Event Log Errors ==========
 
[ System Events ]
Error - 23.06.2010 13:05:53 | Computer Name = *** | Source = Service Control Manager | ID = 7011
Description =
 
Error - 24.06.2010 06:15:12 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 26.06.2010 08:00:44 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.2 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 26.06.2010 19:12:49 | Computer Name = *** | Source = Service Control Manager | ID = 7011
Description =
 
Error - 28.06.2010 07:41:25 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.3 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 29.06.2010 08:33:29 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.3 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 30.06.2010 07:44:12 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.3 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 01.07.2010 08:47:28 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.3 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
Error - 01.07.2010 16:57:53 | Computer Name = *** | Source = Service Control Manager | ID = 7011
Description =
 
Error - 02.07.2010 19:05:42 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.3 für die Netzwerkkarte mit der Netzwerkadresse
 0026186E921C wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
 hat eine DHCPNACK-Meldung gesendet).
 
 
< End of report >
--- --- ---

MWinni 26.09.2010 11:58
Virus-Meldung von Webseite
 
Noch ein Nachtrag:
Als ich gerade den IE wieder geöffnet und gleich ins Forum hier gegangen bin kam sofort wieder folgende Meldung:
Meldung von Webseite:
Warning! Your computer contains various signs of viruses and malware programs preserve. Your system requires immediate antivirus check! Antivirus 2010 will perform a quick and free online checking of your pc.

Die URL lautete: h**p://95.79.230.259:11066/index.html2u=141&t=1 - Windows Internet Explorer.

Ich habe das Fenster nicht angeklickt und den Rechner sofort neu gestartet.
Beim 2. Versuch jetzt ist das Fenster noch nicht aufgetaucht, aber ich hab auch nur das Forum hier geöffnet.

Kann mir nun jemand bei dem Problem helfen? Ich verzweifle langsam :-(

Viele Grüße
MWinni

cosinus 26.09.2010 12:01
Zitat:
Datenbank Version: 4052
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

MWinni 26.09.2010 12:08
Hi Arne!

Vielen Dank für deine Antwort erstmal! :-)
Leider lässt sich die malwarebytes-Software nicht aktualisieren: Es erscheint auch heute immer die oben angegebene Fehlermeldung:
MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest)

Was soll ich tun?

LG
Marc

cosinus 26.09.2010 12:10
Probier ein manuelles Update => http://data.mbamupdates.com/tools/mbam-rules.exe

MWinni 26.09.2010 12:14
Supersupernett, dass du mir hilfst Arne!

Wenn ich den Link anklicke sagt der IE aber, die Seite wird nicht gefunden...?

Ich hab malwarebytes grade auch nochmal neu installiert gehabt und bekomm die gleiche Fehlermeldung bei der Aktualisierung.

MWinni 26.09.2010 12:22
Der Virus macht auf jeden Fall gerade stetig Ärger. Die Forums-Seite war gerade auf einmal einfach weg und stattdessen wieder durch eine Webseite mit langer ip-adresse ersetzt... :-( Außerdem popt immer wieder diese wordslife.com/index.php-Seite auf.

Unterbindet der Virus vielleicht sogar die Aktualisierung von malwarebytes? :-(

cosinus 26.09.2010 12:22
Ich hab die mbam-rules mal für Dich hochgeladen => File-Upload.net - mbam-rules.exe

MWinni 26.09.2010 12:28
Super, das hat funktioniert!

Jetzt steht bei der Aktualisierung:
Datum 9/19/2010
Datenbank Version: 4653
Geladene Signaturen: 281412

Das ist richtig so oder? Ich starte dann mal den Suchlauf (Vollscan oder?) und meld mich wieder sobald das durch ist. Ich bin dir wahnsinnig dankbar für deine Hilfe! Wenn ich den Virus los werde werd ich auf jeden Fall gerne auch was für eure Initiative hier spenden!

LG
Marc

cosinus 26.09.2010 12:30
Ja, jetzt kannst Du ihn mal starten. Über den Updatebutton bekommt man zwar noch aktuellere, aber das funktioniert ja noch nicht. machen wir später nochmal.

MWinni 26.09.2010 13:51
Hi!

Malwarebytes hat absolut nichts mehr gefunden. Wie gehts denn jetzt weiter?

Hier die logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4653

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

26.09.2010 14:48:13
mbam-log-2010-09-26 (14-48-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 380216
Laufzeit: 1 Stunde(n), 16 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MWinni 26.09.2010 16:51
Ich hab jetzt auch noch SUPERAntiSpyware (nach Update auf neuste Version) scannen lassen weil das hier teilweise empfohlen wird. Er hat ein paar Sachen gefunden, aber ich glaube nur harmloses. Warte sehnsüchtig auf Hilfe für weitere Schritte!

Hier das Logfile dazu:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/26/2010 at 05:41 PM

Application Version : 4.43.1000

Core Rules Database Version : 5580
Trace Rules Database Version: 3392

Scan type : Complete Scan
Total Scan Time : 02:16:02

Memory items scanned : 492
Memory threats detected : 0
Registry items scanned : 12884
Registry threats detected : 0
File items scanned : 265505
File threats detected : 13

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\marc@stopzilla[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\marc@www.stopzilla[1].txt
akamai.smartadserver.com [ C:\Users\Marc\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
cdn4.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
cdn5.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
imagesrv.adition.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
media.scanscout.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
media.stage-entertainment.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
mediadb.kicker.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
s0.2mdn.net [ C:\Users\Marc\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
secure-us.imrworldwide.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QEBA64TU ]
ds.serving-sys.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3PAVQPBN ]
s0.2mdn.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3PAVQPBN ]

cosinus 26.09.2010 18:19
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O32 - AutoRun File - [2008.05.05 15:59:37 | 000,000,055 | R--- | M] () - G:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Launcher.exe -- [2009.06.01 17:43:53 | 000,304,472 | R--- | M] (Cyanide)
[2010.09.26 02:25:46 | 000,000,656 | ---- | M] () -- C:\Windows\SysNative\drivers\kgpcpy.cfg
@Alternate Data Stream - 228 bytes -> C:\ProgramData\TEMP:F35A93AD
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

MWinni 26.09.2010 20:27
Hi Arne!

Freu mich riesig über deine Hilfe!

Ich hab das ausgeführt, musste den PC danach neu starten. Das logfile folgt hier unten. Aber weg ist der Virus nicht (auch wenn sich die drittletzte Zeile für mich so liest). Als ich den IE gerade aufgemacht habe um dir hier im Forum das logfile zu posten, hat der Trojaner die Seite umgelinkt und es kam so eine Windows-Fakeseite bei der angeblich mein System geprüft wird und in den Ordnern zig Trojanerfunde angezeigt werden. Wie gehts nun weiter? Ich hoffe, das System ist zu retten? :-( Kann es sein, dass der Virus auf dem Router hockt?

Hier das logfile:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully.
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
File move failed. G:\Autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4714c7e7-e270-11de-ab05-806e6f6e6963}\ not found.
File move failed. G:\Launcher.exe scheduled to be moved on reboot.
C:\Windows\SysNative\drivers\kgpcpy.cfg moved successfully.
ADS C:\ProgramData\TEMP:F35A93AD deleted successfully.
========== COMMANDS ==========
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Marc
->Temp folder emptied: 21646861 bytes
->Temporary Internet Files folder emptied: 64523477 bytes
->Java cache emptied: 35397015 bytes
->Flash cache emptied: 35190 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 115405 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 63351137 bytes

Total Files Cleaned = 177,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09262010_211717

Files\Folders moved on Reboot...
File move failed. G:\Autorun.inf scheduled to be moved on reboot.
File move failed. G:\Launcher.exe scheduled to be moved on reboot.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
C:\Users\Marc\AppData\Local\Temp\Low\Google Toolbar\GoogleToolbarWelcome.log moved successfully.
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA253.tmp not found!
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA266.tmp not found!
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA2C1.tmp not found!
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA2CC.tmp not found!
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA30C.tmp not found!
File\Folder C:\Users\Marc\AppData\Local\Temp\~DFA317.tmp not found!
C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WZ621P72\ads[1].htm moved successfully.
C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L9H09RQK\91140-virus-wordslife-com-index-php-2[1].html moved successfully.
C:\Users\Marc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\F8C29DXX\ads[1].htm moved successfully.

Registry entries deleted on Reboot...

cosinus 27.09.2010 10:38
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:41 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131