Merkwürdiges Verhalten Winxphe
#1
geschrieben 19. Januar 2008 - 22:32
hatte heute ein sejr merkwürdiges verhalten...soweit mir einer sustimmen möchte.
Ich hatte Windows heruntergefahren.......als ich nach ner halben stunde merkte das meine Festplatte schön am arbeiten ist.....ich fande das komisch das der PC überhaupt an war. Ich machte meinen Monitor an dann erschien der klassische Anmeldedialog unter Windows XP Home.....hm normalerweise habe ich den Willkommensdialog.....naja wie auch immer da stand das ein anderer Benutzer diesen PC verwendet.....was ich erstmal komisch fand......und bekam die Mitteillung das nur ein Administrator den PC entsperren könnte....als ich aber im Feld Benutzername und Kennwort etwas eingeben wollte ging das gar nicht weil diese grau unterlegt waren......da kam mir nur eins in den Kopf sofort ausmachen inkl. Stromversorgung. So was meint Ihr dazu? Keine Ahnung wenn es ein Sicherheitsrelevantes Thema ist hätte ich es auch unter Thema Sicherheit gepostet.
Anzeige
#2
geschrieben 19. Januar 2008 - 23:05
hast Du deisen Beitrag mit einem 2.PC verfasst?
Wenn ja...
- 1.PC vom I-Net Trennen
- im abgesicherten Modus starten
- aktuellen Virenscanner, Spybot und Hijackthis drüber laufen lassen
Sieht ganz so aus, als ob Dein Rechner übernommen und in einem Bot-Netz befinden würde.
Kannst versuchen, Deine Daten mit einer LIVE-CD z.B. Knoppix zu retten - wäre da aber vorsichtig.
Solltest Du ein IMAGE haben - zurückspielen.
Ansonsten hilft nur eins... - platt machen und neu aufsetzen.
Gruß
Rolf
Powered by Windows 7
#3
geschrieben 19. Januar 2008 - 23:12
Trenne aber in jedem Fall den Rechner erstmal vom Internet, und, falls die Möglichkeit besteht lege dir ein Backup an, um notfalls zumindest noch ein paar Daten retten zu können. Eine Live-Cd würde sich dafür, wie schon erwähnt, anbieten, da damit zumindest an der Festplatte nichts verändert wird.
Dieser Beitrag wurde von Samstag bearbeitet: 19. Januar 2008 - 23:12
#4
geschrieben 19. Januar 2008 - 23:32
Also habe es mal gemacht. Habe alles was ich im Moment an sicherheitslösungen habe mit den aktuellsten Definitionen ausgeführt. Hijackthis hatte bei mir keinerlei merkwürdigen sachen angezeigt. Als nächstes kam avast im intensiven Modus erst ofline dann im Bootmodus. Danach einen komplett scan mit s-suqared anti-malware auch keine ergebnisse nur ein Tracing cookie. Danach folgten noch gmer und avg anti rootkit...ebenfalls nicht gefunden ad-aware und windows defender auch nicht. So mehr weiss ich im moment auch nicht was da sein könnte.
#5
geschrieben 19. Januar 2008 - 23:38
1.: Du hast dir Malware eingefangen, dann würde dein Rechner neu aufgesetzt gehören.
2.: Dein Rechner ist während des herunterfahrens abgestürzt, hat sich aufgrund dessen neu gestartet, hat dann eine Festplattenüberprüfung durchgeführt und ist dann im Anmeldebildschirm stehengeblieben.
Ich vermute ja Lösung 2, kann aber Lösung 1 nicht ausschliessen. Beobachte also auf jeden Fall die nächsten Wochen mal genauestens den Taskmanager wegen unbekannten/verdächtigen Prozessen, und poste hier mal ein Hijackthislog zur Überprüfung.
#6
geschrieben 19. Januar 2008 - 23:40
Zitat (joschi19820: 19.01.2008, 22:32)
.. aus diesem Grund.
Hast Du z.B. einen DSL Manager installiert und kannst nachvollziehen, ob bei eigener Inaktivität weiterhin Aktivitäten (Up- oder Downloads) von Deinem PC erfolgen?
Gruß
Rolf
Powered by Windows 7
#7
geschrieben 19. Januar 2008 - 23:42
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:43:30, on 19.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Comodo\Firewall\cmdagent.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Comodo\Firewall\CPF.exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Downloads\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url] O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BlueSoleil.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Webseite mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url="http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200589984906"]http://www.update.microsoft.com/microsoftu...b?1200589984906[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab"]http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{A0C76ADF-EE37-4B4F-88FA-1C4384574613}: NameServer = 192.168.2.1 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7141 bytes
Ich reiche nochmal den gmer log nach.
GMER 1.0.13.12551 - [url="http://www.gmer.net"]http://www.gmer.net[/url] Rootkit scan 2008-01-19 23:49:14 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.13 ---- SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwConnectPort SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateFile SSDT sptd.sys ZwCreateKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreatePort SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateSection SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateThread SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteFile SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey SSDT sptd.sys ZwEnumerateValueKey SSDT sptd.sys ZwOpenKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenProcess SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenSection SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenThread SSDT sptd.sys ZwQueryKey SSDT sptd.sys ZwQueryValueKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetContextThread SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetInformationFile SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetValueKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwShutdownSystem SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwTerminateProcess SSDT \?\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwWriteFile SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwWriteFileGather ---- Kernel code sections - GMER 1.0.13 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F739462C 5 Bytes JMP 867641C8 ? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Das System kann die angegebene Datei nicht finden. ---- User code sections - GMER 1.0.13 ---- .text C:\Programme\Comodo\Firewall\CPF.exe[2120] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes [ FF, 25, 1E ] .text C:\Programme\Comodo\Firewall\CPF.exe[2120] ntdll.dll!LdrLoadDll + 4 7C9261CE 2 Bytes [ 05, 5F ] .text C:\Programme\Comodo\Firewall\CPF.exe[2120] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F08001E .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF2C1 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4467166F C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715F0 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 44671634 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4467157C C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715B6 C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716AA C:\WINDOWS\system32\IEFRAME.dll .text C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 44501676 C:\WINDOWS\system32\IEFRAME.dll ---- Kernel IAT/EAT - GMER 1.0.13 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F776F06C] sptd.sys IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F776F018] sptd.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F77919AE] sptd.sys IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F776F06C] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7758AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7758C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7758B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7759748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F775961E] sptd.sys IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F78B5910] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F78B5950] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F78B56D0] inspect.sys IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F78B5730] inspect.sys ---- Devices - GMER 1.0.13 ---- Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 867631E8 Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 867631E8 AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [B8A1EF76] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [B8A1D812] aswMon2.SYS AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [B8A1D812] aswMon2.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [BAF3AA6A] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [BAF3AA16] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [BAF3A94A] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF3A85E] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [BAF3A9B8] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [BAF3AB12] cmdmon.sys AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F79722C0] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [F79728E6] aswTdi.SYS AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [F79728E6] aswTdi.SYS Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_POWER 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_SYSTEM_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_PNP 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CREATE 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CLOSE 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_DEVICE_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_POWER 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_SYSTEM_CONTROL 86529308 Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_PNP 86529308 ---- EOF - GMER 1.0.13 ----
Zitat
Hast Du z.B. einen DSL Manager installiert und kannst nachvollziehen, ob bei eigener Inaktivität weiterhin Aktivitäten (Up- oder Downloads) von Deinem PC erfolgen?
Gruß
Rolf
Das T-Online zeugs will ich eigentlich nicht. Ausserdem gehe ich über den DSL Router online. Da gibt es den OnlineControl von T-online würde ich eher installieren.
Dieser Beitrag wurde von Urne bearbeitet: 20. Januar 2008 - 00:03
Änderungsgrund: Mal die Logs geboxt. Urne
#8
geschrieben 20. Januar 2008 - 00:15
weis i.M. auch keinen weiteren Rat.
Habe mal die Files bei ProcessLibrary grob gecheckt - nichts verdächtiges....
Auch wenn Du nicht auf T-Online stehst, wie ist eigentlich egal: - gibt es I-Net Aktivitäten ohne dass Du irgendeine Aktion ausführst?
Gruß
Rolf
Powered by Windows 7
#9
geschrieben 20. Januar 2008 - 00:33
#10
geschrieben 20. Januar 2008 - 00:49
Zitat (joschi19820: 20.01.2008, 00:33)
... könnte sein....
Ich häng Dir mal einen LINK an.
http://computer.t-on...2/13598742.html
Ich hoffe zwar nicht, dass dem so ist, aber wenn, dann hat kein Virenscanner, Spybot, Hijackthis oder ähnliches eine Chance.
Dann hilft wirklich nur noch neu aufsetzen oder ein Image zurückspielen.
Gruß
Rolf
Dieser Beitrag wurde von robusoe bearbeitet: 20. Januar 2008 - 00:52
Powered by Windows 7
#11 _Hinterwäldler_
geschrieben 20. Januar 2008 - 10:34
Was sagt dein menschlicher Verstand und deine angeborene Intelligenz zu einem solchen, gar nicht so merkwürdigen Verhalten? Du hast offensichtlich deinen Verstand abgeschaltet und die Kontrolle über das System einer Software übergeben. Eine brauchbare KI wird es vermutlich erst in 100 Jahren geben. Bis dahin mußt du noch wohl oder übel mit dem bissl Schwabbelmasse unter der Schädeldecke zufrieden geben. Worüber wunderst du dich eigentlich? So schnell geht es eben mal.
Wenn ich mich richtig erinnere, hast du bei der letzten PFW-Diskussion auf dem Sicherheitsbrett dir mit großer Lippe ein paar Tüten Chips und Peanuts (Link gefällig) geholt. Ich nehme mal stark an, das du dabei versäumt hast dein System vom Internet zu trennen und es unbeaufsichtigt weiterlaufen lassen. In dieser Zeit kam ein Worm durch das Window(s) gekrochen und hat von deinem PC Besitz ergriffen. Zudem von dir der IÄ und OjE statt wie immer von uns propagiert, TB und FF mit ABP und NoScript verwendet wird. Du hast bis zum heutigen Tage Lernresistenz zur Schau getragen. Selbst MS sagt zu der Software, das sie bestens zur Replikation von Malware geeignet ist.
Mal ganz ehrlich: Wenn ich mich derart überlegen auf dem Brett geäußert hätte, würde ich mich in Grund und Boden schämen und ein paar Stunden später nicht über eine Kompromittierung zu berichten. Ich hätte wenigstens das Dings unverzüglich Platt gemacht und neu installiert und mich danach ganz still schweigend in die letzte Ecke des Internet mit verkrochen. So jedoch ist dein nagelneuer Server mit Eigenleben eine ernste Gefahr für alle User und nicht nur für dich. Wir können nun deine Teilnahme am genannten Thread noch nachträglich als Trollerei einorden.
Die Kompromittierung eines Systems ist unter den Bedingungen des DSL innerhalb von 20 Sekunden vollzogen. Ein auslösendes Hölzernes Pferdchen wirst du bei moderner Malware vergeblich suchen, es wurde nach der Installation und Konfiguration des Servers von der nachgeladenen Software gelöscht. Wenn du Glück hast, könntest du das Dings noch in der Systemwiederherstellung finden. Aber wie gesagt, dazu gehört Glück und der Autor der Malware hat liederlich gearbeitet.
Lieber Joschi,
die für diesen Vorgang gültige FAQ findest du unter dieser Adresse: http://faq.jors.net/virus und ich würde zukünftig die Sicherheitssoftware von http://brain.yubb.de/ verwenden. Die hat bei mir noch nie versagt.
Für alle anderen ungläubigen Anwender sogenannter Sicherheitssoftware:
Wirkt diese Lektion zur Computersicherheit wenigsten jetzt oder seid ihr noch immer Taub auf diesem Ohr?
--------------------------------------
Ich kann die Argumentation einiger User nicht verstehen. Ca. 2,5 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.
Dieser Beitrag wurde von Hinterwäldler bearbeitet: 20. Januar 2008 - 10:46
#12
geschrieben 20. Januar 2008 - 10:41
Zitat (Hinterwäldler: 20.01.2008, 10:34)
Lass mal die Kirche im Dorf. Noch ist nicht erwiesen das es sich überhaupt um Malware handelt. Sicher, die Möglichkeit ist vorhanden, aber ebenso gut ist es möglich das einfach Windows einen Fehler aufweist, es z.b. aufgrund eines Updates den Festplattencache neu einliest, was ja bekanntlich auch ewig dauert.
Genau das sollte man jetzt herausfinden, schon, um im Falle des Falles, eine erneute Kompromitierung verhindern zu können und die Sicherheitslücke zu schliessen.
Und glaub mir, ich setze keine extra Sicherheitssoftware ein, meine "Sicherheitssoftware" besteht zum grossen Teil sogar aus dem deinstallieren von Software, also unterlasse doch einfach solche Verallgemeinerungen
Hatten wir das nicht ausserdem schonmal? Man sollte nicht immer gleich vom schlimmsten ausgehen, man sollte nur die Möglichkeit in Erwägung ziehen und entsprechende Schritte einleiten, also z.b. den Rechner sicherheitshalber vom Inet trennen und mal ein Backup anlegen, um weiteren Schaden einzugrenzen, um notfalls wenigstens noch ein paar Daten retten zu können.
@TE: Hast du in der Ereignisanzeige schon mal nachgeschaut, ob da etwas zu den Aktivitäten steht?
Dieser Beitrag wurde von Samstag bearbeitet: 20. Januar 2008 - 10:46
#13 _Hinterwäldler_
geschrieben 20. Januar 2008 - 10:59
Zitat (Samstag: 20.01.2008, 10:41)
Zitat
Warum hast du überreagiert? Wenn es so ist wie du schreibst, dann brauchst du dich doch nicht angesprochen fühlen?
Zitat
Das Restore eines Images einer Startpartition dauert bei mir 10 Minuten. Damit wird jede Diskussion auf dem Brett überflüssig. Wenn jeder Anwender verantwortungsbewusst handeln würde, bräuchten wir uns über derartige merkwürdige Fehler, in welchem eine Malware auf einem PC im Stanbymodus versucht, eine Verbindung zum Internet während der Nachtzeit herzustellen, nicht im geringsten erwähnen.
------------------------------
Nur Feiglinge sichern ihre Startpartition in einem Image. Wahre Helden von heute stellen sich der Herausforderung und benutzen Tweaker, PFWs, Scanner und Removertools. Sie waren bis gestern damit noch sehr zufrieden.
Ich bin ein Feigling.
#14
geschrieben 20. Januar 2008 - 11:09
Zitat (Hinterwäldler: 20.01.2008, 10:59)
Weil du angreifend und verallgemeinernd schreibst? Weil du anscheinend nicht wahrhaben willst das deine tollen Weisheiten nicht die absolute Wahrheit darstellen, sondern es auch noch andere Möglichkeiten gibt? Weil du einfach alle Leute über einen Kamm zu scheren versuchst, obwohl das gar nicht möglich ist?
Zitat
Na, offenbar nicht. Ich wiederhole mich: Was bringt es mir, wenn ich mein Backup innert 10 Minuten neu einspielen kann, wenn ich nicht weiss wo die Sicherheitslücke ist?
Du schreibst ja selbst:
Zitat
Soll das jetzt heissen ich kann meinen Rechner hochfahren, 20 Sekunden dran rumspielen, dann den Rechner vom Netz trennen, 10 Minuten zum Backup einspielen, hochfahren, 20 Sekunden usw.?
Das kann doch nicht wirklich dein Ernst sein, oder? Bevor ich mein System plattmache trenn ich den Rechner vom Inet, lege mir ein Backup vom Ist-Zustand an und finde dann heraus wo der Fehler herkam. Kam er wirklich von Malware überprüft man erstmal wie diese auf das System gekommen ist, ansonsten hat man nämlich tatsächlich immer nur besagte 20 Sekunden bis er erneut kompromittiert ist und man sein Backup einspielen kann.
Hey, ich hab nichts gegen deine Tipps, im grossen und ganzen hast du ja recht. Du solltest sie vielleicht nur noch etwas weiter ausbauen
#15
geschrieben 20. Januar 2008 - 11:21