PDA

View Full Version : infetto da virus! Aiutoooo!

tempesta92
31-03-2009, 15:44
Salve a tutti, ho un problema, quando apro il programma your uninstaller 2008 da qualche tempo mi mostra una finestra di errore prima di aprirlo, la seguente:

http://img6.imageshack.us/img6/9682/immaginebca.jpg

e se spingo 2 volte su continua si avvia il programma, inoltre quando accendo il pc ogni tanto, mi si apre una sorta di videata nel centro della pagina simile a questa:

http://img6.imageshack.us/img6/2167/immagine2u.jpg

una sorta di applicazione tutta bianca con solo 3 pulsanti che se li spingo non succede niente, e non c'è modo di mandarla via, sono riuscito a toglierla solo chiudendo il processo Asshare.exe che dovrebbew essere un processo della scheda madre asus.
Ho fatto scansioni con avast e Hijack ed il secondo mi ha dato questo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.29.19, on 31/03/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\AI Direct Link\AsCmd.exe
C:\Program Files (x86)\ASUS\AASP\1.00.63\aaCenter.exe
C:\Program Files (x86)\ASUS\AI Direct Link\AsShare.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files (x86)\ASUS\Drive Xpert\DriveXpert.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it&source=iglk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [Launch Direct Link] "C:\Program Files (x86)\ASUS\AI Direct Link\AsShare.exe"
O4 - HKLM\..\Run: [Launch As Cmd Runner] "C:\Program Files (x86)\ASUS\AI Direct Link\AsCmd.exe" -reg
O4 - HKLM\..\Run: [Drive Xpert] C:\Program Files (x86)\ASUS\Drive Xpert\DriveXpert.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: &Google Search - res://C:\Program Files (x86)\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Program Files (x86)\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Program Files (x86)\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Program Files (x86)\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: 57xx SteelVine (57xx SteelVine Manager) - Unknown owner - C:\Program Files (x86)\ASUS\Drive Xpert\SteelVine.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
Chill-Out
31-03-2009, 16:03
Ciao se desideri il solo controllo del log di HJT allegalo nel rispetto delle Regole nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=937676
tempesta92
31-03-2009, 17:04
l'analizzatore del log dice che è tutto a posto, avete qualche consiglio da darmi? cosa posso fare?
Chill-Out
31-03-2009, 17:06
Dalla descrizione fatta è difficile individuare la causa che determina il problema, se desideri fare un controllo approfindito segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
deco96
31-03-2009, 21:44
salve a tutti..sono un utente inesperto e ho il sospetto di essere infettato...uso AVG 8.0 come antivirus e non essendo sicuro della sua efficacia ho fatto una prova con un software a caso da voi consigliato: malwarebytes. Ahimè il software mi ha segnalato dei probabili virus e ho deciso di seguire tutta la vostra guida...vi riporto qui di seguito tutti i log richiesti esattamente nell' ordine:
Malwarebytes(eseguendolo prima di atf cleaner..devo rilanciarlo?):
http://wikisend.com/download/754862/mbam-log-2009-03-30 (20-14-32).txt
A-Squared:
http://wikisend.com/download/478854/a-squared.txt
F-Secure:
http://wikisend.com/download/429960/f-secureonline.txt
Dr.Web:
http://wikisend.com/download/438904/cureitfiltrato.txt
ESET SysInspector:
http://wikisend.com/download/439082/SysInspector-NOME-4CCD8B36F6-090331-1906.xml
HiJackThis:
http://wikisend.com/download/439968/hijackthis.txt
Gmer (nessuna voce rossa):
http://wikisend.com/download/948756/gmer.txt
PrevxCSI:
Immagine:http://www.fileqube.com/file/qGqKEOC185421
Log:http://wikisend.com/download/476542/prevx.txt
Attendo vostri consigli..spero di aver eseguito la procedura esatta..:)
Chill-Out
31-03-2009, 23:32
Ciao e benvenuto! Innazitutto complimenti per aver eseguito la Guida alla perfezione

Dal log di MBAM

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\drivers\wadv07nt.sys (Rootkit.Agent.V) -> No action taken.
C:\WINDOWS\ServicePackFiles\i386\wadv07nt.sys (Rootkit.Agent.V) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken. ==>> passa in quarantena la chiave di Registro infetta

C:\WINDOWS\system32\drivers\wadv07nt.sys (Rootkit.Agent.V) -> No action taken.
C:\WINDOWS\ServicePackFiles\i386\wadv07nt.sys (Rootkit.Agent.V) -> No action taken ==>> entrambi Falsi Positivi

Ripeti la pulizia con ATF Cleaner e successivamente fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
HJT
Prevx CSI
deco96
02-04-2009, 19:29
Ciao e benvenuto! Innazitutto complimenti per aver eseguito la Guida alla perfezione

Dal log di MBAM



HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken. ==>> passa in quarantena la chiave di Registro infetta

C:\WINDOWS\system32\drivers\wadv07nt.sys (Rootkit.Agent.V) -> No action taken.
C:\WINDOWS\ServicePackFiles\i386\wadv07nt.sys (Rootkit.Agent.V) -> No action taken ==>> entrambi Falsi Positivi

Ripeti la pulizia con ATF Cleaner e successivamente fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
HJT
Prevx CSI

Grazie chill-out per il tuo supporto e per i tuoi complimenti :D ...Scusami il ritardo, ma solo ora ho potuto eseguire i tuoi consigli...Assieme alle procedure ti riporterò le problematiche che ho riscontrato...Premetto..ti riporto le fastidiose immagini degli script che continuano a comparire sul mio pc:
-http://www.fileqube.com/file/kDMtzX185861
-http://www.fileqube.com/file/hkoSecg185862
Passiamo alle procedure eseguite:
-Malwarebytes: avendolo già lanciato e successivamente chiuso,non sono riuscito a capire come potevo recuperare le tracce trovate e spostare quella da te segnalata in quarantena..come si fa?mi sono allora azzardato a rifare la scansione e per fortuna mi ha trovato le stesse tracce..tutto ok!!
-Combofix:http://wikisend.com/download/510732/combofix.txt
Mi è apparsa una finestra nella quale mi veniva segnalato di non avere la "console" di emergenza e allo stesso tempo mi si chiedeva una connessione internet alla quale ho rifiutato...ho fatto bene?:confused:
-HiJackThis:http://wikisend.com/download/568116/hijackthis2.txt
-Prevx: immagine comparsa all' avvio del sistema operativo:
http://www.fileqube.com/file/NnwIEkdx185867
Immagine dopo aver eseguito il programma:
http://www.fileqube.com/file/lGVdDzDe185868
Log:http://wikisend.com/download/607352/prevx2.txt
Ci sentiamo.. a presto...;)
Chill-Out
02-04-2009, 21:16
Grazie chill-out per il tuo supporto e per i tuoi complimenti :D ...Scusami il ritardo, ma solo ora ho potuto eseguire i tuoi consigli...Assieme alle procedure ti riporterò le problematiche che ho riscontrato...Premetto..ti riporto le fastidiose immagini degli script che continuano a comparire sul mio pc:
-http://www.fileqube.com/file/kDMtzX185861
-http://www.fileqube.com/file/hkoSecg185862
Passiamo alle procedure eseguite:
-Malwarebytes: avendolo già lanciato e successivamente chiuso,non sono riuscito a capire come potevo recuperare le tracce trovate e spostare quella da te segnalata in quarantena..come si fa?mi sono allora azzardato a rifare la scansione e per fortuna mi ha trovato le stesse tracce..tutto ok!!
-Combofix:http://wikisend.com/download/510732/combofix.txt
Mi è apparsa una finestra nella quale mi veniva segnalato di non avere la "console" di emergenza e allo stesso tempo mi si chiedeva una connessione internet alla quale ho rifiutato...ho fatto bene?:confused:
-HiJackThis:http://wikisend.com/download/568116/hijackthis2.txt
-Prevx: immagine comparsa all' avvio del sistema operativo:
http://www.fileqube.com/file/NnwIEkdx185867
Immagine dopo aver eseguito il programma:
http://www.fileqube.com/file/lGVdDzDe185868
Log:http://wikisend.com/download/607352/prevx2.txt
Ci sentiamo.. a presto...;)

Direi che siamo a posto, iportante la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao ;)
deco96
02-04-2009, 22:15
Direi che siamo a posto, iportante la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao ;)

Ti ringrazio nuovamente chill-out.. credevo di metterci 2 secoli.. ..ti chiedo un ultimo piacere..ti dispiacerebbe rispondere ai miei dubbi del post precedente? e cioè:
-le fastidiose immagini non dovrebbero più comparire ora,vero?
-malwarebytes:"avendolo già lanciato e successivamente chiuso,non sono riuscito a capire come potevo recuperare le tracce trovate e spostare quella da te segnalata in quarantena..come si fa?"
-combofix:alla finestra che appare,per un ipotetica prossima volta,dovrò sempre rispondere di no?
-prevx:quella finestra comparsami all'avvio del sistema operativo,mi sembrava segnalasse un ulteriore percorso..o sbaglio?
Grazie ancora..
Chill-Out
02-04-2009, 22:25
Ti ringrazio nuovamente chill-out.. credevo di metterci 2 secoli.. ..ti chiedo un ultimo piacere..ti dispiacerebbe rispondere ai miei dubbi del post precedente? e cioè:
-le fastidiose immagini non dovrebbero più comparire ora,vero?
-malwarebytes:"avendolo già lanciato e successivamente chiuso,non sono riuscito a capire come potevo recuperare le tracce trovate e spostare quella da te segnalata in quarantena..come si fa?"
-combofix:alla finestra che appare,per un ipotetica prossima volta,dovrò sempre rispondere di no?
-prevx:quella finestra comparsami all'avvio del sistema operativo,mi sembrava segnalasse un ulteriore percorso..o sbaglio?
Grazie ancora..

1 Sei ok le finestre sono sparite, le vedi? :D

2 Malwarebytes: avendolo già lanciato e successivamente chiuso,non sono riuscito a capire come potevo recuperare le tracce trovate e spostare quella da te segnalata in quarantena..come si fa?mi sono allora azzardato a rifare la scansione e per fortuna mi ha trovato le stesse
tracce..tutto ok!!

Prima mi sembra di aver capito che eri OK, forse non riesco a capire

3 Nel 3D che ti ho linnkato c'è la procedura per disinstallare Combo in ogni caso hai fatto bene a rispondere NO

4 Prexv da responso positivo, il log è pulito e lo Status e Clean
deco96
04-04-2009, 13:32
1.per adesso non le vedo..caso mai ti faccio sapere..
2.Malwarebytes..tento di spiegarti più chiaramente..prima di seguire la guida in modo cronologico,ho fatto una prova per vedere se il mio pc era infetto..strumento della prova è stato malwarebytes,che mi ha trovato quei 3 percorsi infetti..vista la segnalazione di presunti virus,mi sono allora dedicato totalmente alla guida,seguendola punto per punto..arrivato al punto di eseguire malwarebytese,ho deciso di lasciar perdere,avendolo in precedenza già eseguito e casomai in un secondo momento aspettare che qualcuno(in questo caso te)mi dicesse di rieseguirlo..e cosi è stato..la domanda,alla fine,è questa:
avendolo eseguito una prima volta per verificare l'esistenza di virus,dal momento in cui tu mi dici sposta in quarantena quella traccia,come faccio a recupare i percorsi trovati nella prima scansione,senza dover rifare la scansione e sperare(com'è stato)che mi trovi le stesse traccie della scansione precedente?il mio personale presentimento è che dal momento in cui lo chiudo,non riesce a trovarmi i risultati precedenti..non so se ho reso l'idea..
3.perfetto
4.la schermata che ti riporto nuovamente mi sembra sia comparsa dopo aver eseguito il punto a-squared della guida..ho spento il pc..l'ho riacceso il giorno dopo e mi è comparsa all'avvio del sistema operativo:
http://www.fileqube.com/file/NnwIEkdx185867
ovviamente,come da guida,ho deciso di eseguire prevx per aver ancora più risposte sulla presenza di virus..
5.Sono un rompiballe..
Chill-Out
04-04-2009, 20:42
1.per adesso non le vedo..caso mai ti faccio sapere..
2.Malwarebytes..tento di spiegarti più chiaramente..prima di seguire la guida in modo cronologico,ho fatto una prova per vedere se il mio pc era infetto..strumento della prova è stato malwarebytes,che mi ha trovato quei 3 percorsi infetti..vista la segnalazione di presunti virus,mi sono allora dedicato totalmente alla guida,seguendola punto per punto..arrivato al punto di eseguire malwarebytese,ho deciso di lasciar perdere,avendolo in precedenza già eseguito e casomai in un secondo momento aspettare che qualcuno(in questo caso te)mi dicesse di rieseguirlo..e cosi è stato..la domanda,alla fine,è questa:
avendolo eseguito una prima volta per verificare l'esistenza di virus,dal momento in cui tu mi dici sposta in quarantena quella traccia,come faccio a recupare i percorsi trovati nella prima scansione,senza dover rifare la scansione e sperare(com'è stato)che mi trovi le stesse traccie della scansione precedente?il mio personale presentimento è che dal momento in cui lo chiudo,non riesce a trovarmi i risultati precedenti..non so se ho reso l'idea..
3.perfetto
4.la schermata che ti riporto nuovamente mi sembra sia comparsa dopo aver eseguito il punto a-squared della guida..ho spento il pc..l'ho riacceso il giorno dopo e mi è comparsa all'avvio del sistema operativo:
http://www.fileqube.com/file/NnwIEkdx185867
ovviamente,come da guida,ho deciso di eseguire prevx per aver ancora più risposte sulla presenza di virus..
5.Sono un rompiballe..

2 Devi necessariamente ripetere la scansione per fare ciò che ti ho indicato

4 Disinstalla Prevx CSI, riscaricalo, reinstallalo e ripeti la scansione


;)
deco96
06-04-2009, 18:29
2 Devi necessariamente ripetere la scansione per fare ciò che ti ho indicato

4 Disinstalla Prevx CSI, riscaricalo, reinstallalo e ripeti la scansione


;)

ecco:
malwarebytes:
http://wikisend.com/download/317640/malware.txt

prevx:
log:http://wikisend.com/download/601288/prevx.txt

:)
Chill-Out
06-04-2009, 19:50
ecco:
malwarebytes:
http://wikisend.com/download/317640/malware.txt

prevx:
log:http://wikisend.com/download/601288/prevx.txt

:)

Direi che siamo a posto, importante leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao :)