Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Schwerer BKA Trojaner auf XP, DELL inspiron. (https://www.trojaner-board.de/130309-schwerer-bka-trojaner-xp-dell-inspiron.html)

Seifert 30.01.2013 00:20
Schwerer BKA Trojaner auf XP, DELL inspiron.
 
Sehr geehrtes Trojaner Board Team,

mein Fall
BKA Trojaner, bei Anmeldung weisser Bildschirm, abgesicherter Modus nicht moeglich, faehrt dann sofort wieder runter, ausser, ich gehe als admin rein, diese auswahl der konten habe ich, entweder als admin oder ueber mein namen seifert.

bereits durchgefuehrt
als admin im abgesicherten modus malware durchgefuehrt, vier trojaner, name FakeAlert gefunden und in quarantaene verschoben, hier gelesen, das es jedoch nichts bringt.
weiterhin hier erlesen, das eine OTLPE CD gebrannt werden soll. hier bin ich jetzt.
habe diese cd gebrannt und bin ueber REATOGO X PE mit Lan Kabel hier online.
habe auch den run durchgefuehrt, bei -do you wish to load remote user profile for scanning- yes geklickt, bei -automatically load all remaining user- haken entfernt. zur auswahl habe ich dort admin.dell, dell, local service, networt service, systemprofile. unter admin.dell habe ich dann den RUN SCAN durchgefuehrt. Anbei der Report

bitte entschuldigt, auf der REATOGO habe ich keine andere Moeglichkeit gefunden den Report zu speichern, hoffe ihr koennt es oeffnen und es ist i.o.

Danke im Voraus fuer eure Muehen.

Viele Gruesse

Seifert

t'john 30.01.2013 02:11
:hallo:

Fixen mit OTLpe


  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.



  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
:OTL
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:88050731
O20 - HKU\DELL_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat) - C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat ()

:Files
ipconfig /flushdns /c
:Commands
[emptytemp]

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Seifert 31.01.2013 10:34
Hallo T´john,

Computer fährt in den normalen Windows Modus. Tausend dank erst mal!

Anbei auch der Report.

Sobald sich mein Wlan verbunden hat, meldet er Viren mit dem Namen TR/ATRAPS.Gen 1..2..3..
weshalb ich meine Verbindung sofort wieder getrennt habe.

Bitte um weitere Schritte damit mein Computer wieder "sauber" ist.

Danke im Voraus.
MFG
Seifert

Code:
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:88050731 deleted successfully.
Registry value HKEY_USERS\DELL_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat deleted successfully.
C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temporary Internet Files folder emptied: 0 bytes
 
User: Administrator.DELL-E06535048F
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: DELL
->Temp folder emptied: 98304 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_095839

t'john 31.01.2013 17:15
Sehr gut! :daumenhoc

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Seifert 03.02.2013 20:06
Hab ich nun auch erledigt.

Anbei Log von Malware & Adw.

Soll ich weitere Maßnahmen treffen oder kann ich nun meinen Computer als sauber einstufen?

Kann ich was in Zukunft berücksichtigen um so einen Virus zu umgehen?

Danke vielmals.

MFG

Seifert

Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.03.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
DELL :: DELL-E06535048F [Administrator]

03.02.2013 16:06:23
MBAM-log-2013-02-03 (20-03-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 281152
Laufzeit: 1 Stunde(n), 8 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\800000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.

(Ende)
Code:
# AdwCleaner v2.109 - Datei am 03/02/2013 um 20:16:21 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : DELL - DELL-E06535048F
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\DELL\Eigene Dateien\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.2180

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\Mozilla\Firefox\Profiles\i1k4jnze.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Dokumente und Einstellungen\Administrator.DELL-E06535048F\Anwendungsdaten\Mozilla\Firefox\Profiles\fnie0avm.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1275 octets] - [03/02/2013 20:15:31]
AdwCleaner[S1].txt - [12877 octets] - [03/02/2013 15:43:21]
AdwCleaner[S2].txt - [1217 octets] - [03/02/2013 20:11:58]
AdwCleaner[S3].txt - [1208 octets] - [03/02/2013 20:16:21]

########## EOF - C:\AdwCleaner[S3].txt - [1268 octets] ##########

t'john 03.02.2013 22:31
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


danach:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Seifert 04.02.2013 17:45
Auch erledigt, Reports anbei.

Das diese Programme immer noch Viren finden ist ja nicht zu fassen, hört das hier jetzt auf? ..hätt ich nichts dagegen, oder gehts weiter?

Danke t´john.

Viele Grüße

Seifert

Code:
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-04 10:03:30
-----------------------------
10:03:30.796    OS Version: Windows 5.1.2600 Service Pack 2
10:03:30.796    Number of processors: 1 586 0x4C02
10:03:30.812    ComputerName: DELL-E06535048F  UserName: DELL
10:03:31.187    Initialize success
10:28:49.484    AVAST engine defs: 13020301
14:27:35.531    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:27:35.531    Disk 0 Vendor: SAMSUNG_HM060HI YD100-15 Size: 57231MB BusType: 3
14:27:35.546    Disk 0 MBR read successfully
14:27:35.546    Disk 0 MBR scan
14:27:35.640    Disk 0 Windows XP default MBR code
14:27:35.640    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        57223 MB offset 63
14:27:35.671    Disk 0 scanning sectors +117194175
14:27:35.781    Disk 0 scanning C:\WINDOWS\system32\drivers
14:27:55.625    Service scanning
14:28:14.453    Modules scanning
14:28:22.718    Disk 0 trace - called modules:
14:28:22.750    ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
14:28:22.750    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89985ab8]
14:28:22.750    3 CLASSPNP.SYS[ba0e905b] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89951d98]
14:28:23.015    AVAST engine scan C:\
15:53:25.937    Scan finished successfully
16:34:47.546    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\DELL\Desktop\MBR.dat"
16:34:47.546    The log file has been saved successfully to "C:\Dokumente und Einstellungen\DELL\Desktop\aswMBR.txt"
Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.02.04.06

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
DELL :: DELL-E06535048F [administrator]

04.02.2013 17:13:42
mbar-log-2013-02-04 (17-13-42).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25991
Time elapsed: 12 minute(s), 32 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 2
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)

t'john 05.02.2013 03:17
Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

t'john 06.04.2013 13:18
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129