Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU-Trojaner mit Webcam, Symmi (https://www.trojaner-board.de/126996-gvu-trojaner-webcam-symmi.html)

hansmaul 14.11.2012 14:17
GVU-Trojaner mit Webcam, Symmi
 
Hallo Trojaner-Board-Team,

erst einmal: super, dass es so eine Hilfeseite wie Eure gibt und dass ihr anderen in Eurer Freizeit helft. Das sei an dieser Stelle auch einmal gesagt.

Nun zu meinem Problem. Vorgestern ließ ich den PC über Nacht an um eine Berechnung laufen zu lassen, dabei hat sich scheinbar ein Windows Update installiert. Nach diesem Windows Update kam es zum ständigen Abstürzen des Firefox, das auch mit Neuinstallation etc. behoben werden konnte. Den Tag über konnte ich auch ohne Firefox arbeiten und habe SpyBotSearchAndDestroy laufen lassen sowie AntiVir auf den neuesten Stand gebracht und einen fehlerlosen Scann des Systems durchgeführt. Natürlich habe ich dann abends kurzzeitig den IE genutzt. Ich weiß nicht ob es daran lag, abends kam jedoch der berühmte Bildschirm der GVU, ich möge doch bitte 100 € zahlen. Nach einer Systemwiderherstellung vor den Updates konnte ich dann wieder alles starten. Der Firefox ist weiterhin instabil wie die Sau, was man/ich von ihm nicht gewohnt ist und jetzt hat auch AntiVir angeschlagen und meinte "Symmi" wäre am werkeln.

Mit Eurer Anleitung habe ich die nachfolgenden Logs erstellt. Wäre super, wenn ihr mir helfen könntet, da auf diesem PC wichtige Arbeiten erledigt werden müssten.

Merci!

t'john 14.11.2012 14:36
:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [IExplorer Util] C:\Users\Strauss\AppData\Roaming\ie_util.exe File not found
O4 - HKCU..\Run: [Tirui] C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
[2012.08.28 22:16:36 | 083,023,306 | ---- | C] () -- C:\ProgramData\nud0repor.pad
[2012.07.25 00:22:10 | 000,053,760 | ---- | C] () -- C:\Users\Strauss\AppData\Roaming\msconfig.dat
 
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Strauss\*.tmp
C:\Users\Strauss\AppData\Local\{*}
C:\Users\Strauss\AppData\Local\Temp\*.exe
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

hansmaul 14.11.2012 16:17
Danke für die schnelle Antwort! Hier die Log-Files nach OTL. Malwarebyte arbeitet gerade noch:


Code:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Tirui deleted successfully.
C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
C:\ProgramData\nud0repor.pad moved successfully.
C:\Users\Strauss\AppData\Roaming\msconfig.dat moved successfully.
========== FILES ==========
C:\ProgramData\lsass.exe moved successfully.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\Strauss\*.tmp not found.
File\Folder C:\Users\Strauss\AppData\Local\{*} not found.
File\Folder C:\Users\Strauss\AppData\Local\Temp\*.exe not found.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
Invalid Switch: c :Commands [emptytemp]
 
OTL by OldTimer - Version 3.2.69.0 log created on 11142012_160735

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Hier das Logfile von adwcleaner.exe:

Code:
# AdwCleaner v2.007 - Datei am 14/11/2012 um 17:58:05 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Strauss - STRAUSS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default
Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1894 octets] - [14/11/2012 17:58:05]

########## EOF - C:\AdwCleaner[R1].txt - [1954 octets] ##########
Und hier der Log, nachdem adwcleaner gelöscht hat:

Code:
# AdwCleaner v2.007 - Datei am 14/11/2012 um 18:04:36 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Strauss - STRAUSS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default
Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js

C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [2019 octets] - [14/11/2012 17:58:05]
AdwCleaner[S1].txt - [2057 octets] - [14/11/2012 18:04:36]

########## EOF - C:\AdwCleaner[S1].txt - [2117 octets] ##########

t'john 14.11.2012 20:57
Bitte das Malwarebytes Logfile posten!
(Reiter Logberichte)

hansmaul 15.11.2012 00:02
Hier der Log von heute Nachmittag, der gefehlt hat:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Strauss :: STRAUSS-PC [Administrator]

Schutz: Aktiviert

14.11.2012 16:14:22
mbam-log-2012-11-14 (16-14-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 773870
Laufzeit: 1 Stunde(n), 37 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\msconfig.dat (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\Igod\qeufu.exe (Trojan.Agent.EDDGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Strauss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Hier der Code des Scans von gerade eben:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.14.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Strauss :: STRAUSS-PC [Administrator]

Schutz: Deaktiviert

14.11.2012 21:07:19
mbam-log-2012-11-14 (21-07-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 775238
Laufzeit: 2 Stunde(n), 51 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

t'john 15.11.2012 00:32
Sehr gut! :daumenhoc

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

hansmaul 15.11.2012 00:48
Soweit ich's beurteilen kann läuft wieder alles stabil, inkl. der eingangs angesprochene Firefox... nur der Lüfter fährt recht dauerhaft auf Volllast. Hol jetzt mal Emsisoft Anti-Malware und führe den Deinen nächsten Schritt durch.

t'john 15.11.2012 00:51
Deinstalliere Spybot.
Deaktiviere alle Plugins in Firefox und sage bescheid, ob er weiter abstuertzt.

hansmaul 15.11.2012 01:04
Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss. Hab vorher geschrieben, dass alles stabil läuft.

Code:
Emsisoft Anti-Malware - Version 7.0
Letztes Update: 15.11.2012 01:11:49

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:        15.11.2012 01:18:00

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8)        gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class        gefunden: Exploit.Java.CVE-2012-0507.BB (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8)        gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8)        gefunden: Trojan.Generic.7701155 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\Users\Strauss\AppData\Local\Mozilla\Firefox\Profiles\nlr4y5tm.default\Cache\4\CF\1585Ed01 -> (INFECTED_JS)        gefunden: JS:Trojan.Iframe.S (B)

Gescannt        868749
Gefunden        26

Scan Ende:        15.11.2012 04:01:42
Scan Zeit:        2:43:42
Kann es sein, dass der letzte Eintrag von Emsisoft etwas mit dem Dauerlaufen meines Lüfters zu tun hat?

t'john 15.11.2012 11:14
Zitat:
Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss.
Hab mich verlesen.

Spybot ist trotzdem kontraproduktiv.

Sehr gut! :daumenhoc

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

hansmaul 15.11.2012 11:30
Ein erneuter Scan heute morgen hat das Teil bzgl. Firefox nicht mehr gezeigt:

Code:
Emsisoft Anti-Malware - Version 7.0
Letztes Update: 15.11.2012 01:11:49

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:        15.11.2012 07:44:25

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8)        gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class        gefunden: Exploit.Java.CVE-2012-0507.BB (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class        gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class        gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8)        gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8)        gefunden: Trojan.Generic.7701155 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8)        gefunden: Trojan.Script.477458 (B)

Gescannt        784680
Gefunden        25

Scan Ende:        15.11.2012 10:33:31
Scan Zeit:        2:49:06
Werde dann anschließend mit dem nächsten Schritt weitermachen. Der Lüfter läuft dauerhaft auf Anschlag...

Spybot habe ich deinstalliert. Hier der Log von Eset

Code:
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36882
esets_scanner_update returned -1 esets_gle=12
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=af664bed2236a54c8d241b7b53a7075e
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-15 08:56:47
# local_time=2012-11-15 09:56:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 68750 104633498 0 0
# compatibility_mode=8192 67108863 100 0 31428 31428 0 0
# scanned=574286
# found=4
# cleaned=4
# scan_time=9360
C:\Users\Strauss\Desktop\Alte Firefox-Daten\user.js        JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\Users\Strauss\Downloads\OptimizerPro.exe        a variant of Win32/SpeedingUpMyPC application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\3dc84d3c-330a7ee9        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C
E:\Alte Firefox-Daten\user.js        JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

t'john 15.11.2012 22:05
Zitat:
C:\Users\Strauss\Downloads\OptimizerPro.exe
Finger weg von solchem Dreck.

Bitte mal ausfuehren:
http://www.trojaner-board.de/72874-s...eparieren.html

Danach:
- neustarten

Laeuft der Luefter immer noch?

hansmaul 15.11.2012 22:10
Diese .exe kenn ich nicht. Ich nehme an, das Tool hat sie entfernt weil sie in dem Ordner nicht mehr zu finden ist?

Starte mal die Systemsuche und melde mich dann wieder.

Lüfter läuft noch wie ein Großer.

t'john 15.11.2012 22:58
Sag bescheid, was der Scan ergeben hat.

Welcher Prozess verursacht soviel Last?

hansmaul 15.11.2012 23:11
Einige Systemdateien sind fehlerhaft. Es kam aber keine Aufforderung die in der Anleitung angesprochene DVD einzulegen.

Ich hab eine Auslastung von 0 % und 3 on 8 Gib Arbeitsspeicher sind belegt. Es läuft nichts, was ansatzweise so viel Leistung ziehen könnte, dass der Lüfter Vollgas gibt. Der schaltet sich normalerweise nur so krass zu, wenn ich irgendwelche Berechnungen laufen lasse.

t'john 15.11.2012 23:18
Gut, lass den Scan nochmal laufen, bis keine Fehler mehr kommen


Gehs hier um den CPU Luefter.
Mache mal ein Screensot von HWMonitor: HWMonitor - Temperatur und Voltage Tool

hansmaul 15.11.2012 23:32
Liste der Anhänge anzeigen (Anzahl: 1)
Hier der Screenshot:

hansmaul 16.11.2012 00:10
Also jetzt bin ich mit meinem Latein am Ende:

- Um den Fall mit der Temperatur auszuschließen hab ich den Laptop eine Viertelstunde bei 2°C draußen laufen lassen. Die Temperaturen sind extremst nach unten gefallen, der Lüfter nicht
- Um irgendeinen laufenden Prozeß auszuschließen, habe ich alles abgeschossen, was der Taskmanager so her gibt. Bringt nix
- Um auszuschließen, daß sich zufällig zum selben Zeitpunkt wie zum Virenbefall, eine Tonne Staub über Nacht in den Lüfter geschlichen hat, habe ich den Lüfter ausgeblasen. Bringt nix
- Ich habe im Bios nach irgendwelchen Einstellungen geschaut. Bereits im Bios werkelt der Lüfter viel zu laut, als er es sonst getan hat, vor dem Virenbefall.

Mir schwant, als komme ich um ein Neuaufsetzen nicht drumrum, oder?

t'john 16.11.2012 23:57
Temperaturen von 84°C sind vieeel zu hoch.
Wenn es im Bios schon so ist, hat es mit Windows nichts zutun und eine Neuinstallaion wird nichts bewirken.

Gibt es ein BIOS Update fuer dein Laptop?
Lade mal die Deafaults im Bios und berichte ob sich was aendert.

hansmaul 17.11.2012 04:14
Also, scheinbar war das mit dem BIOS ne einmalige Aktion. Die Temperatur ist weiterhin so hoch. Kann da noch irgendwas im Hintergrund arbeiten? Sobald ich mich in meine Windows-Oberfläche einlogge steigt die Temperatur auf die angezeigten Werte. Ich werde heute mal die einfachste Variante ausprobieren und den Lüfter versuchen von möglichen Staub zu befreien.

t'john 17.11.2012 15:47
Versuche vielleicht ne Ubuntu-Live CD, ob da der Luefter auch schreit.

hansmaul 17.11.2012 19:53
Also ich habe jetzt alles ausprobiert, ohne Erfolg. Da die Arbeit am Montag weiter gehen muss, habe ich das System komplett neu aufgesetzte. Damit ist der Lüfter auch wieder leise.

Sorry, dass sich damit Deine Arbeit in Luft aufgelöst hat, war wirklich keine Absicht aber hat auch so sehr weitergeholfen.

Merce!

t'john 17.11.2012 23:56
Mach Dir keine Gedanken ;)

Das Wichtigste ist doch, dass nun alles funktioniert!

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131