Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU Malware, Sperrbildschirm, Abgesicherter Modus streikt (https://www.trojaner-board.de/137632-gvu-malware-sperrbildschirm-abgesicherter-modus-streikt.html)

Jaenneken 03.07.2013 15:10
GVU Malware, Sperrbildschirm, Abgesicherter Modus streikt
 
Hallo Zusammen,

wie der Tiel sagt habe ich mir die GVU Geschichte eingefangen mit Sperrbildschirm und Zugriff auf den abgesicherten Modus. Bitdefender hatte noch kurz angeschlagen und dann kam der Sperrbildschirm, ohne das ich noch rechtyeitig reagieren konnte.
Ich verwende Windows 7 in der 64Bit Version.
Der Laptop ist schon einige Jahre alt und ich bin auch im Besitz der Windows CD.

Bisher habe ich versucht mittels Ubuntu live einen Virenscan ans Laufen zu bekommen. Das habe ich jetzt sein gelassen, da das vermutlich so oder so nicht ausreichen wuerde um alles Malsware runterzubekommen.
Da ich im Moment keinen zweiten PC zur Hand habe ist dieses live System momentan noch meine einzige Moeglichkeit ins Internet zu gelangen. Also vom Handy abgesehen.

Ich bedanke mich schon einmal fuer die Hilfe.

Viele Gruesse
Jan

PS. Ich habe leider Ubuntu auf Englisch gestellt, also verzeiht bitte die fehlenden Umlaute

cosinus 03.07.2013 15:26
:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Jaenneken 03.07.2013 16:08
Hallo cosinus,

danke fürs Willkommen heißen.

Gibt es noch eine andere Möglichkeit an die logfiles zu kommen? Da ich momentan nich an einen zweiten Rechner komme, kann ich kein Image brennen.

Gruß
Jan

cosinus 03.07.2013 16:32
Versuch mal

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


Jaenneken 03.07.2013 16:47
Top, hat einwandfrei geklappt.


Hier der Inhalt der txt.


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 03-07-2013 01
Ran by SYSTEM on 03-07-2013 17:59:55
Running from I:\
Windows 7 Professional (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet002
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe [444416 2009-06-29] (IDT, Inc.)
HKLM\...\Run: [QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe [3180624 2009-07-02] (Dell Inc.)
HKLM\...\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe [342528 2009-06-19] (Alps Electric Co., Ltd.)
HKLM\...\Run: [EvtMgr6] D:\Programme\Logitech\SetPointP\SetPoint.exe /launchGaming [x]
HKLM\...\Run: [Bdagent] "C:\Program Files\Bitdefender\Bitdefender 2013\bdagent.exe" [1569536 2013-04-24] (Bitdefender)
Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$1b00b7d5df320131e4793b8b11b197f3\n. ATTENTION! ====> ZeroAccess
HKU\Jan\...\Run: [] D:\Programme\Kies\Kies\External\FirmwareUpdate\KiesPDLR.exe [x]
HKU\Jan\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Jan\AppData\Local\Temp\ionntrqxrusirbbsu.exe [65024 2013-07-03] (NVIDIA Corporation) <===== ATTENTION
HKU\Jan\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKU\Jan\...\Command Processor: "C:\Users\Jan\AppData\Local\Temp\ionntrqxrusirbbsu.exe" <===== ATTENTION!
Startup: C:\ProgramData\Start Menu\Programs\Startup\cv act sc interface RegisterTool.lnk
ShortcutTarget: cv act sc interface RegisterTool.lnk -> C:\Program Files (x86)\cv cryptovision\cv act sc interface\RegisterTool.exe (cv cryptovision GmbH)
Startup: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
ShortcutTarget: regmonstd.lnk -> C:\Users\Jan\AppData\Local\Temp\tgnncfoqxjltnasyjwq.bfg (Microsoft Corporation)

==================== Services (Whitelisted) =================

S2 AESTFilters; C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\AESTSr64.exe [89600 2009-03-02] (Andrea Electronics Corporation)
S2 cjpcsc; C:\Windows\SysWOW64\cjpcsc.exe [514128 2012-03-19] (REINER SCT)
S3 rpcapd; C:\Program Files (x86)\WinPcap\rpcapd.exe [117264 2010-06-25] (CACE Technologies, Inc.)
S2 STacSV; C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\STacSV64.exe [240128 2009-06-29] (IDT, Inc.)
S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [x]
S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [x]
S2 MBAMService; "D:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe" [x]
S2 Radio.fx; D:\Programme\Tobit Radio.fx\Server\rfx-server.exe [x]

==================== Drivers (Whitelisted) ====================

S3 cjusb; C:\Windows\System32\DRIVERS\cjusb.sys [34672 2011-03-29] (REINER SCT)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation)
S3 NPF; C:\Windows\System32\drivers\npf.sys [35344 2010-06-25] (CACE Technologies, Inc.)
S3 ssceserd; C:\Windows\System32\DRIVERS\ssceserd.sys [129024 2011-07-20] (MCCI Corporation)
S3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [203544 2013-02-06] (DEVGURU Co., LTD.(www.devguru.co.kr))
S3 AVFSFilter; system32\DRIVERS\avfsfilter.sys [x]
S2 avgntflt; system32\DRIVERS\avgntflt.sys [x]
S1 avipbb; system32\DRIVERS\avipbb.sys [x]
S1 avkmgr; system32\DRIVERS\avkmgr.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-03 17:59 - 2013-07-03 17:59 - 00000000 ____D C:\FRST
2013-07-03 13:20 - 2013-07-03 13:20 - 00163066 ____A C:\Users\Jan\AppData\Roaming\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00163062 ____A C:\ProgramData\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00163006 ____A C:\Users\Jan\AppData\Local\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00012676 ____A C:\Users\Jan\Desktop\hs_err_pid7616.log
2013-07-03 13:20 - 2013-07-03 13:20 - 00000165 ____A C:\ProgramData\qwjysantljxqofcnngt.reg
2013-07-03 13:20 - 2013-07-03 13:20 - 00000070 ____A C:\ProgramData\qwjysantljxqofcnngt.bat
2013-07-02 21:29 - 2013-07-02 21:29 - 00262144 ____A C:\Windows\Minidump\070213-17347-01.dmp
2013-06-20 17:02 - 2013-06-20 17:02 - 00076944 ____A (BitDefender) C:\Windows\System32\Drivers\bdvedisk.sys
2013-06-20 16:21 - 2013-06-20 16:21 - 00575766 ____A C:\ProgramData\1371741238.bdinstall.bin
2013-06-20 16:19 - 2013-06-20 16:20 - 00000385 ____A C:\Users\Jan\AppData\Roaminguser_gensett.xml
2013-06-20 16:19 - 2013-06-20 16:19 - 00000684 ___AH C:\bdr-cf01
2013-06-20 16:19 - 2013-06-20 16:19 - 00000385 ____A C:\Windows\System32\user_gensett.xml
2013-06-20 16:18 - 2013-06-20 16:18 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_avchv_01009.Wdf
2013-06-20 16:18 - 2013-06-20 16:18 - 00000000 ____D C:\ProgramData\BDLogging
2013-06-20 16:18 - 2013-04-17 13:59 - 00718840 ____A (BitDefender) C:\Windows\System32\Drivers\avc3.sys
2013-06-20 16:18 - 2013-04-17 13:59 - 00593144 ____A (BitDefender) C:\Windows\System32\Drivers\avckf.sys
2013-06-20 16:18 - 2013-02-22 18:46 - 00093600 ____A (BitDefender LLC) C:\Windows\System32\Drivers\BdfNdisf6.sys
2013-06-20 16:18 - 2012-11-12 17:11 - 00082384 ____A (BitDefender SRL) C:\Windows\System32\Drivers\bdsandbox.sys
2013-06-20 16:18 - 2012-11-02 13:17 - 00261056 ____A (BitDefender) C:\Windows\System32\Drivers\avchv.sys
2013-06-20 16:18 - 2009-07-15 00:21 - 01721576 ____A (Microsoft Corporation) C:\Windows\System32\WdfCoInstaller01009.dll
2013-06-20 16:18 - 2007-04-11 10:11 - 00511328 ____A (Microsoft Corporation) C:\Windows\capicom.dll
2013-06-20 16:17 - 2013-06-20 16:19 - 00253404 ___AH C:\bdr-ld01
2013-06-20 16:17 - 2013-06-20 16:19 - 00009216 ___AH C:\bdr-ld01.mbr
2013-06-20 16:17 - 2013-06-20 16:19 - 00000000 ____D C:\ProgramData\Bitdefender
2013-06-20 16:17 - 2013-06-20 16:17 - 00000000 ____D C:\Users\Jan\AppData\Roaming\Bitdefender
2013-06-20 16:17 - 2012-12-12 16:38 - 38516263 ___AH C:\bdr-im01.gz
2013-06-20 16:17 - 2012-08-15 14:28 - 02510608 ___AH C:\bdr-bz01
2013-06-20 16:15 - 2013-06-20 16:15 - 00000000 ____D C:\Users\Jan\AppData\Roaming\QuickScan
2013-06-20 16:14 - 2013-06-20 16:14 - 00000000 ____D C:\Program Files\Bitdefender
2013-06-20 16:14 - 2013-05-28 11:12 - 00382536 ____A (BitDefender S.R.L.) C:\Windows\System32\Drivers\trufos.sys
2013-06-20 16:14 - 2012-10-04 13:30 - 00147232 ____A (BitDefender LLC) C:\Windows\System32\Drivers\gzflt.sys
2013-06-20 16:07 - 2013-06-20 16:14 - 00000000 ____D C:\Program Files\Common Files\Bitdefender
2013-06-20 15:53 - 2013-07-02 09:12 - 00001678 ____A C:\Windows\PFRO.log
2013-06-18 20:47 - 2013-06-26 09:52 - 00003016 ____A C:\Windows\WindowsUpdate.log
2013-06-18 15:14 - 2013-07-03 14:28 - 00009203 ____A C:\Windows\setupact.log
2013-06-18 15:14 - 2013-06-18 15:14 - 00000000 ____A C:\Windows\setuperr.log
2013-06-18 12:07 - 2013-06-18 12:07 - 00000112 ____A C:\ProgramData\7lRL0ux1i.dat
2013-06-18 12:06 - 2013-07-03 13:16 - 00000344 ____A C:\Windows\Tasks\At30.job
2013-06-18 12:06 - 2013-07-03 13:16 - 00000342 ____A C:\Windows\Tasks\At29.job
2013-06-18 12:06 - 2013-07-03 12:16 - 00000344 ____A C:\Windows\Tasks\At28.job
2013-06-18 12:06 - 2013-07-03 12:16 - 00000342 ____A C:\Windows\Tasks\At27.job
2013-06-18 12:06 - 2013-07-03 11:16 - 00000344 ____A C:\Windows\Tasks\At26.job
2013-06-18 12:06 - 2013-07-03 11:16 - 00000342 ____A C:\Windows\Tasks\At25.job
2013-06-18 12:06 - 2013-07-02 22:16 - 00000344 ____A C:\Windows\Tasks\At48.job
2013-06-18 12:06 - 2013-07-02 22:16 - 00000342 ____A C:\Windows\Tasks\At47.job
2013-06-18 12:06 - 2013-07-02 21:16 - 00000344 ____A C:\Windows\Tasks\At46.job
2013-06-18 12:06 - 2013-07-02 21:16 - 00000342 ____A C:\Windows\Tasks\At45.job
2013-06-18 12:06 - 2013-07-02 20:16 - 00000344 ____A C:\Windows\Tasks\At44.job
2013-06-18 12:06 - 2013-07-02 20:16 - 00000342 ____A C:\Windows\Tasks\At43.job
2013-06-18 12:06 - 2013-07-02 19:16 - 00000344 ____A C:\Windows\Tasks\At42.job
2013-06-18 12:06 - 2013-07-02 19:16 - 00000342 ____A C:\Windows\Tasks\At41.job
2013-06-18 12:06 - 2013-07-02 18:16 - 00000344 ____A C:\Windows\Tasks\At40.job
2013-06-18 12:06 - 2013-07-02 18:16 - 00000342 ____A C:\Windows\Tasks\At39.job
2013-06-18 12:06 - 2013-07-02 17:16 - 00000344 ____A C:\Windows\Tasks\At38.job
2013-06-18 12:06 - 2013-07-02 17:16 - 00000342 ____A C:\Windows\Tasks\At37.job
2013-06-18 12:06 - 2013-07-02 16:16 - 00000344 ____A C:\Windows\Tasks\At36.job
2013-06-18 12:06 - 2013-07-02 16:16 - 00000342 ____A C:\Windows\Tasks\At35.job
2013-06-18 12:06 - 2013-07-02 15:16 - 00000344 ____A C:\Windows\Tasks\At34.job
2013-06-18 12:06 - 2013-07-02 15:16 - 00000342 ____A C:\Windows\Tasks\At33.job
2013-06-18 12:06 - 2013-07-02 14:16 - 00000344 ____A C:\Windows\Tasks\At32.job
2013-06-18 12:06 - 2013-07-02 14:16 - 00000342 ____A C:\Windows\Tasks\At31.job
2013-06-18 12:06 - 2013-07-02 10:16 - 00000344 ____A C:\Windows\Tasks\At24.job
2013-06-18 12:06 - 2013-07-02 10:16 - 00000342 ____A C:\Windows\Tasks\At23.job
2013-06-18 12:06 - 2013-07-02 09:16 - 00000344 ____A C:\Windows\Tasks\At22.job
2013-06-18 12:06 - 2013-07-02 09:16 - 00000342 ____A C:\Windows\Tasks\At21.job
2013-06-18 12:06 - 2013-06-27 08:16 - 00000344 ____A C:\Windows\Tasks\At20.job
2013-06-18 12:06 - 2013-06-27 08:16 - 00000342 ____A C:\Windows\Tasks\At19.job
2013-06-18 12:06 - 2013-06-26 07:16 - 00000344 ____A C:\Windows\Tasks\At18.job
2013-06-18 12:06 - 2013-06-26 07:16 - 00000342 ____A C:\Windows\Tasks\At17.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At8.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At6.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At4.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At2.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At16.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At14.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At12.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000344 ____A C:\Windows\Tasks\At10.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At9.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At7.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At5.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At3.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At15.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At13.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At11.job
2013-06-18 12:06 - 2013-06-18 12:24 - 00000342 ____A C:\Windows\Tasks\At1.job
2013-06-18 12:05 - 2013-06-18 12:25 - 00000000 ____D C:\Users\Jan\AppData\Roaming\SubFolderName

==================== One Month Modified Files and Folders =======

2013-07-03 17:59 - 2013-07-03 17:59 - 00000000 ____D C:\FRST
2013-07-03 14:28 - 2013-06-18 15:14 - 00009203 ____A C:\Windows\setupact.log
2013-07-03 14:28 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-03 13:20 - 2013-07-03 13:20 - 00163066 ____A C:\Users\Jan\AppData\Roaming\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00163062 ____A C:\ProgramData\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00163006 ____A C:\Users\Jan\AppData\Local\2433f433
2013-07-03 13:20 - 2013-07-03 13:20 - 00012676 ____A C:\Users\Jan\Desktop\hs_err_pid7616.log
2013-07-03 13:20 - 2013-07-03 13:20 - 00000165 ____A C:\ProgramData\qwjysantljxqofcnngt.reg
2013-07-03 13:20 - 2013-07-03 13:20 - 00000070 ____A C:\ProgramData\qwjysantljxqofcnngt.bat
2013-07-03 13:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At30.job
2013-07-03 13:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At29.job
2013-07-03 13:15 - 2012-08-16 08:09 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-03 12:25 - 2011-05-20 07:41 - 00001112 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2309566670-3513984345-2901618966-1000UA.job
2013-07-03 12:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At28.job
2013-07-03 12:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At27.job
2013-07-03 11:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At26.job
2013-07-03 11:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At25.job
2013-07-03 10:40 - 2013-05-17 13:32 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-07-03 10:28 - 2009-07-14 05:45 - 00013632 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-03 10:28 - 2009-07-14 05:45 - 00013632 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-03 10:21 - 2009-07-14 06:08 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-02 22:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At48.job
2013-07-02 22:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At47.job
2013-07-02 21:29 - 2013-07-02 21:29 - 00262144 ____A C:\Windows\Minidump\070213-17347-01.dmp
2013-07-02 21:29 - 2012-07-24 18:45 - 00000000 ____D C:\Windows\Minidump
2013-07-02 21:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At46.job
2013-07-02 21:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At45.job
2013-07-02 20:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At44.job
2013-07-02 20:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At43.job
2013-07-02 19:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At42.job
2013-07-02 19:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At41.job
2013-07-02 18:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At40.job
2013-07-02 18:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At39.job
2013-07-02 17:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At38.job
2013-07-02 17:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At37.job
2013-07-02 16:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At36.job
2013-07-02 16:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At35.job
2013-07-02 15:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At34.job
2013-07-02 15:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At33.job
2013-07-02 14:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At32.job
2013-07-02 14:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At31.job
2013-07-02 13:25 - 2011-05-20 07:41 - 00001060 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2309566670-3513984345-2901618966-1000Core.job
2013-07-02 10:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At24.job
2013-07-02 10:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At23.job
2013-07-02 09:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At22.job
2013-07-02 09:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At21.job
2013-07-02 09:12 - 2013-06-20 15:53 - 00001678 ____A C:\Windows\PFRO.log
2013-07-01 22:15 - 2011-05-06 14:30 - 00000000 ____D C:\Users\Jan\AppData\Roaming\Azureus
2013-06-29 13:05 - 2009-07-14 18:58 - 00698926 ____A C:\Windows\System32\perfh007.dat
2013-06-29 13:05 - 2009-07-14 18:58 - 00149034 ____A C:\Windows\System32\perfc007.dat
2013-06-29 13:05 - 2009-07-14 06:13 - 01618146 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-27 08:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At20.job
2013-06-27 08:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At19.job
2013-06-26 09:52 - 2013-06-18 20:47 - 00003016 ____A C:\Windows\WindowsUpdate.log
2013-06-26 07:16 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At18.job
2013-06-26 07:16 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At17.job
2013-06-20 17:02 - 2013-06-20 17:02 - 00076944 ____A (BitDefender) C:\Windows\System32\Drivers\bdvedisk.sys
2013-06-20 16:21 - 2013-06-20 16:21 - 00575766 ____A C:\ProgramData\1371741238.bdinstall.bin
2013-06-20 16:20 - 2013-06-20 16:19 - 00000385 ____A C:\Users\Jan\AppData\Roaminguser_gensett.xml
2013-06-20 16:19 - 2013-06-20 16:19 - 00000684 ___AH C:\bdr-cf01
2013-06-20 16:19 - 2013-06-20 16:19 - 00000385 ____A C:\Windows\System32\user_gensett.xml
2013-06-20 16:19 - 2013-06-20 16:17 - 00253404 ___AH C:\bdr-ld01
2013-06-20 16:19 - 2013-06-20 16:17 - 00009216 ___AH C:\bdr-ld01.mbr
2013-06-20 16:19 - 2013-06-20 16:17 - 00000000 ____D C:\ProgramData\Bitdefender
2013-06-20 16:18 - 2013-06-20 16:18 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_avchv_01009.Wdf
2013-06-20 16:18 - 2013-06-20 16:18 - 00000000 ____D C:\ProgramData\BDLogging
2013-06-20 16:17 - 2013-06-20 16:17 - 00000000 ____D C:\Users\Jan\AppData\Roaming\Bitdefender
2013-06-20 16:15 - 2013-06-20 16:15 - 00000000 ____D C:\Users\Jan\AppData\Roaming\QuickScan
2013-06-20 16:14 - 2013-06-20 16:14 - 00000000 ____D C:\Program Files\Bitdefender
2013-06-20 16:14 - 2013-06-20 16:07 - 00000000 ____D C:\Program Files\Common Files\Bitdefender
2013-06-18 15:14 - 2013-06-18 15:14 - 00000000 ____A C:\Windows\setuperr.log
2013-06-18 14:44 - 2011-05-06 14:02 - 00000000 ____D C:\users\Jan
2013-06-18 12:25 - 2013-06-18 12:05 - 00000000 ____D C:\Users\Jan\AppData\Roaming\SubFolderName
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At8.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At6.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At4.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At2.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At16.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At14.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At12.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000344 ____A C:\Windows\Tasks\At10.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At9.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At7.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At5.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At3.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At15.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At13.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At11.job
2013-06-18 12:24 - 2013-06-18 12:06 - 00000342 ____A C:\Windows\Tasks\At1.job
2013-06-18 12:07 - 2013-06-18 12:07 - 00000112 ____A C:\ProgramData\7lRL0ux1i.dat
2013-06-12 17:15 - 2012-04-09 21:14 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-12 17:15 - 2011-05-28 09:25 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-11 20:36 - 2011-05-06 14:40 - 00000000 ____D C:\Users\Jan\AppData\Local\Paint.NET

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2309566670-3513984345-2901618966-1000\$1b00b7d5df320131e4793b8b11b197f3

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$1b00b7d5df320131e4793b8b11b197f3

Files to move or delete:
====================
C:\ProgramData\6003557.bat
C:\ProgramData\6003557.pad
C:\ProgramData\6003557.reg
C:\ProgramData\6632022.bat
C:\ProgramData\6632022.pad
C:\ProgramData\6632022.reg
C:\ProgramData\7lRL0ux1i.dat
C:\ProgramData\9yIjFC7.bat
C:\ProgramData\9yIjFC7.pad
C:\ProgramData\9yIjFC7.reg
C:\ProgramData\dp7LVtu.bat
C:\ProgramData\dp7LVtu.pad
C:\ProgramData\dp7LVtu.reg
C:\ProgramData\go_0molg.pad
C:\ProgramData\ism_0_llatsni.pad
C:\ProgramData\jQBjASj.bat
C:\ProgramData\jQBjASj.pad
C:\ProgramData\jQBjASj.reg
C:\ProgramData\l3irol.bat
C:\ProgramData\l3irol.pad
C:\ProgramData\l3irol.reg
C:\ProgramData\qwjysantljxqofcnngt.bat
C:\ProgramData\qwjysantljxqofcnngt.reg
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At10.job
C:\Windows\Tasks\At11.job
C:\Windows\Tasks\At12.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At14.job
C:\Windows\Tasks\At15.job
C:\Windows\Tasks\At16.job
C:\Windows\Tasks\At17.job
C:\Windows\Tasks\At18.job
C:\Windows\Tasks\At19.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At20.job
C:\Windows\Tasks\At21.job
C:\Windows\Tasks\At22.job
C:\Windows\Tasks\At23.job
C:\Windows\Tasks\At24.job
C:\Windows\Tasks\At25.job
C:\Windows\Tasks\At26.job
C:\Windows\Tasks\At27.job
C:\Windows\Tasks\At28.job
C:\Windows\Tasks\At29.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At30.job
C:\Windows\Tasks\At31.job
C:\Windows\Tasks\At32.job
C:\Windows\Tasks\At33.job
C:\Windows\Tasks\At34.job
C:\Windows\Tasks\At35.job
C:\Windows\Tasks\At36.job
C:\Windows\Tasks\At37.job
C:\Windows\Tasks\At38.job
C:\Windows\Tasks\At39.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At40.job
C:\Windows\Tasks\At41.job
C:\Windows\Tasks\At42.job
C:\Windows\Tasks\At43.job
C:\Windows\Tasks\At44.job
C:\Windows\Tasks\At45.job
C:\Windows\Tasks\At46.job
C:\Windows\Tasks\At47.job
C:\Windows\Tasks\At48.job
C:\Windows\Tasks\At5.job
C:\Windows\Tasks\At6.job
C:\Windows\Tasks\At7.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At9.job

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 15%
Total physical RAM: 4090.89 MB
Available physical RAM: 3462.93 MB
Total Pagefile: 4089.04 MB
Available Pagefile: 3460.17 MB
Total Virtual: 8192 MB
Available Virtual: 8191.86 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:49.9 GB) (Free:2.18 GB) NTFS (Disk=1 Partition=2)
Drive d: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS (Disk=1 Partition=1) ==>[System with boot components (obtained from reading drive)]
Drive e: (second) (Fixed) (Total:416.93 GB) (Free:327.26 GB) NTFS (Disk=0 Partition=2)
Drive g: () (Fixed) (Total:182.88 GB) (Free:50.04 GB) NTFS (Disk=1 Partition=3)
Drive i: () (Removable) (Total:7.45 GB) (Free:6.53 GB) FAT32 (Disk=2 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (second) (Fixed) (Total:48.83 GB) (Free:48.71 GB) NTFS (Disk=0 Partition=1)

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 8F14A156)
Partition 1: (Not Active) - (Size=49 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=417 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: C41202F0)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=50 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=183 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 7 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2013-06-24 20:42

==================== End Of Log ============================
--- --- ---

--- --- ---

--- --- ---

cosinus 03.07.2013 22:47
Zitat:
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$1b00b7d5df320131e4793b8b11b197f3\n. ATTENTION! ====> ZeroAccess

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
  • Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
  • Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
  • Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, dass sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Jaenneken 03.07.2013 23:01
Oh man das ist ja mies. :(

Ich benutze zum Glück das chip-Tan Verfahren. Allerding wurde mir vor ein paar Tagen nach einer Bestellung über Paypal nochmal der gleiche Betrag direkt vom Konto abgehoben. War nicht schlimm, da ich das bei der Bank rückgängig machen konnte. Ich denke das hängt wohl mit der Schadsoftware zusammen?!
Weitere sensiblen Daten/Dokumente fallen mir jetzt nicht ein.

Aber klar möchte ich weiter machen, zumindest solange bis außer einer Neuinstallation nichts mehr übrig bleibt. Dann muss ich mal schauen welche Daten ich sichern muss. Oder ist dann auch jede Datei infiziert?

Danke für deine Hilfe, bin gerade wirklich nen bisl geschockt auch wenn ich mir sowas nach der Konto Geschichte schon gedacht hatte.

Also was sind jetzt die nächsten Schritte?

cosinus 03.07.2013 23:11
Bist du dir sicher, dass du dir das antun willst? Man müsste deinen Rechner erstmal entsperren und dann noch weiter bereinigen. Das kann mitunter länger dauern als wenn du jetzt zB von einem Rettungsmedium wie Knoppix oder einem anderen Live-Linux alle Daten sicherst und sauber neu aufsetzt. Alle Dateien sind nicht infiziert, ich poste dazu mal meinen Lesestoff:

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipiell so aber fast genauso mit allen anderen Live-Systemen auch.
  1. Lade Dir ISO-Image von PartedMagic
  2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
  3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
  5. Mounte die Partitionen wo Windows installiert ist, meistens ist das /dev/sda1 bzw. /dev/sda2 bei Win7 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du
    bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
  6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
  7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Jaenneken 03.07.2013 23:32
Ok, hab ja keine Ahnung wie aufwendig das ist.

Gut, dass ich morgen keine Uni habe. Dann wird mal wieder fröhlich das System neu aufgesetzt.

Datensicherung geht in Ordnung hab ich auch schon mit angefangen. Ich verwende jetzt gerade ja auch schon ubuntu live um überhaupt ins Internet zu kommen und lese mir gerade schon weitere Texte zum Thema aus dem Forum durch.

Nicht sicher bin ich mir da bei der Neuinstallation. Was ist mit dieser 'System-reserviert' Partition?
Spontan würde ich sagen alles auf der Festplatte muss weg, oder?
Außerdem noch eine Frage und zwar habe ich zwei Festplatten, also wirkliche Hardware Festplatten nicht nur 2 Partitionen, in meinem Laptop.
Eine davon, die ich sag mal primäre Festplatte für die System Partition und eine Partition für Programme/Spiele usw.
Auf der anderen, sekundären, Festplatte sind keine Programme gespeichert nur Sicherheitskopien bestimmter Dateien und Musik/Video usw.
Reicht es da die primäre Festplatte zu plätten?

Und wie müsste ich da vorgehen, da sich solche Schädlinge doch auch gerne im MBR einnisten, oder?
Ich will dann jetzt wirklich das ganze Zeugs loswerden.

cosinus 03.07.2013 23:36
Sicher alles auf externe Platte was wichtig ist, dann werden alle internen Platten geplättet. Du musst eh alles wichtige sichern falls was bei der Neuinstallation schiefgeht, versehentlich gelöscht wird etc pp


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131