Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper.gen, getarnt als Bildschirmschoner! Nach jedem Neustart wieder da! (https://www.trojaner-board.de/90400-tr-dropper-gen-getarnt-bildschirmschoner-neustart.html)

Virulaner 04.09.2010 23:14
TR/Dropper.gen, getarnt als Bildschirmschoner! Nach jedem Neustart wieder da!
 
Hallo!

Habe mir vor einigen Tagen den Rechner mithilfe von Grooveshark verseucht - wusste nicht, dass Musik hören so riskant sein kann ... :stirn:

Problembeschreibung:

- AntiVir meldet nach jedem Neustart:
"In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Eigene DateienWindows 7 Crack 2010.scr' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern"

Die besagte scr-Datei ist ohne mein Zutun auf dem Rechner gelandet!

Bisherige Maßnahmen:

- Kompletter Check mit AntiVir Personal. Es wurde zweimal der "TR/Dropper.gen" in der System Volume Information gefunden und von mir in die Quarantäne verschoben. Ein weiterer, offensichtlich älterer Trojanerfund auf einer anderen Platte hat mit dem aktuellen Problem wohl nichts zu tun. Trojaner-Meldung nach Neustart wieder da. Log-Datei anbei.

- Vergeblicher Versuch, den Trojaner manuell in der System Volume Information zu finden. Habe zufällig in einem Ordner namens "RP350" die Anwendungsdatei eines mir unbekannten Bildschirmschoners gefunden und diese gelöscht. Ohne nachhaltigen Erfolg.

- Vergeblicher Versuch einer Systemwiederherstellung zu einem früheren Zeitpunkt. Nach Neustart Meldung, dass dies nicht möglich sei.

- Vollständiger Suchlauf mit "Malwarebyte's Anti-Malware" - Trojaner offenbar nicht gefunden, Log-Datei unten angehängt.

- Versuch, den Trojaner mit dem Programm "Trojan Remover" zu entfernen, leider ohne Erfolg.

- Nach Lesen von Postings hier im Forum auf eigene Faust "Combofix" durchlaufen lassen, offenbar ohne Erfolg, Log-Datei unten angehängt.

- Zum Schluss noch mal "HiJackThis" durchlaufen lassen, Log-Datei unten angehängt.

Nun bin ich endgültig mit meinem Computer-Latein am Ende und hoffe hier auf eure Hilfe. Es gibt zwar diverse Postings zum Thema "TR/Dropper.gen", aber dass der Trojaner in einer Bildschirmschonerdatei steckt, ist wohl neu?

Noch eine Frage: Hat der Trojaner abgesehen vom Internet weitere Gefahrenpotenziale? Nutze den befallenen Rechner vorwiegend offline zum Musik machen, Internet könnte ich größtenteils auslagern, wenn es sein muss.

DANKE im Voraus für hilfreiche Tipps!!!! :party:

Hier die Logdateien:

ANTIVIR PERSONAL


Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. September 2010  14:22

Es wird nach 2772066 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : SOUNDALISTICAL

Versionsinformationen:
BUILD.DAT      : 9.0.0.422    21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE    : 9.0.3.10    466689 Bytes  22.11.2009 10:54:17
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 10:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 08:41:59
VBASE000.VDF  : 7.10.0.0  19875328 Bytes  06.11.2009 10:54:17
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 10:54:17
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 19:50:23
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 19:28:55
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 10:46:19
VBASE005.VDF  : 7.10.6.82  2494464 Bytes  15.04.2010 09:06:03
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 19:26:21
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 09:36:56
VBASE008.VDF  : 7.10.9.166      2048 Bytes  23.07.2010 09:36:56
VBASE009.VDF  : 7.10.9.167      2048 Bytes  23.07.2010 09:36:56
VBASE010.VDF  : 7.10.9.168      2048 Bytes  23.07.2010 09:36:56
VBASE011.VDF  : 7.10.9.169      2048 Bytes  23.07.2010 09:36:56
VBASE012.VDF  : 7.10.9.170      2048 Bytes  23.07.2010 09:36:56
VBASE013.VDF  : 7.10.9.198    157696 Bytes  26.07.2010 14:51:14
VBASE014.VDF  : 7.10.9.255    997888 Bytes  29.07.2010 19:47:04
VBASE015.VDF  : 7.10.10.28    139264 Bytes  02.08.2010 19:47:04
VBASE016.VDF  : 7.10.10.52    127488 Bytes  03.08.2010 18:27:38
VBASE017.VDF  : 7.10.10.84    137728 Bytes  06.08.2010 08:25:16
VBASE018.VDF  : 7.10.10.107    176640 Bytes  09.08.2010 19:31:02
VBASE019.VDF  : 7.10.10.130    132608 Bytes  10.08.2010 19:31:03
VBASE020.VDF  : 7.10.10.158    131072 Bytes  12.08.2010 19:31:06
VBASE021.VDF  : 7.10.10.190    136704 Bytes  16.08.2010 07:07:11
VBASE022.VDF  : 7.10.10.217    118272 Bytes  19.08.2010 07:07:11
VBASE023.VDF  : 7.10.10.246    130048 Bytes  23.08.2010 07:07:11
VBASE024.VDF  : 7.10.11.11    144896 Bytes  25.08.2010 07:07:12
VBASE025.VDF  : 7.10.11.33    135168 Bytes  27.08.2010 07:07:12
VBASE026.VDF  : 7.10.11.52    148992 Bytes  31.08.2010 10:17:43
VBASE027.VDF  : 7.10.11.53      2048 Bytes  31.08.2010 10:17:43
VBASE028.VDF  : 7.10.11.54      2048 Bytes  31.08.2010 10:17:43
VBASE029.VDF  : 7.10.11.55      2048 Bytes  31.08.2010 10:17:44
VBASE030.VDF  : 7.10.11.56      2048 Bytes  31.08.2010 10:17:44
VBASE031.VDF  : 7.10.11.70    101888 Bytes  02.09.2010 10:17:42
Engineversion  : 8.2.4.46
AEVDF.DLL      : 8.1.2.1      106868 Bytes  02.08.2010 19:47:09
AESCRIPT.DLL  : 8.1.3.44    1364346 Bytes  29.08.2010 07:07:16
AESCN.DLL      : 8.1.6.1      127347 Bytes  14.05.2010 12:28:12
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 17:44:40
AERDL.DLL      : 8.1.8.2      614772 Bytes  20.07.2010 19:55:34
AEPACK.DLL    : 8.2.3.5      471412 Bytes  07.08.2010 08:25:21
AEOFFICE.DLL  : 8.1.1.8      201081 Bytes  23.07.2010 05:57:23
AEHEUR.DLL    : 8.1.2.19    2867574 Bytes  29.08.2010 07:07:15
AEHELP.DLL    : 8.1.13.3    242038 Bytes  29.08.2010 07:07:13
AEGEN.DLL      : 8.1.3.20    397684 Bytes  29.08.2010 07:07:13
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 17:44:39
AECORE.DLL    : 8.1.16.2    192887 Bytes  20.07.2010 19:54:41
AEBB.DLL      : 8.1.1.0      53618 Bytes  23.04.2010 17:44:39
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  08.09.2009 18:10:18
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 18:13:25
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  05.09.2009 17:47:57
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  05.09.2009 17:47:54
RCTEXT.DLL    : 9.0.73.0      87297 Bytes  22.11.2009 10:54:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 4. September 2010  14:22

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47585' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winsrv32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{BD97BD90-BA95-4ED8-A953-AC2C665604C0}\RP347\A0072579.scr
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{BD97BD90-BA95-4ED8-A953-AC2C665604C0}\RP350\A0072621.scr
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'E:\'
E:\System Volume Information\_restore{53B89412-3F6C-4B7B-B1AF-BCC56F02212A}\RP5\A0028643.exe
    [FUND]      Ist das Trojanische Pferd TR/Gendal.399136

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BD97BD90-BA95-4ED8-A953-AC2C665604C0}\RP347\A0072579.scr
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb26d1c.qua' verschoben!
C:\System Volume Information\_restore{BD97BD90-BA95-4ED8-A953-AC2C665604C0}\RP350\A0072621.scr
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc3b185.qua' verschoben!
E:\System Volume Information\_restore{53B89412-3F6C-4B7B-B1AF-BCC56F02212A}\RP5\A0028643.exe
    [FUND]      Ist das Trojanische Pferd TR/Gendal.399136
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc877c5.qua' verschoben!


Ende des Suchlaufs: Samstag, 4. September 2010  17:59
Benötigte Zeit:  2:54:08 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  9398 Verzeichnisse wurden überprüft
 708948 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 708944 Dateien ohne Befall
  6603 Archive wurden durchsucht
      1 Warnungen
      4 Hinweise
  47585 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

MALWAREBYTES

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4541

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.09.2010 14:18:52
mbam-log-2010-09-04 (14-18-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 298231
Laufzeit: 2 Stunde(n), 4 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ComboFix:


Code:
ComboFix 10-09-03.02 - Besitzer 04.09.2010  23:37:38.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.676 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-08-04 bis 2010-09-04  ))))))))))))))))))))))))))))))
.

2010-09-04 21:35 . 2010-09-04 21:35        251640        ----a-w-        c:\dokumente und einstellungen\Besitzer\Eigene DateienWindows 7 Crack 2010.scr
2010-09-04 16:34 . 2010-07-26 17:13        3683248        ----a-w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Simply Super Software\Trojan Remover\wqqA.exe
2010-09-04 16:08 . 2006-06-19 11:01        69632        ----a-w-        c:\windows\system32\ztvcabinet.dll
2010-09-04 16:08 . 2006-05-25 13:52        162304        ----a-w-        c:\windows\system32\ztvunrar36.dll
2010-09-04 16:08 . 2005-08-25 23:50        77312        ----a-w-        c:\windows\system32\ztvunace26.dll
2010-09-04 16:08 . 2002-03-05 23:00        75264        ----a-w-        c:\windows\system32\unacev2.dll
2010-09-04 16:08 . 2003-02-02 18:06        153088        ----a-w-        c:\windows\system32\UNRAR3.dll
2010-09-04 16:08 . 2010-09-04 20:43        --------        d-----w-        c:\programme\Trojan Remover
2010-09-04 16:08 . 2010-09-04 16:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-09-03 21:19 . 2010-09-03 21:19        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-09-03 21:19 . 2010-09-03 21:19        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-03 14:25 . 2010-09-03 14:25        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2010-09-03 14:25 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-03 14:25 . 2010-09-03 14:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-03 14:25 . 2010-09-03 14:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-03 14:25 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-03 13:58 . 2010-09-03 13:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-02 20:36 . 2010-09-03 16:02        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\rglvnruvr
2010-08-15 16:46 . 2010-09-02 20:36        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FFBC27D2DC015B88A27CC0F0714C2D55
2010-08-15 11:30 . 2010-08-15 11:32        --------        d-----w-        c:\windows\Schriften Web unzipped
2010-08-15 10:47 . 2010-08-15 11:50        --------        d-----w-        c:\windows\Schriften Web
2010-08-08 14:42 . 2010-08-08 15:00        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2010-08-08 11:53 . 2010-08-08 11:53        --------        d-----w-        c:\programme\HooTech MP3 to SWF Converter
2010-08-08 11:42 . 2010-08-08 11:42        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-08 11:42 . 2010-08-08 11:42        --------        d-----w-        c:\programme\DVDVideoSoft
2010-08-08 07:44 . 2010-08-08 07:44        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AnvSoft
2010-08-08 07:44 . 2010-08-08 07:44        --------        d-----w-        c:\programme\AnvSoft
2010-08-07 17:04 . 2010-08-07 17:05        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\BonkEnc

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-04 21:34 . 2009-06-07 11:16        384        ----a-w-        c:\windows\system32\DVCStateBkp-{00000002-00000000-0000000C-00001102-00000004-40021102}.dat
2010-09-04 21:34 . 2009-06-07 11:16        384        ----a-w-        c:\windows\system32\DVCState-{00000002-00000000-0000000C-00001102-00000004-40021102}.dat
2010-09-04 20:43 . 2010-09-04 20:43        --------        d-----w-        c:\programme\CCleaner
2010-09-04 20:43 . 2010-09-04 20:43        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Simply Super Software
2010-09-04 16:34 . 2009-03-11 21:35        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-30 13:48 . 2009-03-11 20:58        --------        d-----w-        c:\programme\Alice Software
2010-08-15 15:00 . 2009-03-11 21:10        83200        ----a-w-        c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-11 19:45 . 2002-06-27 15:18        614840        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-11 19:45 . 2002-06-27 15:18        143276        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-25 18:54 . 2010-07-25 18:54        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Greenshot
2010-07-25 18:54 . 2010-07-25 18:54        --------        d-----w-        c:\programme\Greenshot
2010-07-09 15:16 . 2009-03-22 15:45        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\VST3 Presets
2010-06-30 12:28 . 2002-06-27 15:19        149504        ----a-w-        c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2002-06-27 15:24        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2002-06-27 15:24        1852032        ----a-w-        c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2002-06-27 15:21        354304        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2002-06-27 15:12        80384        ----a-w-        c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2009-03-11 20:45        744448        ----a-w-        c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-06-14 07:41 . 2002-06-27 15:16        1172480        ----a-w-        c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((  SnapShot@2010-09-04_18.16.15  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-04 21:35 . 2010-09-04 21:35        16384              c:\windows\Temp\Perflib_Perfdata_1c8.dat
+ 2010-09-04 21:35 . 2010-09-04 21:35        16384              c:\windows\Temp\Perflib_Perfdata_100.dat
+ 2009-09-01 20:09 . 2010-09-04 20:43        560512              c:\windows\system32\Restore\rstrlog.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetDefaultMIDI"="MIDIDef.exe" [2003-06-20 49152]
"Windows - Update"="c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\winsrv32.exe" [2010-09-02 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-21 148888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"CTHelper"="CTHELPER.EXE" [2004-08-25 24576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
winsrv32.exe [2010-9-2 61440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.09.2009 19:25 108289]
R3 ews88mt;EWS88 WDM Audio;c:\windows\system32\drivers\ews88wdm.sys [14.03.2009 22:09 151172]
R3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [14.03.2009 22:17 23288]
S3 KORGUMDS;KORG USB-MIDI Driver for Windows;c:\windows\system32\drivers\KORGUMDS.SYS [09.03.2008 01:11 21720]
S3 pctplsg;pctplsg;\??\c:\windows\system32\drivers\pctplsg.sys --> c:\windows\system32\drivers\pctplsg.sys [?]
S4 Ahaan5bamrc;Ahaan5bamrc; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{82KQZD-KETGBH-Y9B4AV-9NGMHA}]
2010-09-02 20:35        61440        ----a-w-        c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\winsrv32.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\inl2b03m.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-04 23:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTHelper = CTHELPER.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3904)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-09-04  23:44:49
ComboFix-quarantined-files.txt  2010-09-04 21:44
ComboFix2.txt  2010-09-04 18:18

Vor Suchlauf: 18 Verzeichnis(se), 83.187.605.504 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 83.177.459.712 Bytes frei

- - End Of File - - 73C9C16089CB9A8A27026ED049E9B10F

HiJackThis:



Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:38:58, on 04.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winsrv32.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Antivirus\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Windows - Update] C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winsrv32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: winsrv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 5629 bytes

kira 05.09.2010 02:19
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\winsrv32.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.28        -
AhnLab-V3        5.0.0.2        2009.01.28        -
AntiVir        7.9.0.60        2009.01.28        -
Authentium        5.1.0.4        2009.01.27        -

...über 40 Virenscannern...also Geduld!!
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

Virulaner 05.09.2010 11:08
Hallo,

vielen Dank für das schnelle Feedback!

Bevor ich mich deinen Tipps widme:Was lässt sich denn meinen bisher geposteten Logfiles entnehmen?

Und noch mal die Frage, weil wichtig: Kann ich, wenn ich auf Internet weitgehend verzichte, den Rechner offline voraussichtlich problemlos weiter benutzen, ohne das System zu gefährden? Ich brauche hier nur eine Einschätzung, selbstverständlich kein haftungspflichtiges "Ja, sicher!"

Danke und bis später


PS: Ach ja, noch mal grundsätzlich zum Thema Trojaner: So lange man diese besch**** Datei nicht anklickt, ist der Trojaner auch nicht aktiv, richtig? Das wäre ja schon mal beruhigend ...

kira 06.09.2010 06:32
ohne -> http://www.trojaner-board.de/90400-t...tml#post564044 - kann ich erst garnix sagen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131