Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
DNS funktioniert nach Virus nicht mehr

DNS funktioniert nach Virus nicht mehr


Plagegeister aller Art und deren Bekämpfung: DNS funktioniert nach Virus nicht mehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.01.2009, 02:59   #1
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Hallo,
nachdem Antivir in einer heruntergeladenen Datei den Fund von DR/TDSS.gxg gemeldet hat, funktionierte die Namesnauflösung nichtmehr (zB Firefox meldet: Der Host-Server zu der aufgerufenen Adresse konnte nicht gefunden werden.).
IP-Adressen sind ohne Probleme aufrufbar. nslookup zum ermitteln des zugehörigen Namens funktioniert auch. Die DNS-Server sind ebenfalls korrekt eingetragen. Aber sämtliche Verbindungen zu Rechnern bei denen der Hostname benötigt wird schlagen fehl. Dummerweise sind damit auch keine Programmupdates für Antivir und Co möglich.
Ich schreibe hier gerade in einer VM auf dem betroffenen System. Hier im Gastsystem geht alles ohne Probleme, nur halt im Hostsystem (WindowsXP auf neustem Stand) direkt nicht.

mfg

Alt 31.01.2009, 09:47   #2
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Hallo und

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas
__________________
Alt 31.01.2009, 13:37   #3
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Schonmal vielen Dank für die Hilfe.
Hier das Log-File:
http://rapidshare.com/files/192004414/GMER-Log.txt.html
__________________
Alt 31.01.2009, 16:49   #4
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Poste bitte ein HJT-Log, beachte dabei die Regeln: http://www.trojaner-board.de/22770-a...log-files.html

ciao, andreas

Alt 31.01.2009, 17:02   #5
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Die bei GMER rot markierten Einträge auf gaopdxljnlknss.sys ließen sich übrigens nicht entfernen.

Hier konnte ich selbst keine auffälligkeit feststellen, sonst hätte ich den Thread im entsprechenden Subforum eröffnet.
Vielleicht findest du ja mehr.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:15, on 30.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\adobe Reader 9.0\Reader\Reader_sl.exe
C:\Programme\UltraMon\UltraMon.exe
D:\Rainlendar2\Rainlendar2.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
D:\HotSwap!.EXE
D:\girder32\Girder.exe
D:\CrystalCPUID415\CrystalCPUID.exe
D:\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MaxBlastMonitor.exe] C:\Programme\Seagate\DiscWizard\MaxBlastMonitor.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\adobe Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKCU\..\Run: [Rainlendar2] d:\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [HotSwap! Applet] "D:\HotSwap!.EXE"
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] d:\KGB\Mpk.exe
O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = D:\CrystalCPUID415\CrystalCPUID.exe
O4 - Startup: Verknüpfung mit miranda32.lnk = D:\Miranda IM\miranda32.exe
O4 - Global Startup: Girder 3.2.lnk = D:\girder32\Girder.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download aller Links mit IDM - D:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV Video Inhalt mit IDM - D:\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - D:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Download with IDM - D:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O10 - Unknown file in Winsock LSP: prxerdrv.dll
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - d:\OpenVPN\bin\openvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7969 bytes
Gruß, Andreas


Alt 31.01.2009, 17:41   #6
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Eigentlich brauchte ich das nur, um deine Systempfade zu kennen. Das Gmer-Log zeigt gleich zwei Rootkits, die für sich alleine schon schlimm genug sind, aber das HJT-Log

Hast du dir den Keylogger freiwillig installiert? Weißt du was ein Keylogger ist und kann?

Sollte es deinerseits keine triftigen Gründe gegen ein Neuaufsetzen geben, dann wird es allerhöchste Zeit dafür. Ändere nach der Neuinstallation alle deine Kennwörter. Nachdem du deine Daten gesichert hast, stecke alle deine externen Datenträger an und lasse ComboFix laufen. Poste das Log.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Alt 31.01.2009, 18:43   #7
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Ja, der KGB-Keylogger (ich hoffe du hast nich noch nen anderen entdeckt) ist schon Absicht. Der liegt eigentlich auch nur im autorun und wird nach dem Hochfahren von mir beendet.

Neuaufsetzen ist zut Zeit schlecht, da die Prüfungen und diverse Abgabetermine anstehen und ich diverse Programme von der Uni dafür noch brauche. Geplant is das aber schon länger...
Was meinst du mit 'alle Daten sichern' und dann 'alle externen Laufwerke anschließen'? Wozu dann vorher sichern? Und soll ich Combofix erst nach einer Neuinstallation benutzen oder jetzt gleich? Sorry, aber das wird mir nicht ganz klar.
Werde die Programme jedenfall schonmal runterladen.

Alt 31.01.2009, 18:47   #8
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Das war nicht deutlich genug formuliert. Nach der Sicherung deiner Daten und vor der Neuinstallation sollst du alle externen Datenträger anschliessen und ComboFix laufen lassen. Wenn du Neuinstallation sowieso vor hast, dann können wir zumindest versuchen zu säubern. Starte mit ComboFix und mache anschliessend noch ein Log mit Gmer. Dann sehen wir weiter.

ciao, andreas

Alt 31.01.2009, 19:40   #9
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Hier die Combofix-Log:

Code:
ATTFilter
ComboFix 09-01-31.01 - a 2009-01-31 19:23:30.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1661 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\a\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokumente und einstellungen\a\Cookies\etuw.db
c:\dokumente und einstellungen\a\Cookies\fugugyt.pif
c:\dokumente und einstellungen\a\Cookies\sunypymiw.bin
c:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
c:\windows\system32\drivers\TDSSserv.sys
D:\Autorun.inf
d:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
E:\Autorun.inf
e:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
F:\Autorun.inf
f:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
G:\Autorun.inf
g:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
H:\Autorun.inf
h:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
I:\Autorun.inf
i:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
J:\Autorun.inf
j:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV
-------\Legacy_TDSSSERV


(((((((((((((((((((((((   Dateien erstellt von 2008-12-28 bis 2009-01-31  ))))))))))))))))))))))))))))))
.

2009-01-31 13:31 . 2009-01-31 15:25	250	--a------	c:\windows\gmer.ini
2009-01-23 02:59 . 2009-01-23 02:59	<DIR>	d--------	c:\programme\Sony Ericsson USB
2009-01-23 02:57 . 2009-01-23 12:22	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-23 02:57 . 2009-01-23 03:11	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\MyPhoneExplorer
2009-01-21 21:08 . 2009-01-21 21:08	7,680	--ahs----	c:\windows\Thumbs.db
2009-01-21 15:44 . 2009-01-21 15:44	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MiKTeX
2009-01-21 15:39 . 2009-01-21 15:43	<DIR>	d--------	c:\programme\MiKTeX 2.7
2009-01-21 14:46 . 2006-05-28 16:39	44,544	--a------	c:\windows\system32\msxml4a.dll
2009-01-21 14:39 . 2009-01-21 14:39	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe
2009-01-20 14:58 . 2009-01-31 16:01	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\gtk-2.0
2009-01-14 23:05 . 2009-01-14 23:05	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Inkscape
2009-01-08 18:01 . 2009-01-08 18:01	<DIR>	d--------	c:\programme\MSXML 4.0
2009-01-08 16:33 . 2007-04-24 11:33	108,680	-ra------	c:\windows\system32\drivers\s125mdm.sys
2009-01-08 16:33 . 2007-04-24 11:33	100,488	-ra------	c:\windows\system32\drivers\s125mgmt.sys
2009-01-08 16:33 . 2007-04-24 11:33	98,696	-ra------	c:\windows\system32\drivers\s125obex.sys
2009-01-08 16:33 . 2007-04-24 11:33	83,336	-ra------	c:\windows\system32\drivers\s125bus.sys
2009-01-08 16:33 . 2007-04-24 11:33	15,112	-ra------	c:\windows\system32\drivers\s125mdfl.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125whnt.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125wh.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125cmnt.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125cm.sys
2009-01-08 16:32 . 2009-01-18 22:11	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Teleca
2009-01-07 23:29 . 2009-01-18 22:11	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Teleca Shared
2009-01-07 23:29 . 2009-01-07 23:29	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Sony Ericsson
2008-12-16 01:39 . 2009-01-31 19:27	<DIR>	d--hs----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK
2008-12-16 01:39 . 2008-12-16 01:39	403	--a------	c:\windows\system32\runkgb.lnk
2008-12-16 01:35 . 2008-12-16 01:36	539	---hs----	c:\windows\system\actualspystart.lnk
2008-12-10 19:26 . 2008-12-10 19:27	<DIR>	d--------	c:\programme\ratDVD
2008-12-08 21:23 . 2008-12-08 21:23	410,984	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 18:27	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\Skype
2009-01-31 18:27	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\nView_Wallpaper
2009-01-19 16:14	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\dvdcss
2009-01-05 11:56	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ybmhghyj
2009-01-04 17:38	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-01-04 12:33	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\ONLINE FUCHS
2008-12-24 16:30	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\uTorrent
2008-12-19 19:11	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-19 17:18	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\U3
2008-12-11 10:57	333,952	----a-w	c:\windows\system32\drivers\srv.sys
2008-12-08 20:23	---------	d-----w	c:\programme\Java
2008-12-07 22:41	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\ICQ
2008-10-28 17:09	720,896	----a-w	c:\windows\iun6002.exe
2008-10-16 13:13	319,488	----a-w	c:\windows\HideWin.exe
2008-10-13 14:14	18,636	----a-w	c:\programme\Gemeinsame Dateien\uqyd.bin
2008-10-13 14:14	17,368	----a-w	c:\programme\Gemeinsame Dateien\inyfyruqas.ban
2008-10-13 14:14	16,109	----a-w	c:\windows\ubyw.vbs
2008-10-13 14:14	15,365	----a-w	c:\programme\Gemeinsame Dateien\idinexybo.com
2008-10-13 14:14	13,758	----a-w	c:\dokumente und einstellungen\a\Anwendungsdaten\erita.vbs
2008-10-13 14:14	11,902	----a-w	c:\programme\Gemeinsame Dateien\ekowabebes.inf
2008-10-13 14:14	11,363	----a-w	c:\programme\Gemeinsame Dateien\edapen.db
2006-05-03 09:06	163,328	--sh--r	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216,064	--sh--r	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2005-05-14 187904]
"Rainlendar2"="d:\rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]
"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"HotSwap! Applet"="D:\HotSwap!.EXE" [2009-01-10 95232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-08 136600]
"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-20 1194768]
"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-20 1966264]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]
"MaxBlastMonitor.exe"="c:\programme\Seagate\DiscWizard\MaxBlastMonitor.exe" [2007-08-28 1194672]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"Adobe Reader Speed Launcher"="d:\adobe reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-30 c:\windows\RTHDCPL.EXE]
"Resume copy"="copyfstq.exe" [2002-03-24 c:\windows\COPYFSTQ.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Mpk.exe"="d:\kgb\Mpk.exe" [2008-04-15 1177600]

c:\dokumente und einstellungen\a\Startmen\Programme\Autostart\
Verknpfung mit CrystalCPUID.exe.lnk - d:\crystalcpuid415\CrystalCPUID.exe [2008-09-14 823296]
Verknpfung mit miranda32.lnk - d:\miranda im\miranda32.exe [2009-01-23 558173]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Girder 3.2.lnk - d:\girder32\Girder.exe [2003-06-11 1830912]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Miranda IM\\miranda32.exe"=
"e:\\Quake III Arena\\quake3.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"e:\\Warcraft III\\war3.exe"=
"e:\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"e:\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"=
"e:\\Starcraft\\starcraft.exe"=
"e:\\warsow_0.3_windows\\warsow.exe"=
"e:\\HLSW\\hlsw.exe"=
"e:\\CS1.6\\cstrike.exe"=
"e:\\Warcraft III\\pickup.listchecker\\pickup.listchecker.exe"=
"d:\\OpenVPN\\bin\\openvpn.exe"=
"e:\\cs_1.6\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\zFTPServer\\zFTPServer.exe"=
"d:\\VideoLAN\\VLC\\vlc.exe"=
"e:\\UT2004\\System\\UT2004.exe"=
"e:\\Warcraft III\\Warcraft III.exe"=
"e:\\Quake III Arena\\cnq3.exe"=
"d:\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2005-02-11 16640]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2008-04-30 40928]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2008-04-30 27776]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [2007-05-07 53632]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2007-08-22 37568]
R3 CrystalSysInfo;CrystalSysInfo;d:\crystalcpuid415\SysInfo.sys [2008-09-14 15152]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-01-30 25216]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2005-05-14 3328]
R4 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 10496]
S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [2002-07-15 73660]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2007-08-22 444416]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [2008-08-08 455680]
S3 IgorPlug;IgorPlug-USB Driver;c:\windows\system32\drivers\IgorPlug.sys [2008-09-07 8825]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\drivers\s125bus.sys [2009-01-08 83336]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\drivers\s125mdfl.sys [2009-01-08 15112]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\drivers\s125mdm.sys [2009-01-08 108680]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s125mgmt.sys [2009-01-08 100488]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\drivers\s125obex.sys [2009-01-08 98696]
S4 BT848;TerraTV WDM Video Capture;c:\windows\system32\drivers\BT848.SYS --> c:\windows\system32\drivers\BT848.SYS [?]
S4 BTXBAR;TerraTV WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS --> c:\windows\system32\drivers\BTXBAR.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CRYSTALSYSINFO

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82dd218a-5b77-11d9-a4d0-806d6172696f}]
\Shell\AutoRun\command - M:\umenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b452ba44-9e3b-11dd-aabe-0015584ebc14}]
\Shell\AutoRun\command - M:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: Alles mit FlashGet laden - d:\flashget\jc_all.htm
IE: Download aller Links mit IDM - d:\internet download manager\IEGetAll.htm
IE: Download FLV Video Inhalt mit IDM - d:\internet download manager\IEGetVL.htm
IE: Download mit IDM - d:\internet download manager\IEExt.htm
IE: Download with IDM - d:\internet download manager\IEExt.htm
IE: Mit FlashGet laden - d:\flashget\jc_link.htm
LSP: PrxerDrv.dll
FF - ProfilePath - c:\dokumente und einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\wp67ruxp.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: d:\adobe reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\mozilla firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: d:\mozilla firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 19:27:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
"imagepath"="\systemroot\system32\drivers\gaopdxljnlknss.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:5f,e9,81,10,85,26,66,10,e6,a4,18,45,8c,e5,a7,82,d9,c5,59,ab,e2,cf,44,
   9a,a2,aa,e8,a6,b2,90,90,a2,c4,21,23,ae,9c,3e,b6,e6,58,6e,de,0e,bf,b4,f9,d3,\
"??"=hex:29,83,0b,df,8c,bb,7a,84,05,55,d7,2c,0d,79,f7,6a

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:18,96,be,7f,d9,e9,bf,e0,cc,79,f8,d7,f0,07,ea,44,35,3a,db,57,c9,
   03,77,64,6b,eb,11,d8,5e,a9,db,57,70,69,52,f0,ec,64,65,e7,09,9b,7d,77,88,08,\
"rkeysecu"=hex:d3,4b,79,dc,dc,96,aa,53,9a,2c,b4,12,04,3c,d8,e9

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1316)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\UltraMon\UltraMonTaskbar.exe
c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\programme\NVIDIA Corporation\nTune\nTuneService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Skype\Phone\Skype.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-31 19:29:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-31 18:29:01

Vor Suchlauf: 10 Verzeichnis(se), 10,140,487,680 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 10,388,434,944 Bytes frei

261	--- E O F ---	2009-01-15 03:02:11
Und die zweite GMER-Log:
http://rapidshare.com/files/192135323/gmer-log2.log.html

Meine Festplatte rattert seit dem Combofix-Scan übrigens durchgehend wie wild.

Alt 31.01.2009, 20:05   #10
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Seit wann hast du Probleme?

1.) Deinstalliere die Daemon Tools (kannst du zum Schluss wieder installieren)

2.) Scripten mit Combofix

  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
KILLALL::

Driver::
gaopdxserv.sys

File::
c:\windows\system32\drivers\gaopdxljnlknss.sys
c:\windows\system32\gaopdxrsevnqhc.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas
Geändert von john.doe (31.01.2009 um 20:10 Uhr)

Alt 31.01.2009, 20:37   #11
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Wow, es es funktioniert wieder alles.

Trotzdem der vollständigkeit halber hier das aktuelle Log (falls du noch was anderes im Auge hattest):

Code:
ATTFilter
ComboFix 09-01-31.01 - a 2009-01-31 20:25:58.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1628 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\a\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\gaopdxljnlknss.sys
c:\windows\system32\gaopdxrsevnqhc.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-12-28 bis 2009-01-31  ))))))))))))))))))))))))))))))
.

2009-01-31 13:31 . 2009-01-31 20:24	250	--a------	c:\windows\gmer.ini
2009-01-30 20:47 . 2009-01-31 19:26	4	--a------	c:\windows\system32\gaopdxcounter
2009-01-23 02:59 . 2009-01-23 02:59	<DIR>	d--------	c:\programme\Sony Ericsson USB
2009-01-23 02:57 . 2009-01-23 12:22	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-23 02:57 . 2009-01-23 03:11	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\MyPhoneExplorer
2009-01-21 21:08 . 2009-01-21 21:08	7,680	--ahs----	c:\windows\Thumbs.db
2009-01-21 15:44 . 2009-01-21 15:44	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MiKTeX
2009-01-21 15:39 . 2009-01-21 15:43	<DIR>	d--------	c:\programme\MiKTeX 2.7
2009-01-21 14:46 . 2006-05-28 16:39	44,544	--a------	c:\windows\system32\msxml4a.dll
2009-01-21 14:39 . 2009-01-21 14:39	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe
2009-01-20 14:58 . 2009-01-31 16:01	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\gtk-2.0
2009-01-14 23:05 . 2009-01-14 23:05	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Inkscape
2009-01-08 18:01 . 2009-01-08 18:01	<DIR>	d--------	c:\programme\MSXML 4.0
2009-01-08 16:33 . 2007-04-24 11:33	108,680	-ra------	c:\windows\system32\drivers\s125mdm.sys
2009-01-08 16:33 . 2007-04-24 11:33	100,488	-ra------	c:\windows\system32\drivers\s125mgmt.sys
2009-01-08 16:33 . 2007-04-24 11:33	98,696	-ra------	c:\windows\system32\drivers\s125obex.sys
2009-01-08 16:33 . 2007-04-24 11:33	83,336	-ra------	c:\windows\system32\drivers\s125bus.sys
2009-01-08 16:33 . 2007-04-24 11:33	15,112	-ra------	c:\windows\system32\drivers\s125mdfl.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125whnt.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125wh.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125cmnt.sys
2009-01-08 16:33 . 2007-04-24 11:33	12,424	-ra------	c:\windows\system32\drivers\s125cm.sys
2009-01-08 16:32 . 2009-01-18 22:11	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Teleca
2009-01-07 23:29 . 2009-01-18 22:11	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Teleca Shared
2009-01-07 23:29 . 2009-01-07 23:29	<DIR>	d--------	c:\dokumente und einstellungen\a\Anwendungsdaten\Sony Ericsson
2008-12-16 01:39 . 2009-01-31 20:30	<DIR>	d--hs----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK
2008-12-16 01:39 . 2008-12-16 01:39	403	--a------	c:\windows\system32\runkgb.lnk
2008-12-16 01:35 . 2008-12-16 01:36	539	---hs----	c:\windows\system\actualspystart.lnk
2008-12-10 19:26 . 2008-12-10 19:27	<DIR>	d--------	c:\programme\ratDVD
2008-12-08 21:23 . 2008-12-08 21:23	410,984	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 19:30	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\Skype
2009-01-31 19:30	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\nView_Wallpaper
2009-01-19 16:14	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\dvdcss
2009-01-05 11:56	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ybmhghyj
2009-01-04 17:38	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-01-04 12:33	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\ONLINE FUCHS
2008-12-24 16:30	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\uTorrent
2008-12-19 19:11	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-19 17:18	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\U3
2008-12-11 10:57	333,952	----a-w	c:\windows\system32\drivers\srv.sys
2008-12-08 20:23	---------	d-----w	c:\programme\Java
2008-12-07 22:41	---------	d-----w	c:\dokumente und einstellungen\a\Anwendungsdaten\ICQ
2008-10-28 17:09	720,896	----a-w	c:\windows\iun6002.exe
2008-10-16 13:13	319,488	----a-w	c:\windows\HideWin.exe
2008-10-13 14:14	18,636	----a-w	c:\programme\Gemeinsame Dateien\uqyd.bin
2008-10-13 14:14	17,368	----a-w	c:\programme\Gemeinsame Dateien\inyfyruqas.ban
2008-10-13 14:14	16,109	----a-w	c:\windows\ubyw.vbs
2008-10-13 14:14	15,365	----a-w	c:\programme\Gemeinsame Dateien\idinexybo.com
2008-10-13 14:14	13,758	----a-w	c:\dokumente und einstellungen\a\Anwendungsdaten\erita.vbs
2008-10-13 14:14	11,902	----a-w	c:\programme\Gemeinsame Dateien\ekowabebes.inf
2008-10-13 14:14	11,363	----a-w	c:\programme\Gemeinsame Dateien\edapen.db
2006-05-03 09:06	163,328	--sh--r	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216,064	--sh--r	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   snapshot@2009-01-31_19.28.27.06   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-08 01:20:00	80,468	----a-w	c:\windows\system32\perfc007.dat
+ 2009-01-31 19:24:22	80,468	----a-w	c:\windows\system32\perfc007.dat
- 2008-08-08 01:20:00	67,696	----a-w	c:\windows\system32\perfc009.dat
+ 2009-01-31 19:24:22	67,696	----a-w	c:\windows\system32\perfc009.dat
- 2008-08-08 01:20:00	449,248	----a-w	c:\windows\system32\perfh007.dat
+ 2009-01-31 19:24:22	449,248	----a-w	c:\windows\system32\perfh007.dat
- 2008-08-08 01:20:00	432,992	----a-w	c:\windows\system32\perfh009.dat
+ 2009-01-31 19:24:22	432,992	----a-w	c:\windows\system32\perfh009.dat
+ 2009-01-31 19:30:16	16,384	----atw	c:\windows\temp\Perflib_Perfdata_2b0.dat
+ 2009-01-31 19:30:39	16,384	----atw	c:\windows\temp\Perflib_Perfdata_700.dat
+ 2009-01-31 19:30:50	16,384	----atw	c:\windows\temp\Perflib_Perfdata_c04.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2005-05-14 187904]
"Rainlendar2"="d:\rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]
"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"HotSwap! Applet"="D:\HotSwap!.EXE" [2009-01-10 95232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-08 136600]
"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-20 1194768]
"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-20 1966264]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]
"MaxBlastMonitor.exe"="c:\programme\Seagate\DiscWizard\MaxBlastMonitor.exe" [2007-08-28 1194672]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"Adobe Reader Speed Launcher"="d:\adobe reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-30 c:\windows\RTHDCPL.EXE]
"Resume copy"="copyfstq.exe" [2002-03-24 c:\windows\COPYFSTQ.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Mpk.exe"="d:\kgb\Mpk.exe" [2008-04-15 1177600]

c:\dokumente und einstellungen\a\Startmen\Programme\Autostart\
Verknpfung mit CrystalCPUID.exe.lnk - d:\crystalcpuid415\CrystalCPUID.exe [2008-09-14 823296]
Verknpfung mit miranda32.lnk - d:\miranda im\miranda32.exe [2009-01-23 558173]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Girder 3.2.lnk - d:\girder32\Girder.exe [2003-06-11 1830912]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Miranda IM\\miranda32.exe"=
"e:\\Quake III Arena\\quake3.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"e:\\Warcraft III\\war3.exe"=
"e:\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"e:\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"=
"e:\\Starcraft\\starcraft.exe"=
"e:\\warsow_0.3_windows\\warsow.exe"=
"e:\\HLSW\\hlsw.exe"=
"e:\\CS1.6\\cstrike.exe"=
"e:\\Warcraft III\\pickup.listchecker\\pickup.listchecker.exe"=
"d:\\OpenVPN\\bin\\openvpn.exe"=
"e:\\cs_1.6\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\zFTPServer\\zFTPServer.exe"=
"d:\\VideoLAN\\VLC\\vlc.exe"=
"e:\\UT2004\\System\\UT2004.exe"=
"e:\\Warcraft III\\Warcraft III.exe"=
"e:\\Quake III Arena\\cnq3.exe"=
"d:\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2005-02-11 16640]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2008-04-30 40928]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2008-04-30 27776]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [2007-05-07 53632]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2007-08-22 37568]
R3 CrystalSysInfo;CrystalSysInfo;d:\crystalcpuid415\SysInfo.sys [2008-09-14 15152]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-01-30 25216]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2005-05-14 3328]
R4 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 10496]
S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [2002-07-15 73660]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2007-08-22 444416]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [2008-08-08 455680]
S3 IgorPlug;IgorPlug-USB Driver;c:\windows\system32\drivers\IgorPlug.sys [2008-09-07 8825]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\drivers\s125bus.sys [2009-01-08 83336]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\drivers\s125mdfl.sys [2009-01-08 15112]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\drivers\s125mdm.sys [2009-01-08 108680]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s125mgmt.sys [2009-01-08 100488]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\drivers\s125obex.sys [2009-01-08 98696]
S4 BT848;TerraTV WDM Video Capture;c:\windows\system32\drivers\BT848.SYS --> c:\windows\system32\drivers\BT848.SYS [?]
S4 BTXBAR;TerraTV WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS --> c:\windows\system32\drivers\BTXBAR.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CRYSTALSYSINFO

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b452ba44-9e3b-11dd-aabe-0015584ebc14}]
\Shell\AutoRun\command - M:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: Alles mit FlashGet laden - d:\flashget\jc_all.htm
IE: Download aller Links mit IDM - d:\internet download manager\IEGetAll.htm
IE: Download FLV Video Inhalt mit IDM - d:\internet download manager\IEGetVL.htm
IE: Download mit IDM - d:\internet download manager\IEExt.htm
IE: Download with IDM - d:\internet download manager\IEExt.htm
IE: Mit FlashGet laden - d:\flashget\jc_link.htm
LSP: PrxerDrv.dll
FF - ProfilePath - c:\dokumente und einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\wp67ruxp.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: d:\adobe reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\mozilla firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: d:\mozilla firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 20:30:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:5f,e9,81,10,85,26,66,10,e6,a4,18,45,8c,e5,a7,82,d9,c5,59,ab,e2,cf,44,
   9a,a2,aa,e8,a6,b2,90,90,a2,c4,21,23,ae,9c,3e,b6,e6,58,6e,de,0e,bf,b4,f9,d3,\
"??"=hex:29,83,0b,df,8c,bb,7a,84,05,55,d7,2c,0d,79,f7,6a

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:18,96,be,7f,d9,e9,bf,e0,cc,79,f8,d7,f0,07,ea,44,35,3a,db,57,c9,
   03,77,64,6b,eb,11,d8,5e,a9,db,57,70,69,52,f0,ec,64,65,e7,09,9b,7d,77,88,08,\
"rkeysecu"=hex:d3,4b,79,dc,dc,96,aa,53,9a,2c,b4,12,04,3c,d8,e9

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1320)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
c:\programme\UltraMon\UltraMonTaskbar.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\programme\NVIDIA Corporation\nTune\nTuneService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Skype\Phone\Skype.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-31 20:32:19 - PC wurde neu gestartet [a]
ComboFix-quarantined-files.txt  2009-01-31 19:32:17
ComboFix2.txt  2009-01-31 18:29:04

Vor Suchlauf: 10 Verzeichnis(se), 10,369,368,064 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 10,351,067,136 Bytes frei

250	--- E O F ---	2009-01-15 03:02:11
Ansonsten vielen Dank für deine Hilfe.

Alt 31.01.2009, 20:58   #12
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Also mir erscheint da eigentlich alles verdächtig. Die Suche ist aber einfacher, wenn du mir ein Datum nennen kannst, seitdem die Probleme bestehen.

Da läuft mir definitiv zu viel im Hintergrund und als Autostart, aber wenn du sowieso neuaufsetzt, dann lohnt die Mühe nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Lass noch die Standardscanner laufen und poste die Logs:
MalwareBytes
SuperAntiSpyware
DrWeb CureIt

ciao, andreas

Alt 31.01.2009, 22:07   #13
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Das Problem trat gestern abend ca 20:45 auf.
Die Scans mach ich die Nacht über und poste morgen die Logs.

Alt 01.02.2009, 17:00   #14
ndrs
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Vorm Scannen habe ich doch nochmal ein paar Programme deinstalliert: den Keylogger und einige Tools von Festplattenherstellern, die ich nur einmal gebraucht hatte.

Super AntiSpyware:
kein Fund

MalwareBytes:
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
habe ich entfernt.

Zu DrWebCureIt bin ich leider noch nicht gekommen.

Alt 01.02.2009, 17:12   #15
john.doe
 
DNS funktioniert nach Virus nicht mehr - Standard

DNS funktioniert nach Virus nicht mehr


Das sieht doch gut aus. Lösche noch diese Datei:
Code:
ATTFilter
c:\windows\system32\gaopdxcounter
ciao, andreas

Antwort

Themen zu DNS funktioniert nach Virus nicht mehr
adresse, antivir, auflösung, benötigt, datei, direkt, dns, dns-server, ebenfalls, ermitteln, firefox, fund, funktioniert, gemeldet, hostname, konnte, korrekt, namens, nicht gefunden, nicht mehr, probleme, rechner, rechnern, sämtliche, verbindungen, virus, windowsxp


« kurzzeitig sehr hoher Upload bei Firefox | Meldung about:blank wurde nicht gefunden »


Ähnliche Themen: DNS funktioniert nach Virus nicht mehr


  1. Nach dem Löschen von startsearch.com funktioniert der IE 11 nicht mehr
    Log-Analyse und Auswertung - 17.03.2015 (11)
  2. Nach G Data Installation funktioniert Minecraft 1.8.1 nicht mehr
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2015 (5)
  3. IE funktioniert nicht mehr (vermutlich nach Java Update..)- komme nicht mehr ins Internet
    Log-Analyse und Auswertung - 16.06.2014 (6)
  4. Auf einmal ging mein driver Genius nicht mehr und nach neuinstalation steht (Online Downloader funktioniert nicht mehr
    Alles rund um Windows - 13.05.2014 (2)
  5. Avast funktioniert nach Win-Updates nicht mehr ?
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2014 (2)
  6. Tastatur funktioniert nicht mehr nach Update auf Windows 8.1
    Alles rund um Windows - 14.12.2013 (11)
  7. Internet funktioniert nach Youtube Videos nicht mehr.
    Alles rund um Windows - 18.10.2013 (0)
  8. Nach Virus funktioniert Internet nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 07.08.2013 (5)
  9. Nach Bereinigung funktioniert Java nicht mehr
    Alles rund um Windows - 28.10.2012 (1)
  10. nach UKASH Trojaner startet windows nicht mehr, kaspersky rescue disc funktioniert nicht
    Log-Analyse und Auswertung - 26.03.2012 (3)
  11. nach Infektion mit trojan spyeyes,zbot,agent Java virus funktioniert tastatur nicht mehr
    Log-Analyse und Auswertung - 25.08.2011 (1)
  12. Browser funktioniert nach Malwarebytes nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 11.05.2011 (4)
  13. Netzwerkdrucker funktioniert nach Windows XP Neuinstallation nicht mehr
    Alles rund um Windows - 16.04.2011 (25)
  14. Vista-Aero funktioniert nicht mehr nach Think Point
    Log-Analyse und Auswertung - 05.12.2010 (1)
  15. Vista: Pc funktioniert nach ca 1. Minute nicht mehr.
    Log-Analyse und Auswertung - 21.12.2008 (0)
  16. IE funktioniert nach gewisser Zeit nicht mehr, Task-Manager-Start nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 28.09.2008 (3)
  17. XP funktioniert nach RegistryCleaner nicht mehr!!!
    Alles rund um Windows - 15.04.2008 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema DNS funktioniert nach Virus nicht mehr - Hallo, nachdem Antivir in einer heruntergeladenen Datei den Fund von DR/TDSS.gxg gemeldet hat, funktionierte die Namesnauflösung nichtmehr (zB Firefox meldet: Der Host-Server zu der aufgerufenen Adresse konnte nicht gefunden werden.). - DNS funktioniert nach Virus nicht mehr...
Archiv
Du betrachtest: DNS funktioniert nach Virus nicht mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131