Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   16 versteckte Objekte nach TR/Inject.anzu, blacklight nicht kompatibel (https://www.trojaner-board.de/84278-16-versteckte-objekte-tr-inject-anzu-blacklight-kompatibel.html)

baby2003 30.03.2010 10:20
16 versteckte Objekte nach TR/Inject.anzu, blacklight nicht kompatibel
 
Hallo,

ich bin neu hier und auch alles andere als erfahren was PCs betrifft.

Mein Problem ist, dass mein Avira heute 16 versteckte Objekte gefunden hat.
Das Hijack Log war aber laut Hijack Auswertung ok.

Vor 2 Tagen hat mein Avira den Trojaner TR/Inject.anzu beim Brennen mit SVCD2DVD Demo angezeigt, aber weder in Quaratäne getan noch gelöscht. Der komplette Avira Scan hat ihn dann gemeldet, aber auch ignoriert.

Dann hab ihn manuell gelöscht, und alles was mit SVCD2DVD zutun hatte gelöscht und deinstalliert.
Daraufhin war das Hijack Log ok.

Gestern hab ich es dann nochmal gemacht und es zeigte mir eine schädliche Postbuild.exe an in den Temporären Files an, die konnte ich dann erst löschen, als ich im Taskmanager den Postbuild.exe Prozess beendet hatte.

Nachdem ich mich dann durch sämtliche Foren gegoogelt habe, bin ich darauf gestossen, dass Postbuild.exe oft ein Wurm ist, also habe ich mir dann Prevx, Maleworebytes Anti-Maleware, Panda, SuperAntiSpyware runtergeladen und alles mit Admin gescannt und es wurde nichts gefunden.

Heute habe ich dann das Avira wieder durchlaufen lassen und es zeigte mir versteckte Objekte an. Hab dann hier im Forum gelesen, dass Rootkit zur Verschleierung von Spuren dient und deshalb die ganzen Spyware-Programme nichts finden.
Es wurde dann auf Blacklight verwiesen, doch wenn ich das ausführen will, heisst es, dass es inkompatibel mit Windows 7 ist.

Ich wäre euch so dankbar, wenn ihr mir helfen könnten und sagen könntet, was da abgeht, ob ich noch um das komplett Neumachen meines PC rumkomme.

Hier das Avira Protokoll

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 30. März 2010 10:02

Es wird nach 1938789 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCHNUCKI-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 09:29:03
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 09:29:03
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 09:29:03
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 09:29:03
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 09:29:03
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 09:29:03
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 09:29:03
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 09:29:03
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 13:43:21
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 13:24:21
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 15:41:40
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 07:25:53
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 07:39:58
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 11:01:24
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 17:47:58
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 17:47:58
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 17:47:59
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 17:48:00
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 17:48:01
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 17:48:03
VBASE025.VDF : 7.10.5.235 2048 Bytes 26.03.2010 17:48:03
VBASE026.VDF : 7.10.5.236 2048 Bytes 26.03.2010 17:48:03
VBASE027.VDF : 7.10.5.237 2048 Bytes 26.03.2010 17:48:03
VBASE028.VDF : 7.10.5.238 2048 Bytes 26.03.2010 17:48:03
VBASE029.VDF : 7.10.5.239 2048 Bytes 26.03.2010 17:48:03
VBASE030.VDF : 7.10.5.240 2048 Bytes 26.03.2010 17:48:03
VBASE031.VDF : 7.10.5.248 107520 Bytes 29.03.2010 19:48:56
Engineversion : 8.2.1.204
AEVDF.DLL : 8.1.1.3 106868 Bytes 13.02.2010 10:16:21
AESCRIPT.DLL : 8.1.3.23 1278331 Bytes 28.03.2010 17:48:16
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 16:38:41
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 09:09:47
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 09:09:47
AEPACK.DLL : 8.2.1.1 426358 Bytes 28.03.2010 17:48:14
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 09:09:46
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 28.03.2010 17:48:12
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 09:09:46
AEGEN.DLL : 8.1.3.2 373108 Bytes 28.03.2010 17:48:06
AEEMU.DLL : 8.1.1.0 393587 Bytes 10.11.2009 07:04:22
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 09:09:45
AEBB.DLL : 8.1.0.3 53618 Bytes 10.09.2009 10:15:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 30. März 2010 10:02

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\windows defender\mpcmdrun.exe
c:\Program Files\Windows Defender\MpCmdRun.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\mozilla firefox\firefox.exe
c:\Program Files\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\users\schnucki\downloads\fsbl.exe
c:\Users\Schnucki\Downloads\fsbl.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\taskmgr.exe
c:\Windows\System32\taskmgr.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\consent.exe
c:\Windows\System32\consent.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\program files\avira\antivir desktop\update.exe
c:\Program Files\Avira\AntiVir Desktop\update.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\werfault.exe
c:\Windows\System32\WerFault.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\users\schnucki\appdata\local\temp\ssupdate.exe
c:\Users\Schnucki\AppData\Local\Temp\SSUPDATE.EXE
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpswp_clipbook.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '184' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '369' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Privat>
Beginne mit der Suche in 'E:\' <Download>


Ende des Suchlaufs: Dienstag, 30. März 2010 10:17
Benötigte Zeit: 14:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12113 Verzeichnisse wurden überprüft
105698 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
105698 Dateien ohne Befall
758 Archive wurden durchsucht
0 Warnungen
0 Hinweise
319791 Objekte wurden beim Rootkitscan durchsucht
13 Versteckte Objekte wurden gefunden

cosinus 30.03.2010 14:58
Hallo und :hallo:

Zitat:
Es wurde dann auf Blacklight verwiesen, doch wenn ich das ausführen will, heisst es, dass es inkompatibel mit Windows 7 ist.
Probier mal ein Log mit OSAM und poste es.

baby2003 30.03.2010 16:35
also erstmal vielen vielen dank, dass du mir hilfst...

also hier das OSAM

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:25:38 on 30.03.2010

OS: Windows 7 Ultimate Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Schnucki\AppData\Local\Temp\catchme.sys (File not found)
"pavboot" (pavboot) - "Panda Security, S.L." - C:\Windows\System32\drivers\pavboot.sys
"pxkbf" (pxkbf) - "Prevx" - C:\Windows\System32\drivers\pxkbf.sys
"pxrts" (pxrts) - "Prevx" - C:\Windows\System32\drivers\pxrts.sys
"pxscan" (pxscan) - "Prevx" - C:\Windows\System32\drivers\pxscan.sys
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
"SASENUM" (SASENUM) - " SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASENUM.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{555D4D79-4BD2-4094-A395-CFC534424A05} "HP Smart Web Printing" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Smart Web Printing ein- oder ausblenden" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? - (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Schnucki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"msnmsgr" - "Microsoft Corporation" - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
"SUPERAntiSpyware" - "SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"HP Software Update" - "Hewlett-Packard" - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"CSIScanner" (CSIScanner) - "Prevx" - C:\Program Files\Prevx\prevx.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll
"HP Network Devices Support" (HPSLPSVC) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\HPSLPSVC32.DLL
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll

[Winlogon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

===[ Logfile end ]=========================================[ Logfile end ]===

aber ich muss noch sagen, ich hoffe ich habe alles richtig gemacht, denn der Punkt 7 aus der OSAM Anleitung "Danach clicke wieder "Next" -> "Next" -> Next"." war nicht da, es war nur die Möglichkeit "Cancel" gegeben, das hab ich dann gemacht und dann hat sich das Fenster geschlossen und ich bin dann zum dem Fenster "save log" gekommen...

Sorry dass ich so planlos bin :o

baby2003 30.03.2010 16:50
.... das Combofix hatte ich gestern auch noch gemacht, weiß nicht, ob es in meinem Fall aussagekräftig ist, aber ich poste es einfach mal....

ComboFix 10-03-29.02 - Schnucki 30.03.2010 0:13.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.2047.1398 [GMT 2:00]
ausgeführt von:: c:\users\Schnucki\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2010-02-28 bis 2010-03-29 ))))))))))))))))))))))))))))))
.

2010-03-29 22:16 . 2010-03-29 22:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-29 21:08 . 2010-03-29 21:08 53088 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-03-29 21:08 . 2010-03-29 21:08 30280 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-03-29 21:08 . 2010-03-29 21:08 24368 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-03-29 16:46 . 2010-03-29 16:46 -------- d-----w- c:\program files\CCleaner
2010-03-29 06:19 . 2010-03-29 20:29 -------- d-----w- c:\users\Schnucki\AppData\Local\VirtualStore
2010-03-28 21:54 . 2010-03-28 21:54 -------- d-----w- c:\program files\Trend Micro
2010-03-28 20:04 . 2010-03-29 20:26 -------- d-----w- c:\users\Schnucki\AppData\Roaming\BitTorrent
2010-03-28 19:26 . 2010-03-28 19:26 -------- d-----w- c:\users\Schnucki\AppData\Roaming\Malwarebytes
2010-03-28 19:26 . 2010-03-29 22:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-28 19:26 . 2010-03-28 19:26 -------- d-----w- c:\programdata\Malwarebytes
2010-03-28 17:49 . 2010-03-28 17:49 -------- d-----w- c:\users\Schnucki\AppData\Roaming\Avira
2010-03-28 17:47 . 2010-03-28 17:47 -------- d-----w- c:\programdata\Avira
2010-03-28 17:47 . 2010-03-28 17:47 -------- d-----w- c:\program files\Avira
2010-03-28 17:47 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-03-28 17:47 . 2009-05-11 09:49 51992 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-03-28 17:47 . 2009-05-11 09:49 17016 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-03-28 16:22 . 2010-03-28 16:22 -------- d-----w- C:\$AVG
2010-03-28 15:56 . 2010-03-28 17:39 -------- d-----w- c:\programdata\avg9
2010-03-28 15:56 . 2010-03-28 15:56 -------- d-----w- c:\program files\AVG
2010-03-28 02:11 . 2010-03-28 02:11 -------- d-----w- c:\programdata\ACD Systems
2010-03-28 02:11 . 2010-03-28 02:11 -------- d-----w- c:\program files\ACD Systems
2010-03-27 12:29 . 2010-03-27 12:29 -------- d-----w- c:\program files\Foxit Software
2010-03-27 11:29 . 2010-03-27 11:29 -------- d-----w- c:\users\Schnucki\dwhelper
2010-03-26 23:02 . 2010-03-26 23:23 -------- d-----w- c:\program files\Common Files\Nero
2010-03-26 21:59 . 2010-03-26 21:59 -------- d-----w- c:\users\Schnucki\AppData\Local\Apple Computer
2010-03-26 21:54 . 2010-03-26 21:54 -------- d-----w- c:\users\Schnucki\AppData\Local\ACD Systems
2010-03-26 21:54 . 2010-03-26 21:54 -------- d-----w- c:\users\Schnucki\AppData\Roaming\ACD Systems
2010-03-26 21:53 . 2010-03-28 02:11 -------- d-----w- c:\program files\Common Files\ACD Systems
2010-03-26 21:25 . 2010-03-23 14:56 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-03-26 21:25 . 2010-03-26 21:26 -------- d-----w- c:\users\Schnucki\AppData\Roaming\FreeFLVConverter
2010-03-26 21:25 . 2010-03-26 21:25 -------- d-----w- c:\program files\Free FLV Converter
2010-03-26 21:25 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL
2010-03-26 21:25 . 2009-06-19 17:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2010-03-26 21:25 . 2009-06-19 17:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-03-26 21:25 . 2009-06-19 17:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-03-26 21:25 . 2009-06-19 17:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\program files\QuickTime
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\programdata\Apple Computer
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\program files\Common Files\Apple
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\users\Schnucki\AppData\Local\Apple
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\program files\Apple Software Update
2010-03-26 21:21 . 2010-03-26 21:21 -------- d-----w- c:\programdata\Apple
2010-03-26 21:07 . 2010-03-28 01:27 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2010-03-26 21:07 . 2010-03-28 01:27 -------- d-----w- c:\program files\DVDVideoSoft
2010-03-26 21:03 . 2010-03-26 21:03 -------- d-----w- c:\program files\FLV Player
2010-03-26 13:16 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-26 12:20 . 2010-03-26 12:27 -------- d-----w- c:\users\Schnucki\AppData\Roaming\ImgBurn
2010-03-26 12:19 . 2010-03-26 12:19 -------- d-----w- c:\program files\ImgBurn
2010-03-26 11:02 . 2010-03-26 11:02 -------- d-----w- c:\program files\BitTorrent
2010-03-26 10:51 . 2010-03-26 10:59 -------- d-----w- c:\program files\BitTorrent++
2010-03-13 16:58 . 2010-03-13 16:58 -------- d-----w- c:\program files\KELLOGG'S
2010-03-12 01:37 . 2010-03-12 01:37 -------- d-----w- c:\program files\MSXML 4.0
2010-03-11 21:53 . 2010-03-11 21:53 -------- d-----w- c:\programdata\WEBREG
2010-03-11 21:52 . 2010-03-11 21:52 -------- d-----w- c:\users\Schnucki\AppData\Local\HP
2010-03-11 21:52 . 2010-03-11 21:53 -------- d-----w- c:\users\Schnucki\AppData\Roaming\HP
2010-03-11 21:51 . 2009-04-20 11:23 315904 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpfpp70w.dll
2010-03-11 21:47 . 2010-03-11 21:47 -------- d-----w- c:\programdata\HP Product Assistant
2010-03-11 21:46 . 2010-03-11 21:46 -------- d-----w- c:\program files\Common Files\HP
2010-03-11 21:46 . 2010-03-11 21:46 -------- d-----w- c:\program files\Common Files\Hewlett-Packard
2010-03-11 21:45 . 2009-02-10 20:03 966656 ----a-w- c:\windows\system32\hpost_p03b.dll
2010-03-11 21:45 . 2009-02-10 20:03 712704 ----a-w- c:\windows\system32\hposwia_p03b.dll
2010-03-11 21:45 . 2009-02-10 20:03 315392 ----a-w- c:\windows\system32\hposc_p03a.dll
2010-03-11 21:45 . 2008-10-28 10:27 372736 ----a-w- c:\windows\system32\hppldcoi.dll
2010-03-11 21:44 . 2009-04-15 21:53 452408 ----a-w- c:\windows\system32\hpzids01.dll
2010-03-11 21:44 . 2009-04-20 11:23 123904 ----a-w- c:\windows\system32\hpf3l70w.dll
2010-03-11 21:42 . 2010-03-11 21:48 -------- d-----w- c:\program files\HP
2010-03-11 21:40 . 2010-03-11 21:53 227257 ----a-w- c:\windows\hpoins41.dat
2010-03-11 21:40 . 2010-03-11 21:52 -------- d-----w- c:\programdata\HP
2010-03-11 21:10 . 2010-03-11 21:10 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-11 21:04 . 2010-03-16 00:59 -------- d-----w- c:\users\Schnucki\AppData\Local\Adobe
2010-03-11 21:02 . 2010-03-11 21:02 -------- d-----w- c:\windows\system32\Macromed
2010-03-11 21:02 . 2010-03-11 21:02 -------- d-----w- c:\programdata\McAfee
2010-03-11 20:55 . 2010-03-29 22:10 -------- d-----w- c:\users\Schnucki\Tracing
2010-03-11 20:54 . 2010-03-11 20:54 -------- d-----w- c:\program files\Microsoft
2010-03-11 20:54 . 2010-03-11 20:54 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-03-11 20:53 . 2010-03-11 20:54 -------- d-----w- c:\program files\Windows Live
2010-03-11 20:53 . 2010-03-11 20:53 -------- d-----w- c:\windows\PCHEALTH
2010-03-11 20:47 . 2010-03-11 20:47 -------- d-----w- c:\program files\Common Files\Windows Live
2010-03-11 20:43 . 2010-03-11 20:43 -------- d-----w- c:\users\Schnucki\AppData\Local\Mozilla
2010-03-10 20:21 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-10 20:13 . 2010-03-28 19:12 -------- d-sh--w- c:\windows\Installer
2010-03-10 20:09 . 2010-02-02 07:45 2048 ----a-w- c:\windows\system32\tzres.dll
2010-03-10 20:09 . 2010-01-18 23:29 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-03-10 20:09 . 2010-01-18 23:29 85504 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-03-10 20:09 . 2010-01-18 23:29 365568 ----a-w- c:\windows\system32\secproc_isv.dll
2010-03-10 20:09 . 2010-01-18 23:29 369152 ----a-w- c:\windows\system32\secproc.dll
2010-03-10 20:09 . 2010-01-18 23:28 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-03-10 20:09 . 2010-01-18 23:28 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-03-10 20:09 . 2010-01-18 23:28 320512 ----a-w- c:\windows\system32\RMActivate.exe
2010-03-10 20:09 . 2010-01-18 23:28 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\users\Default\Vorlagen
2010-03-10 19:37 . 2010-03-10 19:47 -------- d-----w- C:\Boot
2010-03-10 17:35 . 2010-03-10 17:35 -------- d-----w- C:\d54e4018774665bdb0d2262c8a05
2010-03-10 17:20 . 2010-03-10 17:33 -------- d-----w- C:\Dokumente und Einstellungen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-29 22:15 . 2009-07-14 08:47 643628 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 22:15 . 2009-07-14 08:47 126188 ----a-w- c:\windows\system32\perfc007.dat
2010-03-11 21:49 . 2010-03-11 21:49 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Vorlagen
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Startmenü
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Favoriten
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Dokumente
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Desktop
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\programdata\Anwendungsdaten
2010-03-10 19:54 . 2010-03-10 19:54 -------- d-sh--we c:\program files\Gemeinsame Dateien
2010-02-24 09:16 . 2009-10-14 02:21 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-01-08 03:18 . 2010-03-10 20:10 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-01-08 03:17 . 2010-03-10 20:10 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-02-15 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - pxscan

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService REG_MULTI_SZ HPSLPSVC
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\users\Schnucki\AppData\Roaming\Mozilla\Firefox\Profiles\ew62x8l7.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSeymour.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\program files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.032\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.032"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.abr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.abr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.amr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.amr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ani\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ani"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.arw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.arw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bay\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.bay"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.bmp"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.bw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bwf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.bwf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cel\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.cel"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cr2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.cr2"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.crw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.crw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cs1\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.cs1"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cur\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.cur"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dcr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.dcr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dcx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.dcx"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dib\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.dib"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.djv\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.djv"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.djvu\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.djvu"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dng\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.dng"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.emf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.emf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eps\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.eps"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.erf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.erf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.fff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.fff"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.flc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.flc"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.fli\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.fli"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.fpx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.fpx"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.gif"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hdr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.hdr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.icl\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.icl"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.icn\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.icn"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.iff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.iff"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ilbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ilbm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.int\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.int"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.inta\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.inta"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.iw4\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.iw4"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.j2c\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.j2c"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.j2k\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.j2k"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jbr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jbr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jfif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jfif"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jif"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jp2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jp2"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpc"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpe\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpe"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpeg\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpeg"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpg"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpk\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpk"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.jpx"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.kar\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.kar"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.kdc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.kdc"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.lbm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m15\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.m15"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m1a\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.m1a"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m2a\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.m2a"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m75\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.m75"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.mef"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mos\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.mos"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpv\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.mpv"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mrw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.mrw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.nef"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.orf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.orf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pbm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pbr\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pbr"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pcd\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pcd"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pct\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pct"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pcx\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pcx"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pef\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pef"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pgm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pgm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pic\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pic"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pics\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pics"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pict\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pict"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pix\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pix"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.png"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ppm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ppm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.psd\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.psd"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.psp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.psp"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pspbrush\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pspbrush"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pspimage\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.pspimage"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.qcp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.qcp"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.qtpf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.qtpf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.raf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.raf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ras\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ras"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.raw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.raw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rgb\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.rgb"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rgba\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.rgba"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rle\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.rle"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rsb\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.rsb"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sdv\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.sdv"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sfil\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.sfil"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sgi\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.sgi"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.smf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.smf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.smi\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.smi"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.smil\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.smil"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.sml"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sr2\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.sr2"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.srf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.srf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.swa\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.swa"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tga\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.tga"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.thm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.thm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.tif"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tiff\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.tiff"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ttc\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ttc"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ttf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ttf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ulw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.ulw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v10o\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.v10o"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v10p\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.v10p"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.v10pf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.v10pf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vfw\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.vfw"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.wbm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wbmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.wbmp"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.wmf"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xbm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.xbm"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xif\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.xif"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xmp\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.xmp"

[HKEY_USERS\S-1-5-21-2491097391-693780216-592724604-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xpm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ACDSee 10.0.xpm"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-03-30 00:18:08
ComboFix-quarantined-files.txt 2010-03-29 22:18

Vor Suchlauf: 7 Verzeichnis(se), 29.179.547.648 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 29.119.639.552 Bytes frei

- - End Of File - - 86B0512BDBE3B7433544B2C1A9C8B501

cosinus 30.03.2010 17:38
Hm, Log sind ok. Die angeblich versteckten Objekte sehen eigentlich auch eher nach legitimen Dateien aus. Vllt ist das ein Bug von AntiVir, evtl. solltest Du da bei denen nochmal im Forum fragen :o

baby2003 30.03.2010 18:57
Hmmm wäre ja eigentl super :Boogie:

Kann das nur irgendwie gar nicht glauben, dass mein PC wirklich sauber sein soll... nachdem was ich jetzt in den letzten Tagen in den Foren alles gelesen habe :crazy:

Ok, dann werde ich in dem Avira Forum nochmal nachfragen.
Hab das Avira dann jetzt noch etliche Male durchlaufen lassen und und es kam immer eine andere Anzahl... von 3 bis jetzt 26.

Jetzt hätte ich noch eine Frage, für wie wahrscheinlich hälst du es denn, dass mein PC sauber bleibt bzw worauf sollte ich in nächster Zeit achten, denn diese Antimaleware-Programme müssen ja bei Rootkits nichts finden und diese Logs kann ich leider nicht selbst lesen?
Meine Fritzbox hatte nach dem Trojaner auch noch 6 UPnP zusätzliche Ports offen, die vorher nicht da waren und einer davon kommt nach dem Löschen immer.... ich frage nur so doof, weil ich von Trojanern gelesen habe, die Ports manipulieren und so weiter... diese Trojaner verfolgen mich schon im Schlaf :lach:

Ich danke dir auf jeden Fall schon mal....

lg
Janine

cosinus 30.03.2010 19:00
Ich kann nur sagen, dass Dein PC lt. den Logs sauber ist. Was die AntiVirmeldungen auf sich haben, werden die Kollegen von Avira besser beanworten können :o

baby2003 30.03.2010 21:32
Hi, jetzt bin ich nochmal da... :o

Habe mich jetzt in dem Avira-Forum umgesehen und habe folgenden Rat von der Avira GmbH gefunden:



Hallo,

unsere Empfehlung ist bei versteckten Objekten eine neuinstallation von Windows.
Freundliche Gruesse / Best regards
Avira GmbH




Von anderen Avira-Usern hat man oft gelesen, dass das Avira 10 wohl zu scharf sei und viele Dateien eben nicht für jeden sichtbar sind, aber ich scanne ja mit dem Admin...

Naja, jetzt nachdem ich deren Rat gelesen habe, weiß ich erst recht nicht mehr was Sache ist... :crazy:

V.a. sind es inzw. 40 versteckte Objekte und die eine, eine consent.exe ist jetzt noch häufiger aufgeführt...

Was meinst du, kann ich auf die Logs vertrauen, oder sollte ich auf Nr sicher gehen?

Ich poste jetzt nochmal den aktuellen Avira Report...

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 30. März 2010 22:01

Es wird nach 1945536 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCHNUCKI-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 09:29:03
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 09:29:03
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 09:29:03
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 09:29:03
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 09:29:03
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 09:29:03
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 09:29:03
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 09:29:03
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 13:43:21
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 13:24:21
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 15:41:40
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 07:25:53
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 07:39:58
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 11:01:24
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 17:47:58
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 17:47:58
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 17:47:59
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 17:48:00
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 17:48:01
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 17:48:03
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 15:00:30
VBASE026.VDF : 7.10.5.255 2048 Bytes 30.03.2010 15:00:30
VBASE027.VDF : 7.10.6.0 2048 Bytes 30.03.2010 15:00:30
VBASE028.VDF : 7.10.6.1 2048 Bytes 30.03.2010 15:00:31
VBASE029.VDF : 7.10.6.2 2048 Bytes 30.03.2010 15:00:31
VBASE030.VDF : 7.10.6.3 2048 Bytes 30.03.2010 15:00:31
VBASE031.VDF : 7.10.6.4 17408 Bytes 30.03.2010 15:00:31
Engineversion : 8.2.1.204
AEVDF.DLL : 8.1.1.3 106868 Bytes 13.02.2010 10:16:21
AESCRIPT.DLL : 8.1.3.23 1278331 Bytes 28.03.2010 17:48:16
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 16:38:41
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 09:09:47
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 09:09:47
AEPACK.DLL : 8.2.1.1 426358 Bytes 28.03.2010 17:48:14
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 09:09:46
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 28.03.2010 17:48:12
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 09:09:46
AEGEN.DLL : 8.1.3.2 373108 Bytes 28.03.2010 17:48:06
AEEMU.DLL : 8.1.1.0 393587 Bytes 10.11.2009 07:04:22
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 09:09:45
AEBB.DLL : 8.1.0.3 53618 Bytes 10.09.2009 10:15:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 30. März 2010 22:01

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\consent.exe
c:\Windows\System32\consent.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\windows\system32\consent.exe
c:\program files\windows media player\wmplayer.exe
c:\Program Files\Windows Media Player\wmplayer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\windows media player\wmplayer.exe
c:\program files\windows media player\wmplayer.exe
c:\windows\system32\vssvc.exe
c:\Windows\System32\VSSVC.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\vssvc.exe
c:\program files\avira\antivir desktop\update.exe
c:\Program Files\Avira\AntiVir Desktop\update.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\explorer.exe
c:\Windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\mozilla firefox\firefox.exe
c:\Program Files\Mozilla Firefox\firefox.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\imgburn\imgburn.exe
c:\Program Files\ImgBurn\ImgBurn.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\wermgr.exe
c:\Windows\System32\wermgr.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\windows defender\mpcmdrun.exe
c:\Program Files\Windows Defender\MpCmdRun.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\windows defender\mpcmdrun.exe
c:\users\schnucki\appdata\local\temp\ssupdate.exe
c:\Users\Schnucki\AppData\Local\Temp
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\mstsc.exe
c:\Windows\System32\mstsc.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\dllhost.exe
c:\Windows\System32\dllhost.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files\avira\antivir desktop\avconfig.exe
c:\Program Files\Avira\AntiVir Desktop\avconfig.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'bittorrent.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '210' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1011' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Privat>
Beginne mit der Suche in 'E:\' <Download>


Ende des Suchlaufs: Dienstag, 30. März 2010 22:15
Benötigte Zeit: 14:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12121 Verzeichnisse wurden überprüft
105940 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
105940 Dateien ohne Befall
761 Archive wurden durchsucht
0 Warnungen
0 Hinweise
320311 Objekte wurden beim Rootkitscan durchsucht
40 Versteckte Objekte wurden gefunden

cosinus 30.03.2010 21:34
Zitat:
unsere Empfehlung ist bei versteckten Objekten eine Neuinstallation von Windows.
So pauschal macht die Aussage imho keinen Sinn. Hast Du da nachgefragt? V.a. weil das offensichtlich legitime Systemdateien sind.

baby2003 30.03.2010 22:08
Also ich selbst hab gar nichts gepostet, weil es ja eigentl immer heißt, man solle erst alle Themen abklappern, bevor man selbst ein Thema aufmacht, und es waren schon etliche mit genau meinem Problem da.

Aber ich muss zu meiner Schande gestehen, ich habe jetzt gerade noch einen Beitrag von Avira gefunden, von heute, dass offensichtl ein Softwareproblem besteht... bin mir zwar nicht sicher, ob das auf mein Problem auch zutrifft, weil es dort heisst, es wird nach dem Scan auf eine Repair-CD verwiesen, was bei mir nicht der Fall war, aber ich warte jetzt einfach mal guter Hoffnung ab...

Danke, dass du dir Zeit genommen hast... ich hoffe, dass es damit getan ist und ich dich nicht weiter terrorisieren muss :lach:

dankeschoen:

cosinus 06.04.2010 19:02
Mach noch mal bitte ein Log mit GMER und poste es, evtl. könnte doch mehr dahinterstecken.

baby2003 07.04.2010 03:23
Hallo, ok hier der GMER...

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-07 04:47:26
Windows 6.1.7600
Running: dfo4s5m5.exe; Driver: C:\Users\Schnucki\AppData\Local\Temp\pwdirkog.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282EAF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282E104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282E3F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 828172D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82816898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282E1DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282E958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282E6F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282EF2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8282F1A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 8288E5C9 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 828B3052 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text peauth.sys 9940CC9D 28 Bytes [4F, 93, 07, 10, 2B, 54, 46, ...]
.text peauth.sys 9940CCC1 28 Bytes [4F, 93, 07, 10, 2B, 54, 46, ...]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [743B2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74395624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743956E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [743B250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [743A8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [743A4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743A50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743A51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [743A66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [743A82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [743A8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [743A907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [743AE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1936] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [743A4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [743B2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74395624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743956E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [743B250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [743A8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [743A4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743A50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743A51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [743A66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [743A82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [743A8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [743A907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [743AE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2188] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [743A4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[3204] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

es steht eigentl nichts von Rootkit da....

aber ist es eigentl normal, dass der Balken in dem Logfeld während des Scans nach oben rutscht und der "Stop" - Button bei allen Scans an der gleichen Stelle irgendwie kurz hell wird, und es dann kurz stoppt? Wahrscheinlich sehe ich vor lauter Trojaner-Paranoia schon irgendwelche Sachen, aber ich wollte es mal erwähnen... :balla:

cosinus 07.04.2010 08:10
Dann probier nochmal RootRepeal:
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
Code:
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

baby2003 07.04.2010 17:55
hey,

ich habe das Problem, wenn ich RootRepeal ausführen möchte erscheint folgender error:

18:52:24: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)
18:52:24: DeviceIoControl Error! Error Code = 0x1e7
18:52:24: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000dc)

was soll ich jetzt tun?

cosinus 07.04.2010 18:46
Dann probieren wir es mal so:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/consent.exe um in consent.bad
7. Starte den Rechner neu und boote Windows
8. Die in Linux umbenannte Datei (consent.bad in system32) bei Virustotal.com auswerten lassen und Ergebnislink posten

baby2003 07.04.2010 19:19
Oh mein Gott!!! :o

Um ehrlich zu sein, bin ich gerade voll überfordert. Ich habe von PCs null Ahnung...

Ich muss jetzt Schritt für Schritt mehr als doof fragen...

Zu deinem Punkt 2: Also Imgburn hab ich, hab auch schon Image-CDs gemacht bzw von Image auf CD gebrannt, aber was meinst du mit "Imagebrennfunktion auf CD" und mit "per Imagebrennfunktion unter Windows" ?

Zu deinem Punkt 3: Was meinst du mit "Boote von der gebrannten CD, im Bootmenü von Option 1 starten" ?

Zu 5: was bedeutet "Mounte" und "Partition" ?

Ich bin eine Frau :(

cosinus 07.04.2010 19:26
Zitat:
Also Imgburn hab ich, hab auch schon Image-CDs gemacht bzw von Image auf CD gebrannt, aber was meinst du mit "Imagebrennfunktion auf CD" und mit "per Imagebrennfunktion unter Windows" ?
Du brennst einfach das Image von partedmagic (die ISO-Datei) auf CD mit IMgBurn. Der Download ist eine ZIP-Datei, muss also vorher entpackt werden!

Zitat:
Was meinst du mit "Boote von der gebrannten CD, im Bootmenü von Option 1 starten" ?
Von CD booten bedeutet, dass der Rechner das Betriebssystem nicht von der Festplatte, sondern von der (soeben gebrannten) CD startet! Dazu musst Du sicherstellen, dass in der Bootreigenfolge das CDROM vor der Festplatte steht. => Beschreibung Bootrreihenfolge ändern - meist kann man auch mit F11 ins Bootmenü und kann dann wählen, ob man von Festplatte, CD oder Diskette (sofern vorhanden) starten will.

Zitat:
Zu 5: was bedeutet "Mounte" und "Partition" ?
Das siehst Du wenn es soweit ist, das ist in PartedMagic eigentlich selbsterklärend.

baby2003 07.04.2010 19:47
Uhh, Punkt 2 und 3 hätte ich sogar richtig geraten :uglyhammer:

Ok danke erstmal, werde mich dann mal an das Disaster ranwagen... kann ein bisschen dauern... :taenzer:

cosinus 07.04.2010 20:10
Kein Problem, lass Dir Zeit. Es geht halt eben um die consent.exe, ich will wissen ob die darüber zu sehen ist (in PartedMagic kann nicht rootkitartiges diese datei verstecken) und wenn ja, was Virustotal zu ihr sagt.

baby2003 07.04.2010 22:08
Sooo, also dank deiner detaillierten Anweisung hat es sogar ohne Disaster funktioniert. :Boogie:
Hoffe, dass ich es jetzt auch noch richtig gemacht habe...

File size: 101968 bytes
MD5...: fd97eb722401938ad9c3e4bfab1519a4
SHA1..: 8616febc20ce5905f38690302156428ef9c2cdb8
SHA256: 33bfaa84e7543c9504b16113e0e0b16faf3f117fc92fe4017f682e8e7d13b4fd
ssdeep: 768:YEau+nTNe8/BQK9A/obyD8qcJzuGqy1Z832H86OdFero6ZU9QZU97wYgZHix
3udL:YbEhKq/StqyzuGP8mHVqFqzkwAqt
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3d59
timedatestamp.....: 0x4a5bc46e (Mon Jul 13 23:34:06 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9680 0x9800 6.41 4b5d4a108da95a34cb562ed60ae09ff4
.data 0xb000 0x470 0x400 0.77 dfad5497e29cf627635b2542381f5e89
consent 0xc000 0x62 0x200 0.83 5c9c5958b8bd46bd065dce7bc8f939ec
.rsrc 0xd000 0xc5e8 0xc600 4.41 1d060f5d4bdd6f4851d04d1244afda52
.reloc 0x1a000 0x950 0xa00 6.55 b6336316c888abed51705ee2f656352f

( 16 imports )
> ADVAPI32.dll: GetTokenInformation, RevertToSelf, ImpersonateLoggedOnUser, RegGetValueW, MakeAbsoluteSD, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSidSubAuthority, InitializeSid, GetSidLengthRequired
> KERNEL32.dll: GetCurrentProcessId, ReleaseMutex, Sleep, LoadLibraryW, SetEvent, GetTickCount, GetExitCodeThread, WaitForMultipleObjects, ResumeThread, CreateEventW, GlobalFree, GetCurrentThreadId, CreateFileW, GetCurrentProcess, HeapSetInformation, UnmapViewOfFile, VirtualQuery, MapViewOfFile, CreateFileMappingW, DelayLoadFailureHook, GetProcAddress, InterlockedCompareExchange, LoadLibraryExA, GetLocaleInfoW, GetDriveTypeW, LoadLibraryExW, FreeLibrary, GetUserPreferredUILanguages, SetThreadPreferredUILanguages, GetModuleHandleW, WaitForSingleObject, CreateThread, GetCommandLineW, CloseHandle, FindResourceExW, LoadResource, LockResource, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedExchange, GetLastError, LocalAlloc, LocalFree, SetPriorityClass
> GDI32.dll: SetDCBrushColor, GetStockObject, CreateCompatibleDC, CreateDIBSection, SelectObject, DeleteObject, DeleteDC, GetLayout, BitBlt, CreateCompatibleBitmap
> USER32.dll: GetForegroundWindow, FlashWindowEx, SetPropW, DestroyWindow, PostMessageW, UnregisterClassW, DispatchMessageW, TranslateMessage, GetMessageW, GetDesktopWindow, CreateWindowExW, RegisterClassW, LoadCursorW, GetWindowRect, SendMessageW, GetParent, GetDC, FillRect, SetThreadDesktop, GetAncestor, GetPropW, ShowWindow, DefWindowProcW, BeginPaint, GetWindowDC, ReleaseDC, EndPaint, PostQuitMessage, GetWindowLongW, SetWindowLongW, GetThreadDesktop, OpenInputDesktop, CloseDesktop, GetUserObjectInformationW, LoadIconW, DestroyIcon, GetSystemMetrics, LoadStringW, OpenDesktopW
> msvcrt.dll: _initterm, _acmdln, exit, _ismbblead, _XcptFilter, _exit, _cexit, _wtol, __p__fmode, wcschr, wcsrchr, _amsg_exit, _wcsicmp, _wtoi, _errno, _vsnwprintf, memcpy, __set_app_type, _controlfp, __setusermatherr, swscanf_s, __p__commode, __getmainargs, _terminate@@YAXXZ, memset, _except_handler4_common
> ntdll.dll: EtwSendNotification, EtwTraceMessage, RtlSubAuthoritySid, RtlNtStatusToDosError, NtQueryInformationToken, RtlNtStatusToDosErrorNoTeb, NtDuplicateToken, RtlEqualSid, WinSqmAddToStreamEx, RtlImageNtHeaderEx, EtwEventRegister, NtOpenProcess, EtwEventUnregister, NtQueryVolumeInformationFile, NtWriteVirtualMemory, RtlAllocateHeap, NtReadVirtualMemory, NtDuplicateObject, RtlFreeHeap, RtlLengthRequiredSid, EtwUnregisterTraceGuids, EtwRegisterTraceGuidsW, EtwGetTraceLoggerHandle, EtwGetTraceEnableLevel, EtwGetTraceEnableFlags, EtwEventWrite, RtlInitializeSid, RtlAdjustPrivilege, NtClose, RtlInitString, NtAllocateLocallyUniqueId
> ole32.dll: CoTaskMemAlloc, CoCreateInstance, StringFromGUID2, CoInitializeEx, CoUninitialize, CoInitializeSecurity, CoTaskMemFree
> MSIMG32.dll: AlphaBlend
> WMsgAPI.dll: WmsgSendMessage
> WTSAPI32.dll: WTSFreeMemory, WTSQuerySessionInformationW
> WINMM.dll: PlaySoundW
> USERENV.dll: LoadUserProfileW, UnloadUserProfile
> WINSTA.dll: WinStationQueryInformationW
> CRYPT32.dll: CertFreeCertificateContext
> MsCtfMonitor.DLL: UninitLocalMsCtfMonitor, InitLocalMsCtfMonitor
> COMCTL32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

cosinus 07.04.2010 22:35
Bitte den ErgebnisLINK posten!

baby2003 07.04.2010 22:55
Hey sorry, ich mach jetzt hier ewig rum mit diesem Ergebnislink... :crazy:

Was zum Teufel bzw wo zum Teufel finde ich denn da auf VirusTotal jetzt einen Ergebnislink? :uglyhammer:

Sorry...

cosinus 07.04.2010 23:00
Du kopierst einfach das aus der Adresszeile im Browser wenn die Ergebnisse in Virustotal angezeigt werden! zB sowas hier

https://www.virustotal.com/de/analis...2db-1270649726

baby2003 07.04.2010 23:20
Ok, das hatte ich schon, nur mein Problem war, dass es in der Vorschau nicht als Link zu sehen ist...

ich poste es jetzt einfach mal... mann o mann, danke für deine wahnsinns Geduld :o

hxxp://www.virustotal.com/de/analisis/33bfaa84e7543c9504b16113e0e0b16faf3f117fc92fe4017f682e8e7d13b4fd-1270678314

cosinus 08.04.2010 08:08
Hm keine Funde in der consent-Datei :dummguck:
Lass die aber trotzdem mal umbenannt da rumliegen und lad sie bitte auch bei uns mal hoch => http://www.trojaner-board.de/54791-a...ner-board.html
consent.exe sollte jedenfalls nicht mehr als versteckter Prozess auftreten. Versteckte Prozesse erwecken immer den Verdacht, was Böses im Schilde zu führen, legitime Programme müssen sich ncht verstecken, jedenfalls fällt mir kein vernünftiger Grund ein :balla:

baby2003 08.04.2010 23:29
Hallo Arne,

ja krass, dass die Datei ok ist. Hatte mir das Ergebnis durchgelesen und den totalen Schock bekommen, weil ich darin voll die Befehle gelesen habe... :uglyhammer:

Wahnsinns Respekt vor eurem Wissen und dass ihr dieses ganze PC-Zeugs blickt... :applaus:

Vielen vielen Dank nochmal!

LG
Janine

cosinus 09.04.2010 09:08
Zitat:
weil ich darin voll die Befehle gelesen habe...
Meinst Du bei Virustotal? :confused:

baby2003 09.04.2010 16:56
:o


> ADVAPI32.dll: GetTokenInformation, RevertToSelf, ImpersonateLoggedOnUser, RegGetValueW, MakeAbsoluteSD, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSidSubAuthority, InitializeSid, GetSidLengthRequired
> KERNEL32.dll: GetCurrentProcessId, ReleaseMutex, Sleep, LoadLibraryW, SetEvent, GetTickCount, GetExitCodeThread, WaitForMultipleObjects, ResumeThread, CreateEventW, GlobalFree, GetCurrentThreadId, CreateFileW, GetCurrentProcess, HeapSetInformation, UnmapViewOfFile, VirtualQuery, MapViewOfFile, CreateFileMappingW, DelayLoadFailureHook, GetProcAddress, InterlockedCompareExchange, LoadLibraryExA, GetLocaleInfoW, GetDriveTypeW, LoadLibraryExW, FreeLibrary, GetUserPreferredUILanguages, SetThreadPreferredUILanguages, GetModuleHandleW, WaitForSingleObject, CreateThread, GetCommandLineW, CloseHandle, FindResourceExW, LoadResource, LockResource, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedExchange, GetLastError, LocalAlloc, LocalFree, SetPriorityClass
> GDI32.dll: SetDCBrushColor, GetStockObject, CreateCompatibleDC, CreateDIBSection, SelectObject, DeleteObject, DeleteDC, GetLayout, BitBlt, CreateCompatibleBitmap
> USER32.dll: GetForegroundWindow, FlashWindowEx, SetPropW, DestroyWindow, PostMessageW, UnregisterClassW, DispatchMessageW, TranslateMessage, GetMessageW, GetDesktopWindow, CreateWindowExW, RegisterClassW, LoadCursorW, GetWindowRect, SendMessageW, GetParent, GetDC, FillRect, SetThreadDesktop, GetAncestor, GetPropW, ShowWindow, DefWindowProcW, BeginPaint, GetWindowDC, ReleaseDC, EndPaint, PostQuitMessage, GetWindowLongW, SetWindowLongW, GetThreadDesktop, OpenInputDesktop, CloseDesktop, GetUserObjectInformationW, LoadIconW, DestroyIcon, GetSystemMetrics, LoadStringW, OpenDesktopW


Wenn man als null-Plan-habender sowas liest, kriegt man voll den Schock

:uglyhammer:

cosinus 09.04.2010 18:36
Vergiss das, das ist für Dich nicht interessant. Da sind "nur" die Prozeduren, die die ausgewertete ausführbare Datei verwendet.

baby2003 11.04.2010 16:22
:heulen:

Hallo, ich bin es nochmal.

Ich habe gerade ein Problem festgestellt, und wenn es ein ganz anderes Problem ist und hier nicht hingehört, entschuldige ich mich jetzt schon mal.
Ich bin nur nach wie vor sehr verunsichert.

Also ich wollte mir von Sony das PC Suite von der CD auf den PC installieren, und wenn ich dann auf Installieren klicke, macht er gar nichts.

Dann bin ich auf die Homepage von Sony und wollte es mir da runterladen, das ging dann zwar, aber wenn ich es ausführen möchte, heisst es

"C:\Users\Schnucki\Downloads\Sony_Ericsson_PC_Suite_6.011.00_Web_DEU.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.

Ist da noch irgendwas auf meinem PC, oder habe ich mit meinen planlosen Säuberungsarbeiten auf eigene Faust vielleicht zu viel gelöscht??? :headbang:

baby2003 11.04.2010 18:15
Oh je, ich kann gar keine .exe mehr aufmachen.

Hab gerade versucht Malewarebytes und SuperAntispyware auszuführen und bei beiden kam auch diese Meldung...

:killpc:

baby2003 11.04.2010 18:45
Ich hab jetzt gegoogelt und habe was gelesen, dass ich beim Cleanen in der Registry was gelöscht haben könnte und bin auf das hier gestossen

hxxp://freenet-homepage.de/drnope/xp_exe_fix.reg

das konnte ich aber nicht auf der Festplatte speichern, weil ich keine Berechtigung habe. Aber ich bin doch, so steht es zumindest da, als Admin gerade drin. Dann wollte ich in der Systemsteuerung in die Benutzerkonten gehen und das ging nicht, der PC tut einfach gar nichts wenn ich auf Benutzerkonten ändern klicke....

cosinus 12.04.2010 08:40
Wohin willst Du das speichern? Direkt auf C:? Geht speichern auf Desktop?

baby2003 12.04.2010 14:26
Also,
dieses Registry-Zeugs sollte ich in den Editor schreiben, dann auf der Festplatte speichern um eventuelle Schäden in der Registry zu beheben.

Unter C:\Benutzer wäre es schon gegegangen (Desktop auch), aber in der Anleitung stand irgendwas von C:\Windows... da hiess es immer "Zugriffssteuerungseditor kann nicht geöffnet werden, die Datei kann nicht gefunden werden".

Dann hab ich gestern noch nach dem gegoogelt und die Sache mit dem TrustedInstaller und Win 7 gelesen.
Da wurde einem dann geraten, den Besitz erst auf sich umzustellen und dann die Rechte, aber ich konnte als Admin den Besitz nicht ändern, die speziellen Berechtigungen sind beim Admin nicht zugelassen. Da kommt dieses Zugriffssteuerungszeug auch immer.

Selbst Hijackthis oder jedes andere Programm, das ich vom Desktop aus mit der rechten Maustaste als Admin ausführen will geht nicht mehr, da kommt immer diese Meldung. Und da bin ich dann auch mal in den Besitz rein und ich hab als Admin den Besitz, und auch Vollzugriff, aber kann an den Einstellungen nichts ändern.

Ich kann auf einmal gar nichts mehr machen, und selbst rumgedoktert habe ich nur bevor ich bei euch Hilfe gefunden habe, und da konnte ich ja noch alles als Admin ausführen....

Ich flipp noch aus mit diesem PC... erst einen Virus gehabt, dann den PC neu machen lassen, dann gleich wieder nen Trojaner eingefangen und jetzt das... :balla:

cosinus 12.04.2010 15:08
Die xp_exe_fix.reg kann auch aufm Desktop liegen, von wo Du die ausführst sollte egal sein.

baby2003 12.04.2010 16:07
Ok das ging zwar, nur leider kann ich die auch nicht ausführen :koch:.
Weder mit Doppelklick noch mit rechter Maus und "Zusammenführen". Wieder die gleiche Meldung.

Ich kann nichts mehr verändern an meinem eigenen PC oder ihn durchchecken, darf ihn nur gerade mal noch benutzen...

Ich hatte mir eigentl vorgenommen, auf keinen Fall aufzugeben und nicht diesen Trojaner-Fatzken gewinnen zu lassen, aber so langsam glaube ich, ich habe den Kampf verloren... oder?

:uglyhammer:

cosinus 12.04.2010 16:21
Irgendwas wurde da zerschossen. Aber das erst nach der Bereinigung. Was hast Du nur gemacht? :D
Hast Du manuell in der Registry rumgefummelt?

baby2003 12.04.2010 17:33
ich hab so wenig Plan, dass ich nicht mal weiß, was bzw wie ich manuell in der Registry rumfummeln könnte :uglyhammer:

Ja, ich hab in den letzten Wochen sehr sehr viel rumgefummelt an meinem armen PC :taenzer:

Nachdem das mit dem Trojaner weg war, hab ich versucht mir das JAP zu installieren, aber dann wieder weg, weil mein Internet so langsam war, dann noch ein bisschen an den Ports rumgemacht...

Naja, aber ansonsten eigentlich nichts. Das mit der Registry, also den Registry Cleaner, hab ich ganz am Anfang mal gemacht, weil es hiess ich solle das im Zusammenhang mit dem Trojaner machen.
Aber seitdem hab ich daran nix mehr gemacht.
Und seit ner Woche bestimmt hab ich auch so nix mehr rumexperimentiert, weil ich es ja eh nicht raffe :uglyhammer:

Und bis gestern abend ging ja auch noch alles, und jetzt gar nix mehr...

Aber gute Frage, was hab ich da nur gemacht....:twak:

Hinterhältigen Trojaner schliesst du also aus?

cosinus 12.04.2010 18:03
Naja, wir waren mit dem Bereinigen fertig und ich hab Dir auch keine weiteren Aufgaben gegeben :rolleyes: deswegen glaub ich schon, dass Du da irgendwas gemacht haben musst :D

baby2003 12.04.2010 20:14
also ich bin jetzt echt meine ganze Chronik durchgegangen, ich hab seit dem Gmer schon nichts PC-mässiges auf eigene Faust gemacht.

Entw. hab ich davor schon was geschrottet, als ich den Trojaner und diese Postbuild.exe SEHR grossflächig gelöscht habe, ohne zu wissen was ich da noch alles mitlösche, wobei da ja noch alles ging, oder keine Ahnung, ob man bei einer Proxy Istallation irgendwas in der Registry zerstören kann, ich weiß ja nicht mal, was die Registry eigentlich ist... :uglyhammer:

Naja, würdet ihr nicht täglich so überschwemmt werden mit neuen Trojaner-Problemen, würde ich dich ja fragen, was ich jetzt tun soll... aber ich will deine Nerven ja nicht noch mehr strapazieren.

Ich sehe es nur schon kommen, dass wenn ich den PC neu mache, ich spätestens in ner Woche wieder mit nem neuen Trojaner im Gepäck "hallo" sagen werde :o

Naja auf jeden Fall grosses :dankeschoen:

cosinus 12.04.2010 20:32
Wenn das mit dem EXE-Fix nicht klappt, hat man schlechte Karten. Bleibt nur noch komplette Neuinstallation oder erstmal eine Reparaturinstallation...

baby2003 06.05.2010 15:38
Hallo Arne...

ich bin mal wieder da...

jetzt hab ich mir tatsächlich über MSN einen Virus mit dem Agent-Trojanern oder einen Trojaner Agent mit Viren eingefangen... :headbang:

hab das Zeugs aber nach etlichen Stunden mit Avira und SuperAntiSpyware (dem einzigen, was ich mit meinem geschrotteten PC noch ausführen kann) wegbekommen... und wenn doch nicht restlos, ist auch egal, muss mich sowieso irgendwann mal trauen, ihn neu zu machen...

lange Rede kurzer Sinn, ich wollte dich eigentl nur mal fragen, wie zum Teufel es sein kann, dass dieser scheiß Trojaner Agent haufen .exe Dateien speichern und ausführen kann, wenn das aber eigentl mit meinem geschrotteten PC nicht mehr machbar ist???

Viele Grüße
Janine


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131