Zitat:

Zitat von Cleriker

Du hast nicht nur Adware sitzen sondern auch diesen
hier -> W32/Rohbot-A

Sicher? Auch wenn der Speicherort ungewöhnlich ist, auf die Spyware-Meldungen von escan sind kein Verlass. Vgl. dazu die "tagged files"-Einträge, wo pslist/pskill lediglich als riskware eingestuft werden. Bevor also das Neuaufsetzen in Angriff genommen wird, schlage ich eine Gegenprobe der Dateien bei virustotal vor.

@raven76: Hast du mit sysinternals-tools gearbeitet oder ne Ahnung, wie die Dateien in den system32-Ordner kommen? Schräg ist das ganze schon.

Grüße

Zitat:

Vgl. dazu die "tagged files"-Einträge, wo pslist/pskill lediglich als riskware eingestuft werden.

Du magst Recht haben @ ordell. Aber die weniger gefährlichen
Anzeichen des möglichen Schädlings sind sichtbar.

Zitat:

<Windows system folder>\pskill.exe - a potentially unwanted application, detected as PsKill
<Windows system folder>\pslist.exe - a clean utility to list process information

Eine Gegenprobe wäre auf jeden Fall angebracht
* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\pslist.exe

9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Danke Ordell für den Zwischenwurf, die Möglichkeit
habe ich gar nicht in Betracht gezogen.

mfg Cleriker

Googlen hat ergeben, dass der Speicherort für pstools in c:\windows\system32 keinesfalls ungewöhnlich ist, sogar der Meister selbst speichert dort:


Mark's Blog

Vorteil: Die tools sind pfadunabhängig über die Kommadozeile zu erreichen, ist also äußerst praktikabel, gerade für die Fernwartung. Mit den tools läßt sich aber auch ne Menge Budenzauber auf der Kiste veranstalten, weshalb es gut wäre, wenn raven76 die Dateien zuordnen kann. Grüße

@ ordell1234
ich habe dafür viel zu wenig ahnung, um mit solchen sachen zu arbeiten. keine ahnung wie das darein gekommen ist .

pskill.exe

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 11/32 (34.38%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2007.11.13.1	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	-
Authentium	4.93.8	2007.11.13	-
Avast	4.7.1074.0	2007.11.12	-
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	-
CAT-QuickHeal	9.00	2007.11.12	-
ClamAV	0.91.2	2007.11.13	PUA.Tool.PsKill-1
DrWeb	4.44.0.09170	2007.11.13	-
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5291	2007.11.13	-
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	High threat detected
Fortinet	3.11.0.0	2007.10.19	HackerTool/PSKill
F-Prot	4.4.2.54	2007.11.13	W32/HackTool.CNO
F-Secure	6.70.13030.0	2007.11.13	-
Ikarus	T3.1.1.12	2007.11.13	not-a-virus:RiskTool.Win32.PsKill.e
Kaspersky	7.0.0.125	2007.11.13	not-a-virus:RiskTool.Win32.PsKill.e
McAfee	5161	2007.11.12	potentially unwanted program RemAdm-PSKill
Microsoft	1.3007	2007.11.12	-
NOD32v2	2655	2007.11.13	-
Norman	5.80.02	2007.11.13	-
Panda	9.0.0.4	2007.11.13	Application/Pskill.E
Prevx1	V2	2007.11.13	-
Rising	20.18.11.00	2007.11.13	-
Sophos	4.23.0	2007.11.13	PsKill
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	-
TheHacker	6.2.9.124	2007.11.13	Aplicacion/RemoteAdmin.Pskill
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.12	-
Webwasher-Gateway	6.0.1	2007.11.13	Riskware.PsKill.E
weitere Informationen
File size: 94208 bytes
MD5: 2e8a63a935822684bc3538a61749d9d2
SHA1: f76afcfba1f52fb8eb3e9c217d4a073117ee110a
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=2e8a63a935822684bc3538a61749d9d2
         

pslist.exe

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 0/32 (0%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2007.11.13.1	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	-
Authentium	4.93.8	2007.11.13	-
Avast	4.7.1074.0	2007.11.12	-
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	-
CAT-QuickHeal	9.00	2007.11.12	-
ClamAV	0.91.2	2007.11.13	-
DrWeb	4.44.0.09170	2007.11.13	-
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5291	2007.11.13	-
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.13	-
F-Secure	6.70.13030.0	2007.11.13	-
Ikarus	T3.1.1.12	2007.11.13	-
Kaspersky	7.0.0.125	2007.11.13	-
McAfee	5161	2007.11.12	-
Microsoft	1.3007	2007.11.12	-
NOD32v2	2655	2007.11.13	-
Norman	5.80.02	2007.11.13	-
Panda	9.0.0.4	2007.11.13	-
Prevx1	V2	2007.11.13	-
Rising	20.18.11.00	2007.11.13	-
Sophos	4.23.0	2007.11.13	-
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	-
TheHacker	6.2.9.124	2007.11.13	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.12	-
Webwasher-Gateway	6.0.1	2007.11.13	-
weitere Informationen
File size: 86016 bytes
MD5: 1fd684490fc5994c1f6615f70f9fb1f8
SHA1: b0746af5a6d56417894bd300008138d9f122e0ab
         

na toll,

es sind die vermuteten Dateien, aber
schlauer bin ich dadurch nicht. Diese
können manuell sowohl auch vom rohbot
angelegt worden sein. Ich würde
eine Filelist vorschlagen. Vielleicht kann
man ersehen, wie sie erstellt wurden:

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

F-Secure - Rootkitscanner
- lade dir hier f-secure herunter
- speichere es auf dem Desktop und führe fsbl.exe
- akzeptiere die Vereinbarung und klicke anschließend auf "Scan"
- poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag
(wird im selben Ordner erstellt)

Wenn die Ergebnisse negativ sind, plädiere ich auf eine
Bereinigung der Adware. Falls sich die Vermutung jedoch
bestätigt, heißt es Neuaufsetzen.

mfg Cleriker

Hm, die HASH-Werte stimmen, allerdings für die ältere Version pskill v1.04, aktuell ist seit Dez. 2006 pskill v1.12. Dementsprechend wird das Erstelldatum auf noch früher datieren, unabhängig vom Zeitpunkt des Kopierens auf die Platte. Filelist wird vermutlich nix finden.

Dummerweise nutzt rohbot anscheinend genau diese tools, weshalb ihre weitere Untersuchung wohl nicht viel weiter führt. Ironischerweise sind sie am Ende noch von sysinternals signiert.

@raven76: Da du nicht weißt, wie die Dateien auf dein System kommen (auch keine resource kit-tools, Powertoys von M$ oder Ähnliches benutzt? ) bleibt ein hohes Restrisiko im Fall einer Bereinigung. Sicherer wäre auf jeden Fall das Neuaufsetzen, wie schon von cleriker angedacht (und ich würde nicht zögern bei risktools, deren Herkunft ich nicht kenne), letztlich bleibt es aber deine Entscheidung.

Grüße

edit: Liste mal deine Autostarteinträge auf:

1. Lade dir Autoruns. Entpacke autorunsc.exe nach c:\.
2. Kopiere folgenden Text und speichere ihn als autoruns.bat ab.

Code: Alles auswählenAufklappen

ATTFilter

echo off
cd %systemdrive%
cd\
reg add HKCU\Software\Sysinternals\autoruns /f /v EulaAccepted /t REG_DWORD /d 1
autorunsc -acmv >> %temp%\autoruns.log
findstr /v (Verified) %temp%\autoruns.log >> %temp%\autoruns.txt
notepad %temp%\autoruns.txt
exit
         

3. Führe autoruns.bat aus und poste das log autoruns.txt

Anmerkung: Autoruns baut zur Signaturprüfung eine Verbindung ins Netz auf. Gib diese ggf. bei deiner Firewall frei.

vielen dank schonmal an euch, ich werde dann wohl den rechner Neuaufsetzen müssen. bleibt dann eigentlich trotzdem noch eine möglichkeit, das etwas von diesen "viren" überlebt oder die immer noch an meine internetverbindung heran können?

autoruns

Code: Alles auswählenAufklappen

ATTFilter

Entry Location,Entry,Enabled,Description,Publisher,Image Path
HKLM\System\CurrentControlSet\Services,AntiVirScheduler,enabled,"Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates.","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\sched.exe"
HKLM\System\CurrentControlSet\Services,AntiVirService,enabled,"Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\avguard.exe"
HKLM\System\CurrentControlSet\Services,Apple Mobile Device,enabled,"Stellt Schnittstellen zu Apple Mobile Devices bereit.","(Not verified) Apple, Inc.","c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe"
HKLM\System\CurrentControlSet\Services,RichVideo,enabled,"RichVideo Module",,"c:\programme\cyberlink\shared files\richvideo.exe"
HKLM\System\CurrentControlSet\Services,ASPI,enabled,"ASPI for WIN32 Kernel Driver","(Not verified) Adaptec","c:\windows\system32\drivers\aspi32.sys"
HKLM\System\CurrentControlSet\Services,Changer,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\Changer.sys"
HKLM\System\CurrentControlSet\Services,ENTECH,enabled,"","(Not verified) EnTech Taiwan","c:\windows\system32\drivers\entech.sys"
HKLM\System\CurrentControlSet\Services,i2omgmt,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys"
HKLM\System\CurrentControlSet\Services,IntcAzAudAddService,enabled,"Realtek(r) High Definition Audio Function Driver","(Not verified) Realtek Semiconductor Corp.","c:\windows\system32\drivers\rtkhdaud.sys"
HKLM\System\CurrentControlSet\Services,lbrtfdc,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys"
HKLM\System\CurrentControlSet\Services,PCIDump,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys"
HKLM\System\CurrentControlSet\Services,PDCOMP,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys"
HKLM\System\CurrentControlSet\Services,PDFRAME,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys"
HKLM\System\CurrentControlSet\Services,PDRELI,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys"
HKLM\System\CurrentControlSet\Services,PDRFRAME,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys"
HKLM\System\CurrentControlSet\Services,Secdrv,enabled,"SafeDisc driver","(Not verified) Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.","c:\windows\system32\drivers\secdrv.sys"
HKLM\System\CurrentControlSet\Services,sptd,enabled,"",,"c:\windows\system32\drivers\sptd.sys"
HKLM\System\CurrentControlSet\Services,WDICA,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\WDICA.sys"
HKLM\System\CurrentControlSet\Services,{4romat,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\{4romat.sys"
HKLM\System\CurrentControlSet\Services,ac7xue5v,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\ac7xue5v.sys"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify,WBSrv,enabled,"WBSrv.dll","(Not verified) Stardock","c:\programme\stardock\object desktop\windowblinds\wbsrv.dll"
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors,EPSON V6 2KMonitor,enabled,"EPSON Bi-directional Monitor","(Not verified) SEIKO EPSON CORPORATION","c:\windows\system32\ebpmon24.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,wbsys.dll,enabled,"WindowBlinds","(Not verified) Stardock.Net, Inc","c:\windows\system32\wbsys.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,type32,enabled,"Type32.exe","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\type32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,IntelliPoint,enabled,"Point32.exe","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\point32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,nwiz,enabled,"NVIDIA nView Wizard, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nwiz.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,RTHDCPL,enabled,"Realtek HD Audio Control Panel","(Not verified) Realtek Semiconductor Corp.","c:\windows\rthdcpl.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,JMB36X IDE Setup,enabled,"",,"c:\windows\raidtool\xinside.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,36X Raid Configurer,enabled,"JMicron JMB36X RAID Configurer","(Not verified) JMicron Technology Corp.","c:\windows\system32\xraidsetup.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,QuickTime Task,enabled,"QuickTime Task","(Not verified) Apple Inc.","c:\programme\quicktime\qttask.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,WinampAgent,enabled,"",,"c:\programme\winamp\winampa.exe"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/octet-stream,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/x-complus,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/x-msdownload,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Handler,ms-itss,enabled,"Microsoft® InfoTech Storage System Library","(Not verified) Microsoft Corporation","c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll"
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components,0,enabled,"",,"File not found: About:Home"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components,n/a,enabled,"Microsoft .NET IE SECURITY REGISTRATION","(Not verified) Microsoft Corporation","c:\windows\system32\mscories.dll"
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart,Adobe Gamma.lnk,enabled,"Adobe Gamma Loader","(Not verified) Adobe Systems, Inc.","c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,SkinClock,enabled,"",,"c:\programme\clock tray skins\clocktrayskins.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,{DC41D21D-B3BD-43D5-BDA3-47C7465F57A4},enabled,"",,"c:\windows\system32\vss_ps32.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,CPL-Erweiterung für Anzeigeverschiebung,enabled,"",,"File not found: deskpan.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,WinRAR shell extension,enabled,"",,"c:\programme\winrar\rarext.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Zooming Control Panel Property Page,enabled,"itcplzm.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplzm.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Scrolling Control Panel Property Page,enabled,"itcplwhl","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplwhl.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Key Settings Control Panel Property Page,enabled,"itcplkey.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplkey.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Wireless Control Panel Property Page,enabled,"itcplwir","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplwir.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Wireless Control Panel Property Page,enabled,"ipcplwir.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplwir.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Wheel Control Panel Property Page,enabled,"ipcplwhl.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplwhl.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Activities Control Panel Property Page,enabled,"ipcplact.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplact.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Buttons Control Panel Property Page,enabled,"ipcplbtn.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplbtn.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Desktop Explorer,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Desktop Explorer Menu,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,nView Desktop Context Menu,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Shell Extension for Malware scanning,enabled,"ShlExt.dll","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\shlext.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,WindowBlinds CPL Extension,enabled,"WindowBlinds 5.0 UI","(Not verified) Stardock.Net, Inc","c:\programme\stardock\object desktop\windowblinds\wbui.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,ShellLink for Application References,enabled,"Application Deployment Support Library","(Not verified) Microsoft Corporation","c:\windows\system32\dfshim.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Shell Icon Handler for Application References,enabled,"Application Deployment Support Library","(Not verified) Microsoft Corporation","c:\windows\system32\dfshim.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,PhoneBrowser,enabled,"Phone Browser","(Not verified) Nokia","c:\programme\nokia\nokia pc suite 6\phonebrowser.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Message View,enabled,"Phone Browser Message View","(Not verified) Nokia","c:\programme\nokia\nokia pc suite 6\messageview.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,7-Zip Shell Extension,enabled,"",,"c:\programme\7-zip\7-zip.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,GF Shell Extension,enabled,"lt_lib_gf_iconShellEx Module","(Not verified) onOne Software","c:\programme\gemeinsame dateien\onone software shared\lt_lib_gf_iconshellex.dll"
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers,PDF Shell Extension,enabled,"PDF Shell Extension","(Not verified) Adobe Systems, Inc.","c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll"