Angepinnt Nützliche Scripte für das Farbar Recovery Scan Tool

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Nützliche Scripte für das Farbar Recovery Scan Tool

    Das Farbar Recovery Scan Tool wird wohl jeder kennen, der ab und zu mal in den Antivirenbereich unseres Forums oder in den anderer Foren blickt. Das Tool wird in vielen Ländern in Foren als Systemanalysetool genutzt.
    Auch das Farbar Recovery Scan Tool bietet die Möglichkeit, Scripte auszuführen. Eine Anleitung für das Tool findet man hier.
    Ich will hier mal einige nützliche Sachen vorstellen, die man mit dem Tool durchführen kann.
    Jedes hier vorgestelle Script wird in folgenden Teilbereichen auseinandergenommen und erklärt werden:
    • Wofür kann man das Script nutzen?
      • In dem Abschnitt wird kurz erklärt werden, für welche Probleme das Script verwendet werden kann und für welche Betriebssysteme es geeignet ist.
    • Anweisungen für einen User
      • Hier wird erklärt, was genau zu tun ist - vom Download des Scanners bis hin zur Ausführung des Scriptes.
    • Was tut das Script genau und wie tut es das?
      • In diesem Abschnitt soll genau erläutert werden, wie das Script funktioniert und was es eigentlich auf welche Art und Weise tut.
    • Hinweise zur Auswertung der erhaltenen Daten
      • Die meisten Scripte liefern Daten zur weiteren Analyse. In diesem Abschnitt wird erklärt werden, wie man diese Daten zur weiteren Fehlersuche und -korrektur nutzen kann.
    Inhaltsangabe der bislang vorhandenen Scripte:



    Fragen zu den Scripten können hier gestellt werden:
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 25 mal editiert, zuletzt von AHT ()

  • Funde des WindowsDefenders (ab Windows8) und von Microsoft Security Esentials listen

    Wofür kann man das Script nutzen?

    Die Microsoft Antimalwareprodunkte speichern ihre LOGs von Funden an unterschiedlichen Stellen des Betriebssystems ab. Bei einer Analyse eines Rechners sind Daten über diese Funde extrem wichtig, um überhaupt sagen zu können, ob vielleicht wichtige Daten gestohlen wurden oder noch weitere Probleme vorliegen könnten, die gar nicht erkannt wurden.
    An diese Daten zu kommen, ist gerade für unversierte Nutzer nicht so ganz einfach.
    Das hier abgelegte Script holt sich diese Daten von Microsoft Security Esentials und dem WindowsDefender ab Windows 8.
    Das Script funktionier ab Windows Vista.


    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

      Quellcode: Fixlist.txt

      1. StartPowershell:
      2. set-content -path 'MSE.txt' -value '**************************************************************************************************'
      3. add-content -path 'MSE.txt' -value 'Microsoft Security Essentials LOG'
      4. add-content -path 'MSE.txt' -value '**************************************************************************************************'
      5. Get-Eventlog -log System -source 'Microsoft Antimalware' -EntryType Warning,Error -newest 100 | format-list | Out-File -FilePath 'MSE.txt' -Encoding 'Default' -Append
      6. add-content -path 'MSE.txt' -value ' '
      7. Type MSE.txt
      8. set-content -path 'WDef.txt' -value '**************************************************************************************************'
      9. add-content -path 'WDef.txt' -value 'WindowsDefender AV-Guard Detections'
      10. add-content -path 'WDef.txt' -value '**************************************************************************************************'
      11. Get-MpThreatDetection | Out-File -FilePath 'WDef.txt' -Encoding 'Default' -Append
      12. add-content -path 'WDef.txt' -value ' '
      13. add-content -path 'WDef.txt' -value '**************************************************************************************************'
      14. add-content -path 'WDef.txt' -value 'WindowsDefender (Offline-) Scan LOGs'
      15. add-content -path 'WDef.txt' -value '**************************************************************************************************'
      16. Type WDef.txt
      17. $Path = $env:SystemRoot + '\Microsoft Antimalware\Support' + '\MPLOG*.log'
      18. Type $Path
      19. Remove-Item 'WDef.txt'
      20. Remove-Item 'MSE.txt'
      21. EndPowershell:
      Alles anzeigen
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.



    Was tut das Script genau und wie tut es das?

    Farbar führt über Poershell folgende Sachen aus:
    • Es werden Fehler und Warnungen aus der Ereignisanzeige mit der Quelle Microsoft Antimalware ausgelesen. Diese Ergebnisse werden in die Datei MSE.txt übertragen. An der Stelle trägt der Duard von Microsoft Security Esentials seine Funde ein.
    • Der Inhalt der Datei MSE.txt wird dann mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Es werden über den Powershell Befehl Get-MpThreatDetection die Funde des Guards des WindowsDefenders ab Windows8 gelistet und in die Datei WDef.txt übertragen.
    • Der Inhalt der Datei WDef.txt wird dann mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Danach werden unter %SYSTEMROOT%\Microsoft Antimalware\Support die LOGs des WindowsDefender Offlinescans mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Zum Schluss werden die Dateien MSE.txt und WDef.txt gelöscht.
    • Farbar zeigt zum Schluss die erstellte Datei Fixlog.txt an, in der sich die Ergebnisse befinden.



    Hinweise zur Auswertung der erhaltenen Daten

    Die Ergebnisse findet man in der Datei Fixlog.txt. Hier ein Beispiel für so eine Datei:

    Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version: 05-02-2017
    2. durchgeführt von AHT_P (10-02-2017 15:24:06) Run:2
    3. Gestartet von D:\Farbar
    4. Geladene Profile: AHT_P (Verfügbare Profile: AHT_P)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. StartPowershell:
    10. set-content -path 'MSE.txt' -value '**************************************************************************************************'
    11. add-content -path 'MSE.txt' -value 'Microsoft Security Essentials LOG'
    12. add-content -path 'MSE.txt' -value '**************************************************************************************************'
    13. Get-Eventlog -log System -source 'Microsoft Antimalware' -EntryType Warning,Error -newest 100 | format-list | Out-File -FilePath 'MSE.txt' -Encoding 'Default' -Append
    14. add-content -path 'MSE.txt' -value ' '
    15. Type MSE.txt
    16. set-content -path 'WDef.txt' -value '**************************************************************************************************'
    17. add-content -path 'WDef.txt' -value 'WindowsDefender AV-Guard Detections'
    18. add-content -path 'WDef.txt' -value '**************************************************************************************************'
    19. Get-MpThreatDetection | Out-File -FilePath 'WDef.txt' -Encoding 'Default' -Append
    20. add-content -path 'WDef.txt' -value ' '
    21. add-content -path 'WDef.txt' -value '**************************************************************************************************'
    22. add-content -path 'WDef.txt' -value 'WindowsDefender (Offline-) Scan LOGs'
    23. add-content -path 'WDef.txt' -value '**************************************************************************************************'
    24. Type WDef.txt
    25. $Path = $env:SystemRoot + '\Microsoft Antimalware\Support' + '\MPLOG*.log'
    26. Type $Path
    27. Remove-Item 'WDef.txt'
    28. Remove-Item 'MSE.txt'
    29. EndPowershell:
    30. *****************
    31. ========= Powershell: =========
    32. **************************************************************************************************
    33. Microsoft Security Essentials LOG
    34. **************************************************************************************************
    35. **************************************************************************************************
    36. WindowsDefender AV-Guard Detections
    37. **************************************************************************************************
    38. ActionSuccess : True
    39. AdditionalActionsBitMask : 0
    40. AMProductVersion : 4.11.15019.1000
    41. CleaningActionID : 3
    42. CurrentThreatExecutionStatusID : 0
    43. DetectionID : {1AF7250C-E3B3-42EC-9DF1-81A36CB7FAA1}
    44. DetectionSourceTypeID : 1
    45. DomainUser : DESKTOP-JQG07TN\AHT_P
    46. InitialDetectionTime : 10.02.2017 14:46:11
    47. LastThreatStatusChangeTime : 10.02.2017 14:49:20
    48. ProcessName : Unknown
    49. RemediationTime : 10.02.2017 14:49:20
    50. Resources : {file:_C:\Users\AHT_P\Downloads\eicar.com}
    51. ThreatID : 2147519003
    52. ThreatStatusErrorCode : 0
    53. ThreatStatusID : 4
    54. PSComputerName :
    55. ActionSuccess : True
    56. AdditionalActionsBitMask : 0
    57. AMProductVersion : 4.11.15019.1000
    58. CleaningActionID : 3
    59. CurrentThreatExecutionStatusID : 0
    60. DetectionID : {13EA0E3E-C2FC-4F44-B279-CEA15BBC242A}
    61. DetectionSourceTypeID : 1
    62. DomainUser : DESKTOP-JQG07TN\AHT_P
    63. InitialDetectionTime : 10.02.2017 14:46:11
    64. LastThreatStatusChangeTime : 10.02.2017 14:49:20
    65. ProcessName : Unknown
    66. RemediationTime : 10.02.2017 14:49:20
    67. Resources : {file:_C:\Users\AHT_P\Downloads\Unlocker1.9.2.exe}
    68. ThreatID : 228350
    69. ThreatStatusErrorCode : 0
    70. ThreatStatusID : 4
    71. PSComputerName :
    72. ActionSuccess : True
    73. AdditionalActionsBitMask : 0
    74. AMProductVersion : 4.11.15019.1000
    75. CleaningActionID : 2
    76. CurrentThreatExecutionStatusID : 1
    77. DetectionID : {CA4C9CED-C739-400D-A43F-D434AC883178}
    78. DetectionSourceTypeID : 3
    79. DomainUser : DESKTOP-JQG07TN\AHT_P
    80. InitialDetectionTime : 10.02.2017 14:25:44
    81. LastThreatStatusChangeTime : 10.02.2017 14:26:38
    82. ProcessName : C:\Program Files\Mozilla Firefox\firefox.exe
    83. RemediationTime : 10.02.2017 14:26:38
    84. Resources : {file:_C:\Sandbox\AHT_P\DefaultBox\user\current\AppData\Local\Temp\PUaDXtAp.com.part}
    85. ThreatID : 2147519003
    86. ThreatStatusErrorCode : 0
    87. ThreatStatusID : 3
    88. PSComputerName :
    89. ActionSuccess : True
    90. AdditionalActionsBitMask : 0
    91. AMProductVersion : 4.11.15019.1000
    92. CleaningActionID : 2
    93. CurrentThreatExecutionStatusID : 1
    94. DetectionID : {6B5CC13A-2658-4E0D-8091-856475209C9A}
    95. DetectionSourceTypeID : 3
    96. DomainUser : DESKTOP-JQG07TN\AHT_P
    97. InitialDetectionTime : 10.02.2017 14:29:48
    98. LastThreatStatusChangeTime : 10.02.2017 14:30:43
    99. ProcessName : C:\Program Files\Mozilla Firefox\firefox.exe
    100. RemediationTime : 10.02.2017 14:30:43
    101. Resources : {file:_C:\Sandbox\AHT_P\DefaultBox\user\current\Downloads\ytb-7.2.6.20-1.6.6-ysp-1.2.8
    102. -mail-bts-pub-de-setup-.exe.part}
    103. ThreatID : 228350
    104. ThreatStatusErrorCode : 0
    105. ThreatStatusID : 3
    106. PSComputerName :
    107. **************************************************************************************************
    108. WindowsDefender (Offline-) Scan LOGs
    109. **************************************************************************************************
    110. --------------------------------------------------------------------------------
    111. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Service Log
    112. Started On 01-06-2017 20:18:43
    113. ************************************************************
    114. OS install time not retrieved: hr = 0x8007000d
    115. Current time: 01/06/2017 19:18:43.280035800 UTC (22390 ms since boot)
    116. 2017-01-06T19:18:43.278Z ProductId: 4, ProductFeature: 0, LaunchedProtected: 0
    117. 2017-01-06T19:18:43.278Z Trace session started - MpWppTracing-01062017-201843-00000003-ffffffff.bin
    118. 2017-01-06T19:18:43.278Z OS Build/Branch info: 14986.1000.x86fre.rs_prerelease.161202-1928
    119. 2017-01-06T19:18:43.278Z Service is asked to be reenabled.
    120. 2017-01-06T19:18:43.278Z Task(-EnableService) launched
    121. 2017-01-06T19:18:43.294Z Loaded module#0 MpComServer.
    122. 2017-01-06T19:18:43.294Z Loading engine...
    123. 2017-01-06T19:18:44.669Z Verifying engine and signature files (source: 0) ...
    124. 2017-01-06T19:18:44.747Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{ADD2BDD7-3C32-4912-AA88-4AC47F51F465}\mpengine.dll]
    125. 2017-01-06T19:18:44.965Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{ADD2BDD7-3C32-4912-AA88-4AC47F51F465}\mpasbase.vdm]
    126. 2017-01-06T19:18:44.981Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{ADD2BDD7-3C32-4912-AA88-4AC47F51F465}\mpasdlta.vdm]
    127. 2017-01-06T19:18:45.434Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{ADD2BDD7-3C32-4912-AA88-4AC47F51F465}\mpavbase.vdm]
    128. 2017-01-06T19:18:45.512Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{ADD2BDD7-3C32-4912-AA88-4AC47F51F465}\mpavdlta.vdm]
    129. 2017-01-06T19:18:53.481Z Initializing MPUT in engine...
    130. 2017-01-06T19:18:53.481Z MPUT initialized in the engine successfully
    131. 2017-01-06T19:18:53.497Z CSignatureStatus: back to good
    132. Signature updated via XCopy on 01-06-2017 20:18:53
    133. Product Version: 4.11.14986.1000
    134. Service Version: 4.11.14986.1000
    135. Engine Version: 1.1.13303.0
    136. AS Signature Version: 1.233.4114.0
    137. AV Signature Version: 1.233.4114.0
    138. ************************************************************
    139. 2017-01-06T19:18:53.528Z Engine loaded!
    140. 2017-01-06T19:18:53.528Z NisUpdate from SignatureDropLocation returns S_OK
    141. 2017-01-06T19:18:53.528Z NisUpdate from SignatureDefaultLocation returns S_OK
    142. 2017-01-06T19:18:53.528Z Verifying license file...
    143. 2017-01-06T19:18:53.544Z Verified [D:\ProgramData\Microsoft\Windows Defender\Offline Scanner\msmplics.dll]
    144. 2017-01-06T19:18:53.544Z Product supports installmode: 0
    145. Product Version: 4.11.14986.1000
    146. Service Version: 4.11.14986.1000
    147. Engine Version: 1.1.13303.0
    148. AS Signature Version: 1.233.4114.0
    149. AV Signature Version: 1.233.4114.0
    150. ************************************************************
    151. 2017-01-06T19:19:43.279Z Process scan (postsignatureupdatescan) started.
    152. 2017-01-06T19:19:43.294Z Process scan (postsignatureupdatescan) completed.
    153. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Log
    154. Stopped On 01-06-2017 20:20:57 (Exit Code = 0x0)
    155. ************************************************************
    156. 2017-01-06T19:20:58.112Z Unloaded module#0 MpComServer.
    157. --------------------------------------------------------------------------------
    158. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Service Log
    159. Started On 02-07-2017 10:30:33
    160. ************************************************************
    161. OS install time not retrieved: hr = 0x8007000d
    162. Current time: 02/07/2017 09:30:33.584169800 UTC (20500 ms since boot)
    163. 2017-02-07T09:30:33.571Z ProductId: 4, ProductFeature: 0, LaunchedProtected: 0
    164. 2017-02-07T09:30:33.603Z Trace session started - MpWppTracing-02072017-103033-00000003-ffffffff.bin
    165. 2017-02-07T09:30:33.603Z OS Build/Branch info: 15019.1000.x86fre.rs_prerelease.170121-1513
    166. 2017-02-07T09:30:33.603Z Service is asked to be reenabled.
    167. 2017-02-07T09:30:33.821Z Task(-EnableService) launched
    168. 2017-02-07T09:30:34.306Z Loaded module#0 MpComServer.
    169. 2017-02-07T09:30:34.306Z Loading engine...
    170. 2017-02-07T09:30:35.556Z Verifying engine and signature files (source: 0) ...
    171. 2017-02-07T09:30:35.649Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8BCAA2F9-7BAB-4A23-B77E-88E3DD0B84F4}\mpengine.dll]
    172. 2017-02-07T09:30:35.852Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8BCAA2F9-7BAB-4A23-B77E-88E3DD0B84F4}\mpasbase.vdm]
    173. 2017-02-07T09:30:35.868Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8BCAA2F9-7BAB-4A23-B77E-88E3DD0B84F4}\mpasdlta.vdm]
    174. 2017-02-07T09:30:36.337Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8BCAA2F9-7BAB-4A23-B77E-88E3DD0B84F4}\mpavbase.vdm]
    175. 2017-02-07T09:30:36.384Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8BCAA2F9-7BAB-4A23-B77E-88E3DD0B84F4}\mpavdlta.vdm]
    176. 2017-02-07T09:30:44.603Z Initializing MPUT in engine...
    177. 2017-02-07T09:30:44.603Z MPUT initialized in the engine successfully
    178. 2017-02-07T09:30:44.618Z CSignatureStatus: back to good
    179. Signature updated via XCopy on 02-07-2017 10:30:44
    180. Product Version: 4.11.15019.1000
    181. Service Version: 4.11.15019.1000
    182. Engine Version: 1.1.13407.0
    183. AS Signature Version: 1.235.2257.0
    184. AV Signature Version: 1.235.2257.0
    185. ************************************************************
    186. 2017-02-07T09:30:44.649Z Engine loaded!
    187. 2017-02-07T09:30:44.665Z NisUpdate from SignatureDropLocation returns S_OK
    188. 2017-02-07T09:30:44.665Z NisUpdate from SignatureDefaultLocation returns S_OK
    189. 2017-02-07T09:30:44.665Z Verifying license file...
    190. 2017-02-07T09:30:44.681Z Verified [D:\ProgramData\Microsoft\Windows Defender\Offline Scanner\msmplics.dll]
    191. 2017-02-07T09:30:44.681Z Product supports installmode: 0
    192. Product Version: 4.11.15019.1000
    193. Service Version: 4.11.15019.1000
    194. Engine Version: 1.1.13407.0
    195. AS Signature Version: 1.235.2257.0
    196. AV Signature Version: 1.235.2257.0
    197. ************************************************************
    198. 2017-02-07T09:31:33.864Z Process scan (postsignatureupdatescan) started.
    199. 2017-02-07T09:31:33.864Z Process scan (postsignatureupdatescan) completed.
    200. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Log
    201. Stopped On 02-07-2017 10:33:19 (Exit Code = 0x0)
    202. ************************************************************
    203. 2017-02-07T09:33:19.998Z Unloaded module#0 MpComServer.
    204. --------------------------------------------------------------------------------
    205. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Service Log
    206. Started On 02-10-2017 14:31:51
    207. ************************************************************
    208. OS install time not retrieved: hr = 0x8007000d
    209. Current time: 02/10/2017 13:31:51.427647200 UTC (20343 ms since boot)
    210. 2017-02-10T13:31:51.424Z ProductId: 4, ProductFeature: 0, LaunchedProtected: 0
    211. 2017-02-10T13:31:51.440Z Trace session started - MpWppTracing-02102017-143151-00000003-ffffffff.bin
    212. 2017-02-10T13:31:51.440Z OS Build/Branch info: 15019.1000.x86fre.rs_prerelease.170121-1513
    213. 2017-02-10T13:31:51.440Z Service is asked to be reenabled.
    214. 2017-02-10T13:31:51.487Z Task(-EnableService) launched
    215. 2017-02-10T13:31:51.565Z Loaded module#0 MpComServer.
    216. 2017-02-10T13:31:51.565Z Loading engine...
    217. 2017-02-10T13:31:52.971Z Verifying engine and signature files (source: 0) ...
    218. 2017-02-10T13:31:53.065Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8F165A05-39F2-46BD-B66B-41C32D1579C4}\mpengine.dll]
    219. 2017-02-10T13:31:53.268Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8F165A05-39F2-46BD-B66B-41C32D1579C4}\mpasbase.vdm]
    220. 2017-02-10T13:31:53.284Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8F165A05-39F2-46BD-B66B-41C32D1579C4}\mpasdlta.vdm]
    221. 2017-02-10T13:31:53.752Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8F165A05-39F2-46BD-B66B-41C32D1579C4}\mpavbase.vdm]
    222. 2017-02-10T13:31:53.799Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{8F165A05-39F2-46BD-B66B-41C32D1579C4}\mpavdlta.vdm]
    223. 2017-02-10T13:32:02.034Z Initializing MPUT in engine...
    224. 2017-02-10T13:32:02.034Z MPUT initialized in the engine successfully
    225. 2017-02-10T13:32:02.049Z CSignatureStatus: back to good
    226. Signature updated via XCopy on 02-10-2017 14:32:02
    227. Product Version: 4.11.15019.1000
    228. Service Version: 4.11.15019.1000
    229. Engine Version: 1.1.13407.0
    230. AS Signature Version: 1.235.2257.0
    231. AV Signature Version: 1.235.2257.0
    232. ************************************************************
    233. 2017-02-10T13:32:02.081Z Engine loaded!
    234. 2017-02-10T13:32:02.096Z NisUpdate from SignatureDropLocation returns S_OK
    235. 2017-02-10T13:32:02.096Z NisUpdate from SignatureDefaultLocation returns S_OK
    236. 2017-02-10T13:32:02.096Z Verifying license file...
    237. 2017-02-10T13:32:02.112Z Verified [D:\ProgramData\Microsoft\Windows Defender\Offline Scanner\msmplics.dll]
    238. 2017-02-10T13:32:02.112Z Product supports installmode: 0
    239. Product Version: 4.11.15019.1000
    240. Service Version: 4.11.15019.1000
    241. Engine Version: 1.1.13407.0
    242. AS Signature Version: 1.235.2257.0
    243. AV Signature Version: 1.235.2257.0
    244. ************************************************************
    245. 2017-02-10T13:32:51.863Z Process scan (postsignatureupdatescan) started.
    246. 2017-02-10T13:32:51.890Z Process scan (postsignatureupdatescan) completed.
    247. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Log
    248. Stopped On 02-10-2017 14:34:37 (Exit Code = 0x0)
    249. ************************************************************
    250. 2017-02-10T13:34:37.555Z Unloaded module#0 MpComServer.
    251. --------------------------------------------------------------------------------
    252. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Service Log
    253. Started On 02-10-2017 14:41:26
    254. ************************************************************
    255. OS install time not retrieved: hr = 0x8007000d
    256. Current time: 02/10/2017 13:41:26.803767500 UTC (20734 ms since boot)
    257. 2017-02-10T13:41:26.802Z ProductId: 4, ProductFeature: 0, LaunchedProtected: 0
    258. 2017-02-10T13:41:26.802Z Trace session started - MpWppTracing-02102017-144126-00000003-ffffffff.bin
    259. 2017-02-10T13:41:26.802Z OS Build/Branch info: 15019.1000.x86fre.rs_prerelease.170121-1513
    260. 2017-02-10T13:41:26.802Z Service is asked to be reenabled.
    261. 2017-02-10T13:41:26.802Z Task(-EnableService) launched
    262. 2017-02-10T13:41:26.818Z Loaded module#0 MpComServer.
    263. 2017-02-10T13:41:26.818Z Loading engine...
    264. 2017-02-10T13:41:28.599Z Verifying engine and signature files (source: 0) ...
    265. 2017-02-10T13:41:28.693Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{0C9F0A80-B94B-4565-AFA0-943CB9290AB8}\mpengine.dll]
    266. 2017-02-10T13:41:28.896Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{0C9F0A80-B94B-4565-AFA0-943CB9290AB8}\mpasbase.vdm]
    267. 2017-02-10T13:41:28.912Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{0C9F0A80-B94B-4565-AFA0-943CB9290AB8}\mpasdlta.vdm]
    268. 2017-02-10T13:41:29.380Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{0C9F0A80-B94B-4565-AFA0-943CB9290AB8}\mpavbase.vdm]
    269. 2017-02-10T13:41:29.443Z Verified [D:\WINDOWS\Microsoft Antimalware\Definition Updates\{0C9F0A80-B94B-4565-AFA0-943CB9290AB8}\mpavdlta.vdm]
    270. 2017-02-10T13:41:37.677Z Initializing MPUT in engine...
    271. 2017-02-10T13:41:37.677Z MPUT initialized in the engine successfully
    272. 2017-02-10T13:41:37.677Z CSignatureStatus: back to good
    273. Signature updated via XCopy on 02-10-2017 14:41:37
    274. Product Version: 4.11.15019.1000
    275. Service Version: 4.11.15019.1000
    276. Engine Version: 1.1.13407.0
    277. AS Signature Version: 1.235.2257.0
    278. AV Signature Version: 1.235.2257.0
    279. ************************************************************
    280. 2017-02-10T13:41:37.709Z Engine loaded!
    281. 2017-02-10T13:41:37.724Z NisUpdate from SignatureDropLocation returns S_OK
    282. 2017-02-10T13:41:37.724Z NisUpdate from SignatureDefaultLocation returns S_OK
    283. 2017-02-10T13:41:37.724Z Verifying license file...
    284. 2017-02-10T13:41:37.740Z Verified [D:\ProgramData\Microsoft\Windows Defender\Offline Scanner\msmplics.dll]
    285. 2017-02-10T13:41:37.740Z Product supports installmode: 0
    286. Product Version: 4.11.15019.1000
    287. Service Version: 4.11.15019.1000
    288. Engine Version: 1.1.13407.0
    289. AS Signature Version: 1.235.2257.0
    290. AV Signature Version: 1.235.2257.0
    291. ************************************************************
    292. 2017-02-10T13:42:27.192Z Process scan (postsignatureupdatescan) started.
    293. 2017-02-10T13:42:27.207Z Process scan (postsignatureupdatescan) completed.
    294. 2017-02-10T13:43:27.747Z Task(SignaturesUpdateService -ScheduleJob -UnmanagedUpdate) launched
    295. 2017-02-10T13:44:14.014Z DETECTIONEVENT MPSOURCE_SYSTEM Virus:DOS/EICAR_Test_File file:D:\WINDOWS\system32\eicar.com;
    296. 2017-02-10T13:44:14.014Z DETECTION_ADD Virus:DOS/EICAR_Test_File file:D:\WINDOWS\system32\eicar.com
    297. Begin Quick Scan
    298. Scan ID:{085A860F-9705-4FAB-B954-32D4C3FCA9BF}
    299. Scan Source:2
    300. Start Time:02-10-2017 14:41:38
    301. End Time:02-10-2017 14:44:14
    302. Result Count:1
    303. Threat Name:Virus:DOS/EICAR_Test_File
    304. ID:2147519003
    305. Severity:5
    306. Number of Resources:1
    307. Resource Schema:file
    308. Resource Path:D:\WINDOWS\system32\eicar.com
    309. Extended Info:5866324352432
    310. End Scan
    311. ************************************************************
    312. Begin Resource Scan
    313. Scan ID:{C6ADB09A-AED8-48D9-A22D-CD6E61373340}
    314. Scan Source:6
    315. Start Time:02-10-2017 14:44:14
    316. End Time:02-10-2017 14:44:25
    317. Explicit resource to scan
    318. Resource Schema:file
    319. Resource Path:D:\WINDOWS\system32\eicar.com
    320. Result Count:1
    321. Threat Name:Virus:DOS/EICAR_Test_File
    322. ID:2147519003
    323. Severity:5
    324. Number of Resources:1
    325. Resource Schema:file
    326. Resource Path:D:\WINDOWS\system32\eicar.com
    327. Extended Info:5866324352432
    328. End Scan
    329. ************************************************************
    330. FileName:D:\WINDOWS\system32\eicar.com
    331. SHA1:3395856ce81f2b7382dee72602f798b642f14140
    332. 2017-02-10T13:44:25.395Z DETECTION_CLEANEVENT MPSOURCE_SYSTEM MP_THREAT_ACTION_REMOVE 0x0 Virus:DOS/EICAR_Test_File file:D:\WINDOWS\system32\eicar.com;
    333. Beginning threat actions
    334. Start time:02-10-2017 14:44:25
    335. Threat Name:Virus:DOS/EICAR_Test_File
    336. Threat ID:2147519003
    337. Action:remove
    338. File to act on SHA1:3395856CE81F2B7382DEE72602F798B642F14140
    339. File owner:VORDEFINIERT\Administratoren
    340. File cleaned/removed successfully
    341. File Name:D:\WINDOWS\system32\eicar.com
    342. Resource action complete:Removal
    343. Schema:file
    344. Path:\\?\D:\WINDOWS\system32\eicar.com
    345. Threat ID:2147519003
    346. Resource refcount:1
    347. Result:0
    348. Finished threat ID:2147519003
    349. Threat result:0
    350. Threat status flags:0
    351. Finished threat actions
    352. End time:02-10-2017 14:44:25
    353. Result:0
    354. Microsoft Antimalware (F7F4CD20-7371-4319-B1DB-6FCFC68573EC) Log
    355. Stopped On 02-10-2017 14:44:25 (Exit Code = 0x0)
    356. ************************************************************
    357. 2017-02-10T13:44:25.598Z Unloaded module#0 MpComServer.
    358. ========= Ende von Powershell: =========
    359. ==== Ende vom Fixlog 15:24:10 ====
    Alles anzeigen
    Unter Microsoft Security Essentials LOG steht hier nichts, da Microsoft Security Essentials auf dem Rechner nicht installiert ist.
    Unter WindowsDefender AV-Guard Detections findet sich zum Beispiel folgender Eintrag:
    Spoiler anzeigen

    Fixlog.txt schrieb:

    ActionSuccess : True
    AdditionalActionsBitMask : 0
    AMProductVersion : 4.11.15019.1000
    CleaningActionID : 3
    CurrentThreatExecutionStatusID : 0
    DetectionID : {13EA0E3E-C2FC-4F44-B279-CEA15BBC242A}
    DetectionSourceTypeID : 1
    DomainUser : DESKTOP-JQG07TN\AHT_P
    InitialDetectionTime : 10.02.2017 14:46:11
    LastThreatStatusChangeTime : 10.02.2017 14:49:20
    ProcessName : Unknown
    RemediationTime : 10.02.2017 14:49:20
    Resources : {file:_C:\Users\AHT_P\Downloads\Unlocker1.9.2.exe}
    ThreatID : 228350

    ThreatStatusErrorCode : 0
    ThreatStatusID : 4
    PSComputerName :

    Unter Resources findet sich hier der genaue Dateiname des Fundes. Man kann also schon mal sehen, was da erkannt wurde.
    Die ThreaTID sioeht erst einmal unscheinbar aus, unter Windows10 kann man aber über Powershell weitetre Informationen über diese Datei einholen.
    Gibt man folgenden Code in POwershell ein und drückt dann Enter,
    Get-MpThreatCatalog -ThreatId 228350
    kommt man dort zu folgendem Ergebnis:
    Spoiler anzeigen

    Powershell schrieb:

    CategoryID : 27
    SeverityID : 5
    ThreatID : 228350
    ThreatName : PUA:Win32/JooSoft
    TypeID : 0
    PSComputerName :

    Unter ThreadName steht hier PUA:Win32/JooSoft. PUA steht dabei für Potential Unwanted Application - das ist ein Hinweios darauf, das in der Datei Adware gefunden wurde. Der Threatname gibt also Hinweise darauf, was genau gefunden wurde und wie viel Sorgen man sich diesbezüglich machen muss.
    Bei der Durchführung eines Offlinescans wurde ebenfalls noch etwas gefunden. Hier steht auch der Threadname im Klartext unter WindowsDefender (Offline-) Scan LOGs:
    Spoiler anzeigen

    Fixlog.txt schrieb:

    2017-02-10T13:42:27.192Z Process scan (postsignatureupdatescan) started.
    2017-02-10T13:42:27.207Z Process scan (postsignatureupdatescan) completed.
    2017-02-10T13:43:27.747Z Task(SignaturesUpdateService -ScheduleJob -UnmanagedUpdate) launched
    2017-02-10T13:44:14.014Z DETECTIONEVENT MPSOURCE_SYSTEM Virus:DOS/EICAR_Test_File file:D:\WINDOWS\system32\eicar.com;
    2017-02-10T13:44:14.014Z DETECTION_ADD Virus:DOS/EICAR_Test_File file:D:\WINDOWS\system32\eicar.com
    Begin Quick Scan
    Scan ID:{085A860F-9705-4FAB-B954-32D4C3FCA9BF}
    Scan Source:2
    Start Time:02-10-2017 14:41:38
    End Time:02-10-2017 14:44:14
    Result Count:1
    Threat Name:Virus:DOS/EICAR_Test_File
    ID:2147519003
    Severity:5
    Number of Resources:1
    Resource Schema:file
    Resource Path:D:\WINDOWS\system32\eicar.com
    Extended Info:5866324352432
    End Scan

    Hier steht bei Threat Name Virus:DOS/EICAR_Test_File. Man sieht hier, dass ich mir den Eicar Testvirus zum Ausprobieren auf den Rechner geladen habe.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 16 mal editiert, zuletzt von AHT ()

  • Mit Farbar Funde des Guards von Antivir listen

    Wofür kann man das Script nutzen?

    Welcher Nutzer von Antivir kennt das nicht: Plötzlich poppt eine Meldung des Virenscanners mit einer Fundmeldung auf, bevor man sich versieht kommt ein Fenster, dass irgendetwas repariert wird und wenn man den ersten Schreck verdaut hat, ist alles wieder weg und man weiß im Prinzip gar nicht, was genau passiert ist.
    Das muss nicht so sein. Antivir legt Meldungen vom Guard standardmäßig in der Ereignisanzeige ab. Um nachzuvollziehen, was genau passiert ist, sich Hilfe zu holen und einzuschätzen, ob weitere Aktionen nötig sind, kann man sich diese Meldungen vom Gurd sehr einfach über ein Script mit dem Farbar Recovery Scan Tool holen.
    Das Script funktionier ab Windows Vista.

    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:
    • Quellcode: Fixlist.txt

      1. StartPowershell:
      2. Get-Eventlog -log Application -source 'Avira Antivirus' -EntryType Error,Warning -newest 100 | format-list > AvguardFunde.txt
      3. EndPowershell:
      4. StartBatch:
      5. Type AvguardFunde.txt
      6. Del AvguardFunde.txt /Q
      7. EndBatch:
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?

    • Das Farbar Tool führt zuerst folgende Sachen in Powershell aus:
      • Mittels Powershell Befehl Get-Eventlog wird die Ereignisanzeige gefiltert und Warnungen und Fehler mit der Quelle Avira Antivirus aus den LOGs für Anwendungen herausgesucht.
      • Diese Meldungen werden dann in die Datei AvguardFunde.txt übertragen.
    • Danach führt Farbar über Batch Befehle folgendes aus:
      • Der Inhalt der Datei AvguardFunde.txt wird in die Datei Fixlog.txt übertragen.
      • Die Datei AvguardFunde.txt wird gelöscht.


    Hinweise zur Auswertung der erhaltenen Daten

    Hier ist einmal als Beispiel für so eine Fixlog-Datei die Fixlog.txt von meinem Testrechner mit Antivir:
    Spoiler anzeigen

    Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 10-02-2017
    2. durchgeführt von MisterX (11-02-2017 15:42:06) Run:15
    3. Gestartet von D:\Farbar\64Bit
    4. Geladene Profile: MisterX (Verfügbare Profile: MisterX & Eingeschränkt)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. StartPowershell:
    10. Get-Eventlog -log Application -source 'Avira Antivirus' -EntryType Error,Warning -newest 100 | format-list > AvguardFunde.txt
    11. EndPowershell:
    12. StartBatch:
    13. Type AvguardFunde.txt
    14. Del AvguardFunde.txt /Q
    15. EndBatch:
    16. *****************
    17. ========= Powershell: =========
    18. ========= Ende von Powershell: =========
    19. ========= Batch: =========
    20. Index : 16898
    21. EntryType : Warning
    22. InstanceId : 2147487761
    23. Message : AntiVir erkannte 'Eicar-Test-Signature'
    24. in Datei
    25. D:\Temp\eicar.com
    26. Category : Infektion
    27. CategoryNumber : 2
    28. ReplacementStrings : {Eicar-Test-Signature, D:\Temp\eicar.com, 0x0, }
    29. Source : Avira Antivirus
    30. TimeGenerated : 11.02.2017 15:03:14
    31. TimeWritten : 11.02.2017 15:03:14
    32. UserName : NT-AUTORITŽT\SYSTEM
    33. Index : 16163
    34. EntryType : Warning
    35. InstanceId : 2147487761
    36. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    37. in Datei
    38. D:\Sandbox\MisterX\DefaultBox\user\current\Downloads\PPFSD
    39. ownloader.exe
    40. Category : Infektion
    41. CategoryNumber : 2
    42. ReplacementStrings : {HEUR/APC (Cloud), D:\Sandbox\MisterX\DefaultBox\user\curr
    43. ent\Downloads\PPFSDownloader.exe, 0x0, }
    44. Source : Avira Antivirus
    45. TimeGenerated : 24.10.2016 12:44:39
    46. TimeWritten : 24.10.2016 12:44:39
    47. UserName : NT-AUTORITŽT\SYSTEM
    48. Index : 16160
    49. EntryType : Warning
    50. InstanceId : 2147487761
    51. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    52. in Datei
    53. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    54. icrosoft\Windows\Temporary Internet Files\Content.IE5\LIX5
    55. LMCP\PPFSDownloader.exe
    56. Category : Infektion
    57. CategoryNumber : 2
    58. ReplacementStrings : {HEUR/APC (Cloud), C:\Sandbox\MisterX\DefaultBox\user\curr
    59. ent\AppData\Local\Microsoft\Windows\Temporary Internet Fil
    60. es\Content.IE5\LIX5LMCP\PPFSDownloader.exe, 0x0, }
    61. Source : Avira Antivirus
    62. TimeGenerated : 24.10.2016 12:33:08
    63. TimeWritten : 24.10.2016 12:33:08
    64. UserName : NT-AUTORITŽT\SYSTEM
    65. Index : 16159
    66. EntryType : Warning
    67. InstanceId : 2147487761
    68. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    69. in Datei
    70. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    71. icrosoft\Windows\Temporary Internet Files\Content.IE5\4N1Y
    72. P7ST\PPFSDownloader.exe
    73. Category : Infektion
    74. CategoryNumber : 2
    75. ReplacementStrings : {HEUR/APC (Cloud), C:\Sandbox\MisterX\DefaultBox\user\curr
    76. ent\AppData\Local\Microsoft\Windows\Temporary Internet Fil
    77. es\Content.IE5\4N1YP7ST\PPFSDownloader.exe, 0x0, }
    78. Source : Avira Antivirus
    79. TimeGenerated : 24.10.2016 12:24:43
    80. TimeWritten : 24.10.2016 12:24:43
    81. UserName : NT-AUTORITŽT\SYSTEM
    82. Index : 16099
    83. EntryType : Warning
    84. InstanceId : 2147487761
    85. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    86. in Datei
    87. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    88. icrosoft\Windows\Temporary Internet Files\Content.IE5\LIX5
    89. LMCP\PPFSDownloader.exe
    90. Category : Infektion
    91. CategoryNumber : 2
    92. ReplacementStrings : {HEUR/APC (Cloud), C:\Sandbox\MisterX\DefaultBox\user\curr
    93. ent\AppData\Local\Microsoft\Windows\Temporary Internet Fil
    94. es\Content.IE5\LIX5LMCP\PPFSDownloader.exe, 0x0, }
    95. Source : Avira Antivirus
    96. TimeGenerated : 23.10.2016 14:04:38
    97. TimeWritten : 23.10.2016 14:04:38
    98. UserName : NT-AUTORITŽT\SYSTEM
    99. Index : 16098
    100. EntryType : Warning
    101. InstanceId : 2147487761
    102. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    103. in Datei
    104. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    105. icrosoft\Windows\Temporary Internet Files\Content.IE5\K9CY
    106. 6NUG\PPFSDownloader.exe
    107. Category : Infektion
    108. CategoryNumber : 2
    109. ReplacementStrings : {HEUR/APC (Cloud), C:\Sandbox\MisterX\DefaultBox\user\curr
    110. ent\AppData\Local\Microsoft\Windows\Temporary Internet Fil
    111. es\Content.IE5\K9CY6NUG\PPFSDownloader.exe, 0x0, }
    112. Source : Avira Antivirus
    113. TimeGenerated : 23.10.2016 14:04:27
    114. TimeWritten : 23.10.2016 14:04:27
    115. UserName : NT-AUTORITŽT\SYSTEM
    116. Index : 16059
    117. EntryType : Warning
    118. InstanceId : 2147487761
    119. Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    120. in Datei
    121. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    122. icrosoft\Windows\Temporary Internet Files\Content.IE5\K9CY
    123. 6NUG\PPFSDownloader.exe
    124. Category : Infektion
    125. CategoryNumber : 2
    126. ReplacementStrings : {HEUR/APC (Cloud), C:\Sandbox\MisterX\DefaultBox\user\curr
    127. ent\AppData\Local\Microsoft\Windows\Temporary Internet Fil
    128. es\Content.IE5\K9CY6NUG\PPFSDownloader.exe, 0x0, }
    129. Source : Avira Antivirus
    130. TimeGenerated : 23.10.2016 12:55:13
    131. TimeWritten : 23.10.2016 12:55:13
    132. UserName : NT-AUTORITŽT\SYSTEM
    133. Index : 13403
    134. EntryType : Warning
    135. InstanceId : 2147487761
    136. Message : AntiVir erkannte 'TR/Rogue.125440.30'
    137. in Datei
    138. D:\PureBasic\PPFscanner\PPFSDownloader2.exe
    139. Category : Infektion
    140. CategoryNumber : 2
    141. ReplacementStrings : {TR/Rogue.125440.30, D:\PureBasic\PPFscanner\PPFSDownloade
    142. r2.exe, 0x0, }
    143. Source : Avira Antivirus
    144. TimeGenerated : 09.06.2016 20:08:42
    145. TimeWritten : 09.06.2016 20:08:42
    146. UserName : NT-AUTORITŽT\SYSTEM
    147. Index : 13338
    148. EntryType : Warning
    149. InstanceId : 2147487761
    150. Message : AntiVir erkannte 'DR/Autoit.rysw'
    151. in Datei
    152. D:\AdwCleaner\adwcleaner_5.118.exe
    153. Category : Infektion
    154. CategoryNumber : 2
    155. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    156. }
    157. Source : Avira Antivirus
    158. TimeGenerated : 02.06.2016 15:47:07
    159. TimeWritten : 02.06.2016 15:47:07
    160. UserName : NT-AUTORITŽT\SYSTEM
    161. Index : 13337
    162. EntryType : Warning
    163. InstanceId : 2147487761
    164. Message : AntiVir erkannte 'DR/Autoit.rysw'
    165. in Datei
    166. C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\adwcl
    167. eaner_5.118.exe
    168. Category : Infektion
    169. CategoryNumber : 2
    170. ReplacementStrings : {DR/Autoit.rysw, C:\Sandbox\MisterX\DefaultBox\user\curren
    171. t\Downloads\adwcleaner_5.118.exe, 0x0, }
    172. Source : Avira Antivirus
    173. TimeGenerated : 02.06.2016 15:47:05
    174. TimeWritten : 02.06.2016 15:47:05
    175. UserName : NT-AUTORITŽT\SYSTEM
    176. Index : 13336
    177. EntryType : Warning
    178. InstanceId : 2147487761
    179. Message : AntiVir erkannte 'DR/Autoit.rysw'
    180. in Datei
    181. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    182. icrosoft\Windows\Temporary Internet Files\Content.IE5\5HZ6
    183. 6186\adwcleaner_5.118.exe
    184. Category : Infektion
    185. CategoryNumber : 2
    186. ReplacementStrings : {DR/Autoit.rysw, C:\Sandbox\MisterX\DefaultBox\user\curren
    187. t\AppData\Local\Microsoft\Windows\Temporary Internet Files
    188. \Content.IE5\5HZ66186\adwcleaner_5.118.exe, 0x0, }
    189. Source : Avira Antivirus
    190. TimeGenerated : 02.06.2016 15:47:05
    191. TimeWritten : 02.06.2016 15:47:05
    192. UserName : NT-AUTORITŽT\SYSTEM
    193. Index : 13288
    194. EntryType : Warning
    195. InstanceId : 2147487761
    196. Message : AntiVir erkannte 'DR/Autoit.rysw'
    197. in Datei
    198. D:\AdwCleaner\adwcleaner_5.118.exe
    199. Category : Infektion
    200. CategoryNumber : 2
    201. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    202. }
    203. Source : Avira Antivirus
    204. TimeGenerated : 31.05.2016 21:30:44
    205. TimeWritten : 31.05.2016 21:30:44
    206. UserName : NT-AUTORITŽT\SYSTEM
    207. Index : 13287
    208. EntryType : Warning
    209. InstanceId : 2147487761
    210. Message : AntiVir erkannte 'DR/Autoit.rysw'
    211. in Datei
    212. C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\adwcl
    213. eaner_5.118.exe
    214. Category : Infektion
    215. CategoryNumber : 2
    216. ReplacementStrings : {DR/Autoit.rysw, C:\Sandbox\MisterX\DefaultBox\user\curren
    217. t\Downloads\adwcleaner_5.118.exe, 0x0, }
    218. Source : Avira Antivirus
    219. TimeGenerated : 31.05.2016 21:30:42
    220. TimeWritten : 31.05.2016 21:30:42
    221. UserName : NT-AUTORITŽT\SYSTEM
    222. Index : 13286
    223. EntryType : Warning
    224. InstanceId : 2147487761
    225. Message : AntiVir erkannte 'DR/Autoit.rysw'
    226. in Datei
    227. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    228. icrosoft\Windows\Temporary Internet Files\Content.IE5\5HZ6
    229. 6186\adwcleaner_5.118.exe
    230. Category : Infektion
    231. CategoryNumber : 2
    232. ReplacementStrings : {DR/Autoit.rysw, C:\Sandbox\MisterX\DefaultBox\user\curren
    233. t\AppData\Local\Microsoft\Windows\Temporary Internet Files
    234. \Content.IE5\5HZ66186\adwcleaner_5.118.exe, 0x0, }
    235. Source : Avira Antivirus
    236. TimeGenerated : 31.05.2016 21:30:42
    237. TimeWritten : 31.05.2016 21:30:42
    238. UserName : NT-AUTORITŽT\SYSTEM
    239. Index : 13258
    240. EntryType : Warning
    241. InstanceId : 2147487761
    242. Message : AntiVir erkannte 'DR/Autoit.rysw'
    243. in Datei
    244. D:\AdwCleaner\adwcleaner_5.118.exe
    245. Category : Infektion
    246. CategoryNumber : 2
    247. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    248. }
    249. Source : Avira Antivirus
    250. TimeGenerated : 27.05.2016 19:22:31
    251. TimeWritten : 27.05.2016 19:22:31
    252. UserName : NT-AUTORITŽT\SYSTEM
    253. Index : 13256
    254. EntryType : Warning
    255. InstanceId : 2147487761
    256. Message : AntiVir erkannte 'DR/Autoit.rysw'
    257. in Datei
    258. D:\AdwCleaner\adwcleaner_5.118.exe
    259. Category : Infektion
    260. CategoryNumber : 2
    261. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    262. }
    263. Source : Avira Antivirus
    264. TimeGenerated : 27.05.2016 19:16:20
    265. TimeWritten : 27.05.2016 19:16:20
    266. UserName : NT-AUTORITŽT\SYSTEM
    267. Index : 13255
    268. EntryType : Warning
    269. InstanceId : 2147487761
    270. Message : AntiVir erkannte 'DR/Autoit.rysw'
    271. in Datei
    272. D:\AdwCleaner\adwcleaner_5.118.exe
    273. Category : Infektion
    274. CategoryNumber : 2
    275. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    276. }
    277. Source : Avira Antivirus
    278. TimeGenerated : 27.05.2016 19:15:53
    279. TimeWritten : 27.05.2016 19:15:53
    280. UserName : NT-AUTORITŽT\SYSTEM
    281. Index : 13254
    282. EntryType : Warning
    283. InstanceId : 2147487761
    284. Message : AntiVir erkannte 'DR/Autoit.rysw'
    285. in Datei
    286. C:\Users\MisterX\Downloads\adwcleaner_5.118.exe
    287. Category : Infektion
    288. CategoryNumber : 2
    289. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\Downloads\adwcleaner_5.1
    290. 18.exe, 0x0, }
    291. Source : Avira Antivirus
    292. TimeGenerated : 27.05.2016 19:13:38
    293. TimeWritten : 27.05.2016 19:13:38
    294. UserName : NT-AUTORITŽT\SYSTEM
    295. Index : 13253
    296. EntryType : Warning
    297. InstanceId : 2147487761
    298. Message : AntiVir erkannte 'DR/Autoit.rysw'
    299. in Datei
    300. C:\Users\MisterX\Downloads\adwcleaner_5.118.exe.l435omr.pa
    301. rtial
    302. Category : Infektion
    303. CategoryNumber : 2
    304. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\Downloads\adwcleaner_5.1
    305. 18.exe.l435omr.partial, 0x0, }
    306. Source : Avira Antivirus
    307. TimeGenerated : 27.05.2016 19:13:38
    308. TimeWritten : 27.05.2016 19:13:38
    309. UserName : NT-AUTORITŽT\SYSTEM
    310. Index : 13252
    311. EntryType : Warning
    312. InstanceId : 2147487761
    313. Message : AntiVir erkannte 'DR/Autoit.rysw'
    314. in Datei
    315. C:\Users\MisterX\Downloads\adwcleaner_5.118.exe
    316. Category : Infektion
    317. CategoryNumber : 2
    318. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\Downloads\adwcleaner_5.1
    319. 18.exe, 0x0, }
    320. Source : Avira Antivirus
    321. TimeGenerated : 27.05.2016 19:12:40
    322. TimeWritten : 27.05.2016 19:12:40
    323. UserName : NT-AUTORITŽT\SYSTEM
    324. Index : 13251
    325. EntryType : Warning
    326. InstanceId : 2147487761
    327. Message : AntiVir erkannte 'DR/Autoit.rysw'
    328. in Datei
    329. C:\Users\MisterX\Downloads\adwcleaner_5.118.exe.f4zsfqp.pa
    330. rtial
    331. Category : Infektion
    332. CategoryNumber : 2
    333. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\Downloads\adwcleaner_5.1
    334. 18.exe.f4zsfqp.partial, 0x0, }
    335. Source : Avira Antivirus
    336. TimeGenerated : 27.05.2016 19:12:40
    337. TimeWritten : 27.05.2016 19:12:40
    338. UserName : NT-AUTORITŽT\SYSTEM
    339. Index : 13250
    340. EntryType : Warning
    341. InstanceId : 2147487761
    342. Message : AntiVir erkannte 'DR/Autoit.rysw'
    343. in Datei
    344. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    345. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    346. 1].exe
    347. Category : Infektion
    348. CategoryNumber : 2
    349. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    350. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    351. adwcleaner_5.118[1].exe, 0x0, }
    352. Source : Avira Antivirus
    353. TimeGenerated : 27.05.2016 19:12:22
    354. TimeWritten : 27.05.2016 19:12:22
    355. UserName : NT-AUTORITŽT\SYSTEM
    356. Index : 13249
    357. EntryType : Warning
    358. InstanceId : 2147487761
    359. Message : AntiVir erkannte 'DR/Autoit.rysw'
    360. in Datei
    361. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    362. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    363. 1].exe
    364. Category : Infektion
    365. CategoryNumber : 2
    366. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    367. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    368. adwcleaner_5.118[1].exe, 0x0, }
    369. Source : Avira Antivirus
    370. TimeGenerated : 27.05.2016 19:12:15
    371. TimeWritten : 27.05.2016 19:12:15
    372. UserName : NT-AUTORITŽT\SYSTEM
    373. Index : 13248
    374. EntryType : Warning
    375. InstanceId : 2147487761
    376. Message : AntiVir erkannte 'DR/Autoit.rysw'
    377. in Datei
    378. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    379. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    380. 1].exe
    381. Category : Infektion
    382. CategoryNumber : 2
    383. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    384. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    385. adwcleaner_5.118[1].exe, 0x0, }
    386. Source : Avira Antivirus
    387. TimeGenerated : 27.05.2016 19:12:12
    388. TimeWritten : 27.05.2016 19:12:12
    389. UserName : NT-AUTORITŽT\SYSTEM
    390. Index : 13247
    391. EntryType : Warning
    392. InstanceId : 2147487761
    393. Message : AntiVir erkannte 'DR/Autoit.rysw'
    394. in Datei
    395. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    396. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    397. 1].exe
    398. Category : Infektion
    399. CategoryNumber : 2
    400. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    401. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    402. adwcleaner_5.118[1].exe, 0x0, }
    403. Source : Avira Antivirus
    404. TimeGenerated : 27.05.2016 19:12:11
    405. TimeWritten : 27.05.2016 19:12:11
    406. UserName : NT-AUTORITŽT\SYSTEM
    407. Index : 13246
    408. EntryType : Warning
    409. InstanceId : 2147487761
    410. Message : AntiVir erkannte 'DR/Autoit.rysw'
    411. in Datei
    412. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    413. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    414. 1].exe
    415. Category : Infektion
    416. CategoryNumber : 2
    417. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    418. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    419. adwcleaner_5.118[1].exe, 0x0, }
    420. Source : Avira Antivirus
    421. TimeGenerated : 27.05.2016 19:11:54
    422. TimeWritten : 27.05.2016 19:11:54
    423. UserName : NT-AUTORITŽT\SYSTEM
    424. Index : 13245
    425. EntryType : Warning
    426. InstanceId : 2147487761
    427. Message : AntiVir erkannte 'DR/Autoit.rysw'
    428. in Datei
    429. C:\Users\MisterX\AppData\Local\Microsoft\Windows\Temporary
    430. Internet Files\Low\Content.IE5\0IVISSQU\adwcleaner_5.118[
    431. 1].exe
    432. Category : Infektion
    433. CategoryNumber : 2
    434. ReplacementStrings : {DR/Autoit.rysw, C:\Users\MisterX\AppData\Local\Microsoft\
    435. Windows\Temporary Internet Files\Low\Content.IE5\0IVISSQU\
    436. adwcleaner_5.118[1].exe, 0x0, }
    437. Source : Avira Antivirus
    438. TimeGenerated : 27.05.2016 19:11:50
    439. TimeWritten : 27.05.2016 19:11:50
    440. UserName : NT-AUTORITŽT\SYSTEM
    441. Index : 13241
    442. EntryType : Warning
    443. InstanceId : 2147487761
    444. Message : AntiVir erkannte 'DR/Autoit.rysw'
    445. in Datei
    446. D:\$Recycle.Bin\S-1-5-21-3863793582-3343518260-2820944672-
    447. 1000\$R6TR903.exe
    448. Category : Infektion
    449. CategoryNumber : 2
    450. ReplacementStrings : {DR/Autoit.rysw, D:\$Recycle.Bin\S-1-5-21-3863793582-33435
    451. 18260-2820944672-1000\$R6TR903.exe, 0x0, }
    452. Source : Avira Antivirus
    453. TimeGenerated : 27.05.2016 19:07:31
    454. TimeWritten : 27.05.2016 19:07:31
    455. UserName : NT-AUTORITŽT\SYSTEM
    456. Index : 13240
    457. EntryType : Warning
    458. InstanceId : 2147487761
    459. Message : AntiVir erkannte 'DR/Autoit.rysw'
    460. in Datei
    461. D:\AdwCleaner\adwcleaner_5.118.exe
    462. Category : Infektion
    463. CategoryNumber : 2
    464. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    465. }
    466. Source : Avira Antivirus
    467. TimeGenerated : 27.05.2016 19:07:25
    468. TimeWritten : 27.05.2016 19:07:25
    469. UserName : NT-AUTORITŽT\SYSTEM
    470. Index : 13239
    471. EntryType : Warning
    472. InstanceId : 2147487761
    473. Message : AntiVir erkannte 'DR/Autoit.rysw'
    474. in Datei
    475. D:\AdwCleaner\adwcleaner_5.118.exe
    476. Category : Infektion
    477. CategoryNumber : 2
    478. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    479. }
    480. Source : Avira Antivirus
    481. TimeGenerated : 27.05.2016 19:06:06
    482. TimeWritten : 27.05.2016 19:06:06
    483. UserName : NT-AUTORITŽT\SYSTEM
    484. Index : 13235
    485. EntryType : Warning
    486. InstanceId : 2147487761
    487. Message : AntiVir erkannte 'DR/Autoit.rysw'
    488. in Datei
    489. D:\AdwCleaner\adwcleaner_5.118.exe
    490. Category : Infektion
    491. CategoryNumber : 2
    492. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    493. }
    494. Source : Avira Antivirus
    495. TimeGenerated : 27.05.2016 18:48:08
    496. TimeWritten : 27.05.2016 18:48:08
    497. UserName : NT-AUTORITŽT\SYSTEM
    498. Index : 13234
    499. EntryType : Warning
    500. InstanceId : 2147487761
    501. Message : AntiVir erkannte 'DR/Autoit.rysw'
    502. in Datei
    503. D:\AdwCleaner\adwcleaner_5.118.exe
    504. Category : Infektion
    505. CategoryNumber : 2
    506. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    507. }
    508. Source : Avira Antivirus
    509. TimeGenerated : 27.05.2016 18:46:55
    510. TimeWritten : 27.05.2016 18:46:55
    511. UserName : NT-AUTORITŽT\SYSTEM
    512. Index : 13233
    513. EntryType : Warning
    514. InstanceId : 2147487761
    515. Message : AntiVir erkannte 'DR/Autoit.rysw'
    516. in Datei
    517. D:\AdwCleaner\adwcleaner_5.118.exe
    518. Category : Infektion
    519. CategoryNumber : 2
    520. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    521. }
    522. Source : Avira Antivirus
    523. TimeGenerated : 27.05.2016 18:46:55
    524. TimeWritten : 27.05.2016 18:46:55
    525. UserName : NT-AUTORITŽT\SYSTEM
    526. Index : 13232
    527. EntryType : Warning
    528. InstanceId : 2147487761
    529. Message : AntiVir erkannte 'DR/Autoit.rysw'
    530. in Datei
    531. D:\AdwCleaner\adwcleaner_5.118.exe
    532. Category : Infektion
    533. CategoryNumber : 2
    534. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    535. }
    536. Source : Avira Antivirus
    537. TimeGenerated : 27.05.2016 18:46:55
    538. TimeWritten : 27.05.2016 18:46:55
    539. UserName : NT-AUTORITŽT\SYSTEM
    540. Index : 13231
    541. EntryType : Warning
    542. InstanceId : 2147487761
    543. Message : AntiVir erkannte 'DR/Autoit.rysw'
    544. in Datei
    545. D:\AdwCleaner\adwcleaner_5.118.exe
    546. Category : Infektion
    547. CategoryNumber : 2
    548. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    549. }
    550. Source : Avira Antivirus
    551. TimeGenerated : 27.05.2016 18:46:55
    552. TimeWritten : 27.05.2016 18:46:55
    553. UserName : NT-AUTORITŽT\SYSTEM
    554. Index : 13203
    555. EntryType : Warning
    556. InstanceId : 2147487761
    557. Message : AntiVir erkannte 'DR/Autoit.rysw'
    558. in Datei
    559. D:\AdwCleaner\adwcleaner_5.118.exe
    560. Category : Infektion
    561. CategoryNumber : 2
    562. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    563. }
    564. Source : Avira Antivirus
    565. TimeGenerated : 27.05.2016 18:41:46
    566. TimeWritten : 27.05.2016 18:41:46
    567. UserName : NT-AUTORITŽT\SYSTEM
    568. Index : 13202
    569. EntryType : Warning
    570. InstanceId : 2147487761
    571. Message : AntiVir erkannte 'DR/Autoit.rysw'
    572. in Datei
    573. D:\AdwCleaner\adwcleaner_5.118.exe
    574. Category : Infektion
    575. CategoryNumber : 2
    576. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    577. }
    578. Source : Avira Antivirus
    579. TimeGenerated : 27.05.2016 18:41:31
    580. TimeWritten : 27.05.2016 18:41:31
    581. UserName : NT-AUTORITŽT\SYSTEM
    582. Index : 13201
    583. EntryType : Warning
    584. InstanceId : 2147487761
    585. Message : AntiVir erkannte 'DR/Autoit.rysw'
    586. in Datei
    587. D:\AdwCleaner\adwcleaner_5.118.exe
    588. Category : Infektion
    589. CategoryNumber : 2
    590. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    591. }
    592. Source : Avira Antivirus
    593. TimeGenerated : 27.05.2016 18:39:43
    594. TimeWritten : 27.05.2016 18:39:43
    595. UserName : NT-AUTORITŽT\SYSTEM
    596. Index : 13200
    597. EntryType : Warning
    598. InstanceId : 2147487761
    599. Message : AntiVir erkannte 'DR/Autoit.rysw'
    600. in Datei
    601. D:\AdwCleaner\adwcleaner_5.118.exe
    602. Category : Infektion
    603. CategoryNumber : 2
    604. ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    605. }
    606. Source : Avira Antivirus
    607. TimeGenerated : 27.05.2016 18:39:43
    608. TimeWritten : 27.05.2016 18:39:43
    609. UserName : NT-AUTORITŽT\SYSTEM
    610. Index : 8571
    611. EntryType : Warning
    612. InstanceId : 2147487761
    613. Message : AntiVir erkannte 'PUA/DownloadAdmin (Cloud)'
    614. in Datei
    615. C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\Setup
    616. .exe
    617. Category : Infektion
    618. CategoryNumber : 2
    619. ReplacementStrings : {PUA/DownloadAdmin (Cloud), C:\Sandbox\MisterX\DefaultBox\
    620. user\current\Downloads\Setup.exe, 0x0, }
    621. Source : Avira Antivirus
    622. TimeGenerated : 23.11.2015 18:59:09
    623. TimeWritten : 23.11.2015 18:59:09
    624. UserName : NT-AUTORITŽT\SYSTEM
    625. Index : 4561
    626. EntryType : Warning
    627. InstanceId : 2147487761
    628. Message : AntiVir erkannte 'EXP/Apkomp.113152'
    629. in Datei
    630. F:\$Recycle.Bin\S-1-5-21-599718785-1286492468-3094965234-1
    631. 004\$RLABVOV.exe
    632. Category : Infektion
    633. CategoryNumber : 2
    634. ReplacementStrings : {EXP/Apkomp.113152, F:\$Recycle.Bin\S-1-5-21-599718785-128
    635. 6492468-3094965234-1004\$RLABVOV.exe, 0x0, }
    636. Source : Avira Antivirus
    637. TimeGenerated : 20.01.2015 18:48:20
    638. TimeWritten : 20.01.2015 18:48:20
    639. UserName : NT-AUTORITŽT\SYSTEM
    640. Index : 4560
    641. EntryType : Warning
    642. InstanceId : 2147487761
    643. Message : AntiVir erkannte 'EXP/Apkomp.113152'
    644. in Datei
    645. F:\$Recycle.Bin\S-1-5-21-599718785-1286492468-3094965234-1
    646. 001\$ROWWLQ1.exe
    647. Category : Infektion
    648. CategoryNumber : 2
    649. ReplacementStrings : {EXP/Apkomp.113152, F:\$Recycle.Bin\S-1-5-21-599718785-128
    650. 6492468-3094965234-1001\$ROWWLQ1.exe, 0x0, }
    651. Source : Avira Antivirus
    652. TimeGenerated : 20.01.2015 18:48:20
    653. TimeWritten : 20.01.2015 18:48:20
    654. UserName : NT-AUTORITŽT\SYSTEM
    655. Index : 3763
    656. EntryType : Warning
    657. InstanceId : 2147487761
    658. Message : AntiVir erkannte 'ADWARE/MultiPlug.Gen7'
    659. in Datei
    660. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    661. icrosoft\Windows\Temporary Internet Files\Content.IE5\LIX5
    662. LMCP\Download[1].exe
    663. Category : Infektion
    664. CategoryNumber : 2
    665. ReplacementStrings : {ADWARE/MultiPlug.Gen7, C:\Sandbox\MisterX\DefaultBox\user
    666. \current\AppData\Local\Microsoft\Windows\Temporary Interne
    667. t Files\Content.IE5\LIX5LMCP\Download[1].exe, 0x0, }
    668. Source : Avira Antivirus
    669. TimeGenerated : 09.12.2014 09:47:24
    670. TimeWritten : 09.12.2014 09:47:24
    671. UserName : NT-AUTORITŽT\SYSTEM
    672. Index : 3694
    673. EntryType : Warning
    674. InstanceId : 2147487761
    675. Message : AntiVir erkannte 'ADWARE/MultiPlug.Gen7'
    676. in Datei
    677. C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    678. icrosoft\Windows\Temporary Internet Files\Content.IE5\4N1Y
    679. P7ST\Download[1].exe
    680. Category : Infektion
    681. CategoryNumber : 2
    682. ReplacementStrings : {ADWARE/MultiPlug.Gen7, C:\Sandbox\MisterX\DefaultBox\user
    683. \current\AppData\Local\Microsoft\Windows\Temporary Interne
    684. t Files\Content.IE5\4N1YP7ST\Download[1].exe, 0x0, }
    685. Source : Avira Antivirus
    686. TimeGenerated : 05.12.2014 19:17:51
    687. TimeWritten : 05.12.2014 19:17:51
    688. UserName : NT-AUTORITŽT\SYSTEM
    689. ========= Ende von Batch: =========
    690. ==== Ende von Fixlog 15:42:14 ====
    Alles anzeigen

    Das sieht vielleicht noch etwas verwirrend aus - um da Überblick zu verschaffen, gehe ich jetzt mal ein paar Einträge durch. Die wichtigen Sachen markiere ich rot.:
    1. Eintrag:
    Spoiler anzeigen

    Fixlog.txt schrieb:

    Index : 16898
    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'Eicar-Test-Signature'
    in Datei
    D:\Temp\eicar.com

    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {Eicar-Test-Signature, D:\Temp\eicar.com, 0x0, }
    Source : Avira Antivirus
    TimeGenerated : 11.02.2017 15:03:14
    TimeWritten : 11.02.2017 15:03:14
    UserName : NT-AUTORITŽT\SYSTEM
    Am 11.02.2017 um 15:03Uhr hat Antivir hier was gefunden. Aus der Beschreibung 'Eicar-Test-Signature' kann man erkennen, dass es sich hier um einen Testvirus handelt, der keinen Schaden verursacht.

    2. Eintrag:
    Spoiler anzeigen

    Fixlog.txt schrieb:

    Index : 16163

    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'HEUR/APC (Cloud)'
    in Datei
    D:\Sandbox\MisterX\DefaultBox\user\current\Downloads\PPFSD
    ownloader.exe

    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {HEUR/APC (Cloud), D:\Sandbox\MisterX\DefaultBox\user\curr
    ent\Downloads\PPFSDownloader.exe, 0x0, }
    Source : Avira Antivirus
    TimeGenerated : 24.10.2016 12:44:39
    TimeWritten : 24.10.2016 12:44:39
    UserName : NT-AUTORITŽT\SYSTEM

    Am 24.10.2016 [/b]um 12:44Uhr [/b]hat Antivir hier ebenfalls was entdeckt. Aus dem Pfad erkennt man, dass der Trojaner (wenn es denn einer wäre) in der Sandbox gefunden wurde und das System vermutlich sowieso nicht infiziert hat. HEUR/APC (Cloud) weist darauf hin, dass es sich gar nicht zwingend um Malware handeln muss und es sich eventuell um eine verhaltensbasierende Erkennung handelt. In dem Fall ist es definitiv keine Malware, sondern ein Downloadprogramm für eine Sicherheitsanwendung. Das Programm habe ich selbst geschrieben.


    3.Eintrag:
    Spoiler anzeigen


    Fixlog.txt schrieb:

    Index : 13338
    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'DR/Autoit.rysw'
    in Datei
    D:\AdwCleaner\adwcleaner_5.118.exe

    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {DR/Autoit.rysw, D:\AdwCleaner\adwcleaner_5.118.exe, 0x0,
    }
    Source : Avira Antivirus
    TimeGenerated : 02.06.2016 15:47:07
    TimeWritten : 02.06.2016 15:47:07
    UserName : NT-AUTORITŽT\SYSTEM


    Am 02.06.2016 um 15:47Uhr hat Antivir hier wieder was entdeckt. Das DR in der Virenbeschreibung weist dort auf einen Malware Downloader hin - das Ding soll sich angeblich also weitere Malware nachladen.

    Avira Virenlabor schrieb:

    The term 'DR' denotes a program that is able to place a virus or malware discretely on a system.

    Autoit. ist ein Hinweis darauf, dass das Programm in der Programmiersprache Autoit geschrieben wurde. Auch hier handelt es sich nicht um einen Virus, sondern um den jetzt von Malwarebytes gehosteten AdwCleaner - ein Sicherheitsprogramm, das automatisch Adware entfernt. Der Download des Programms erfolgte damals aus sicherer Quelle. Also ist auch das hier eine Falschmeldung!

    4.Eintrag:
    Spoiler anzeigen


    Fixlog.txt schrieb:

    Index : 8571
    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'PUA/DownloadAdmin (Cloud)'
    in Datei
    C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\Setup
    .exe
    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {PUA/DownloadAdmin (Cloud), C:\Sandbox\MisterX\DefaultBox\
    user\current\Downloads\Setup.exe, 0x0, }
    Source : Avira Antivirus
    TimeGenerated : 23.11.2015 18:59:09
    TimeWritten : 23.11.2015 18:59:09
    UserName : NT-AUTORITŽT\SYSTEM

    Am 23.11.2015 um 18:59Uhr hat Antivir hier auch was entdeckt. Vorne steht PUA, was für Potential Unwanted Application steht. Antivir schreibt dazu:


    Antivir Virenlabor schrieb:

    Diese Art von Gefährdung, Potenziell Unerwünschte Anwendungen (PUAs), kann die Privatsphäre des Nutzers und die Sicherheit des lokalen Systems beeinträchtigen.Es handelt sich dabei um seriöse Anwendungen, bei deren Installation der Anwender häufig mithilfe von Social Engineering dazu gebracht werden soll, zusätzlich zur gewünschten Software weitere Programme zu installieren.
    Oft ist das Adware.


    5.Eintrag:
    Spoiler anzeigen


    Index : 4561
    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'EXP/Apkomp.113152'
    in Datei
    F:\$Recycle.Bin\S-1-5-21-599718785-1286492468-3094965234-1
    004\$RLABVOV.exe
    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {EXP/Apkomp.113152, F:\$Recycle.Bin\S-1-5-21-599718785-128
    6492468-3094965234-1004\$RLABVOV.exe, 0x0, }
    Source : Avira Antivirus
    TimeGenerated : 20.01.2015 18:48:20
    TimeWritten : 20.01.2015 18:48:20
    UserName : NT-AUTORITŽT\SYSTEM

    Auch 20.01.2015 um 18:48Uhr hat Antivir was entdeckt. Die Datei war schon gelöscht und befand sich im Papierkorb von Laufwerk F: -> F:\$Recycle.Bin
    EXP weist hier auf ein Exploit hin:


    Avira Virenlabor schrieb:

    Bei der Bezeichnung 'EXP' handelt es sich um eine spezielle Erkennung von Sicherheitslücken, welche es einem Angreifer ermöglichen könnte, Zugriff auf das System zu erhalten.
    Das Exploit habe ich mir selbst heruntergeladen, um was auszuprobieren.


    6.Eintrag:
    Spoiler anzeigen


    Index : 3763
    EntryType : Warning
    InstanceId : 2147487761
    Message : AntiVir erkannte 'ADWARE/MultiPlug.Gen7'
    in Datei
    C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\M
    icrosoft\Windows\Temporary Internet Files\Content.IE5\LIX5
    LMCP\Download[1].exe

    Category : Infektion
    CategoryNumber : 2
    ReplacementStrings : {ADWARE/MultiPlug.Gen7, C:\Sandbox\MisterX\DefaultBox\user
    \current\AppData\Local\Microsoft\Windows\Temporary Interne
    t Files\Content.IE5\LIX5LMCP\Download[1].exe, 0x0, }
    Source : Avira Antivirus
    TimeGenerated : 09.12.2014 09:47:24
    TimeWritten : 09.12.2014 09:47:24
    UserName : NT-AUTORITŽT\SYSTEM

    Am 09.12.2014 um 9:47Uhr hat Antivir auch was entdeckt. Der Download hat das System vermutlich nicht infiziert, weil das Ding nur in der Sandbox gefunden wurde. Wie man an der Beschreibung sieht, handelte es sich um Adware.

    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 9 mal editiert, zuletzt von AHT ()

  • Nach Dateien suchen lassen, die innerhalb eines bestimmten Zeitraums geändert wurden

    Wofür kann man das Script nutzen?

    Mit dem hier abgelegten Script kann man nach Dateien suchen lassen, die innerhalb eines festlegbaren Zeitraums geändert wurden. Am Anfang erscheint ein Dialog, in dem der Suchzeitraum und der zu durchsuchende Ordner festgelegt werden können. Die Suche erfolgt rekursiv innerhalb des angegebenen Ordner. Das Script funktioniert ab Windows Vista. Die Dateien werden nach dem Änderungsdatum absteigend sortiert. MD5, wichtige Infos aus der Resource und wichtige Signaturinfos werden mitgelistet.


    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode: Fixlist.txt

    1. StartPowershell:
    2. Add-Type -Name Window -Namespace Console -MemberDefinition '
    3. [DllImport("Kernel32.dll")]
    4. public static extern IntPtr GetConsoleWindow();
    5. [DllImport("user32.dll")]
    6. public static extern bool ShowWindow(IntPtr hWnd, Int32 nCmdShow);
    7. '
    8. function Show-Console {
    9. $consolePtr = [Console.Window]::GetConsoleWindow()
    10. #5 show
    11. [Console.Window]::ShowWindow($consolePtr, 5)
    12. }
    13. function Hide-Console {
    14. $consolePtr = [Console.Window]::GetConsoleWindow()
    15. #0 hide
    16. [Console.Window]::ShowWindow($consolePtr, 0)
    17. }
    18. function Get-Signercertificatepart ($SignatureFileName, $Lesen1, $Lesen2) {
    19. $Lesen3 = $Lesen2 + '='
    20. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).SignerCertificate.$Lesen1
    21. $CompanyStart = $Gelesen.IndexOf($Lesen3)
    22. $Gelesen2 = $Gelesen.SubString($CompanyStart + 3)
    23. $CompanyEnd = $Gelesen2.IndexOf('=')
    24. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    25. $CompanyEnd = $Gelesen2.LastIndexOf(', ')
    26. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    27. $Gelesen2
    28. }
    29. function Get-SignatureStatus ($SignatureFileName) {
    30. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).Status
    31. $Gelesen
    32. }
    33. Function Get-MD5Hash ($FMD5FileName){$algo = [System.Security.Cryptography.HashAlgorithm]::Create("MD5")
    34. $stream = New-Object System.IO.FileStream($FMD5FileName, [System.IO.FileMode]::Open)
    35. $md5StringBuilder = New-Object System.Text.StringBuilder
    36. $algo.ComputeHash($stream) | % { [void] $md5StringBuilder.Append($_.ToString("x2")) }
    37. $md5StringBuilder.ToString()
    38. $stream.Dispose()}
    39. $ShowBefore = Show-Console
    40. $Abbruch = 1
    41. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
    42. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
    43. $objForm = New-Object System.Windows.Forms.Form
    44. $objForm.Text = "Data Entry Form"
    45. $objForm.Size = New-Object System.Drawing.Size(310,300)
    46. $objForm.StartPosition = "CenterScreen"
    47. $objForm.KeyPreview = $True
    48. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Enter")
    49. {$LastWriteTimeLowest=$objTextBox.Text;$objForm.Close()}})
    50. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Escape")
    51. {$objForm.Close()}})
    52. $CancelButton = New-Object System.Windows.Forms.Button
    53. $CancelButton.Location = New-Object System.Drawing.Size(150,200)
    54. $CancelButton.Size = New-Object System.Drawing.Size(75,23)
    55. $CancelButton.Text = "Cancel"
    56. $CancelButton.Add_Click({$objForm.Close()})
    57. $objForm.Controls.Add($CancelButton)
    58. $objLabel = New-Object System.Windows.Forms.Label
    59. $objLabel.Location = New-Object System.Drawing.Size(10,20)
    60. $objLabel.Size = New-Object System.Drawing.Size(280,30)
    61. $objLabel.Text = "Please enter the lowest last write time to search for in the box below (MM/DD/YYYY):"
    62. $objForm.Controls.Add($objLabel)
    63. $objTextBox = New-Object System.Windows.Forms.TextBox
    64. $objTextBox.Location = New-Object System.Drawing.Size(10,50)
    65. $objTextBox.Size = New-Object System.Drawing.Size(260,20)
    66. $objForm.Controls.Add($objTextBox)
    67. $objLabel2 = New-Object System.Windows.Forms.Label
    68. $objLabel2.Location = New-Object System.Drawing.Size(10,80)
    69. $objLabel2.Size = New-Object System.Drawing.Size(280,30)
    70. $objLabel2.Text = "Please enter the last write time to which to want to search in the box below (MM/DD/YYYY):"
    71. $objForm.Controls.Add($objLabel2)
    72. $objTextBox2 = New-Object System.Windows.Forms.TextBox
    73. $objTextBox2.Location = New-Object System.Drawing.Size(10,110)
    74. $objTextBox2.Size = New-Object System.Drawing.Size(260,20)
    75. $objForm.Controls.Add($objTextBox2)
    76. $objLabel3 = New-Object System.Windows.Forms.Label
    77. $objLabel3.Location = New-Object System.Drawing.Size(10,140)
    78. $objLabel3.Size = New-Object System.Drawing.Size(280,30)
    79. $objLabel3.Text = "Please enter the path you want to search in the box below :"
    80. $objForm.Controls.Add($objLabel3)
    81. $objTextBox3 = New-Object System.Windows.Forms.TextBox
    82. $objTextBox3.Location = New-Object System.Drawing.Size(10,170)
    83. $objTextBox3.Size = New-Object System.Drawing.Size(260,20)
    84. $objTextBox3.Text = "C:\"
    85. $objForm.Controls.Add($objTextBox3)
    86. $OKButton = New-Object System.Windows.Forms.Button
    87. $OKButton.Location = New-Object System.Drawing.Size(75,200)
    88. $OKButton.Size = New-Object System.Drawing.Size(75,23)
    89. $OKButton.Text = "OK"
    90. $OKButton.Add_Click({$Path=$objTextBox3.Text;$LastWriteTimeLowest=$objTextBox.Text;$LastWriteTimeBelow=$objTextBox2.Text;$Abbruch = 0;$objForm.Close()})
    91. $objForm.Controls.Add($OKButton)
    92. $objForm.Topmost = $True
    93. $objForm.Add_Shown({$objForm.Activate()})
    94. [void] $objForm.ShowDialog()
    95. If ( $abbruch -eq 0 ) {
    96. $OutFilename = 'FileSearch.txt'
    97. $Trennung = '__________________________________________________________'
    98. '' > $OutFilename
    99. $Headline = "Files created between " + $LastWriteTimeLowest + " and " + $LastWriteTimeBelow + " in folder " + $Path
    100. $Headline >> $OutFilename
    101. '' >> $OutFilename
    102. Get-ChildItem $Path -recurse -force | Where-Object { ($_.LastWriteTime -gt $LastWriteTimeLowest -or $_.LastWriteTime -eq $LastWriteTimeLowest) -and $_.LastWriteTime -lt $LastWriteTimeBelow } | Sort-Object -Property LastWriteTime -Descending | select Fullname,lastwritetime,mode,creationtime,@{label="Company"
    103. expression={$_.versioninfo.CompanyName}},@{label="Product"
    104. expression={$_.versioninfo.ProductName}},@{label="Description"
    105. expression={$_.versioninfo.FileDescription}} ,@{label="MD5"
    106. expression={Get-MD5Hash $_.Fullname}} ,@{label="Signature (Status)"
    107. expression={Get-SignatureStatus $_.Fullname}} ,@{label="Signature (Companyname)"
    108. expression={Get-Signercertificatepart $_.Fullname 'Subject' 'CN'}} | format-table -autosize | Out-String -Width 4096 >> $OutFilename
    109. $Trennung >> $OutFilename
    110. Type $OutFilename
    111. Del /Q $OutFilename}
    112. EndPowershell:
    Alles anzeigen
    • Klicke dann den Button Entfernen
    • Es erscheint danach ein Dialog, in dem verchiedene Sachen festgelegt werden müssen:
      • Im Eingabefeld ganz oben muss das Datum angegeben werden, ab dem gesucht werden soll.
        Wichtig: Sollen zum Beispiel Dateien gelistet werden, die ab dem 25.12.2016 geändert wurden, muss dort 12/25/2016 eingegeben werden!
      • Im Eingabefeld in der Mitte muss das Datum angegeben werden, ab dem nichts mehr gelistet werden soll.
        Wichtig: Sollen zum Beispiel keine Dateien gelistet werden, die ab dem 27.12.2016 geändert wurden, muss dort 12/27/2016 eingegeben werden!
      • Im Eingabefeld ganz unten muss der Ordner angegeben werden, der durchsucht werden soll. Voreingestellt ist hier Ordner C:\.
        [Blockierte Grafik: https://i.imagebanana.com/img/027e64ey/1.jpg]
    • Danach muss im Dialog der OK Button gedrückt werden. Der Dialog verschwindet dann.
    • Jetzt abwarten, bis der Suchvorgang abgeschlossen ist.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.

    Was tut das Script genau und wie tut es das?


    Die Dateisuche läuft hier über ein Powershell Script ab. Zur Suche verwendet das Script den Powershell Befehl Get-ChildItem. Signaturinfos werden über den Powershell Befehl Get-AuthenticodeSignature ausgelesen.


    Hinweise zur Auswertung der erhaltenen Daten


    Hier wieder die erzeuge Fixlog.txt von meinem Testrechner:
    Spoiler anzeigen

    Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version: 15-07-2017
    2. durchgeführt von MisterX (17-07-2017 16:58:31) Run:556
    3. Gestartet von C:\Farbar
    4. Geladene Profile: MisterX (Verfügbare Profile: MisterX & Eingeschränkt)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. ...
    10. *****************
    11. ========= Powershell: =========
    12. Files created between 12/24/2015 and 12/26/2015 in folder C:\
    13. FullName LastWriteTime Mode CreationTime Company Product Description MD5 Signature (Status) Signature (Companyname)
    14. -------- ------------- ---- ------------ ------- ------- ----------- --- ------------------ -----------------------
    15. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5904__Date__12_25_2015__Time_10_56_01PM__301__Log.txt 25.12.2015 22:56:05 -a--- 25.12.2015 22:56:01 21ecce4a201939e6f1192bc8c6ace4c6 UnknownError
    16. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__System Application__PID__1324__Date__12_25_2015__Time_10_21_06PM__502__Log.txt 25.12.2015 22:30:13 -a--- 25.12.2015 22:21:06 3d05f84c1bccce23bc6aa725a530a8b9 UnknownError
    17. C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Logs\protection-log-2015-12-25.xml 25.12.2015 22:18:51 -a--- 25.12.2015 22:18:51 73937e68a4ca0567be7f028fc591d75d UnknownError
    18. C:\Users\All Users\Malwarebytes\Malwarebytes Anti-Malware\Logs\protection-log-2015-12-25.xml 25.12.2015 22:18:51 -a--- 25.12.2015 22:18:51 73937e68a4ca0567be7f028fc591d75d UnknownError
    19. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__System Application__PID__1816__Date__12_24_2015__Time_09_54_00PM__861__Log.txt 25.12.2015 00:57:03 -a--- 24.12.2015 21:54:00 e6bd539d8467aa5fe8f8b4714da0b724 UnknownError
    20. C:\Windows\System32\Msdtc\Trace\dtctrace.log.2015-12-25-22-21-04-0958-00 25.12.2015 00:57:02 -a--- 23.01.2015 19:17:53 ba0c14c30f7d29b0ae5364eed1719984 UnknownError
    21. C:\Program Files\DebugDiag\Logs\DbgSVC_Date__12_24_2015__Time_03_32_51PM__473__Log.txt 25.12.2015 00:56:26 -a--- 24.12.2015 15:32:51 0362c5df11b553661d8d444c2ee76a38 UnknownError
    22. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4284__Date__12_25_2015__Time_12_56_01AM__742__Log.txt 25.12.2015 00:56:05 -a--- 25.12.2015 00:56:01 b8d4c9c021f07d3609e2e9805482ef3d UnknownError
    23. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5604__Date__12_25_2015__Time_12_48_58AM__905__Log.txt 25.12.2015 00:49:05 -a--- 25.12.2015 00:48:58 e88da02a5e68e8fb959adfe66665eac5 UnknownError
    24. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2568__Date__12_25_2015__Time_12_48_32AM__903__Log.txt 25.12.2015 00:48:37 -a--- 25.12.2015 00:48:32 e8f86ac77e1e94cec53dac6e38a89823 UnknownError
    25. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2636__Date__12_25_2015__Time_12_48_21AM__884__Log.txt 25.12.2015 00:48:26 -a--- 25.12.2015 00:48:21 e3a496cd5d5eb679ca60e4615c81eb81 UnknownError
    26. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5384__Date__12_25_2015__Time_12_48_05AM__861__Log.txt 25.12.2015 00:48:14 -a--- 25.12.2015 00:48:05 6d2317fa14072996e7e8661b0dbbd8bd UnknownError
    27. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__3912__Date__12_25_2015__Time_12_47_54AM__860__Log.txt 25.12.2015 00:47:59 -a--- 25.12.2015 00:47:54 c1058cb1fe6ababe77d353b14a71151a UnknownError
    28. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2704__Date__12_25_2015__Time_12_47_48AM__22__Log.txt 25.12.2015 00:47:52 -a--- 25.12.2015 00:47:48 e968dc96629abbf389df76277d0fe5c4 UnknownError
    29. C:\Users\MisterX\AppData\Roaming\ImgBurn\Graph Data Files\TSSTcorp_CDDVDW_TS-L633C_SC01_FREITAG-25-DEZEMBER-2015_00-17_MCC-004-00_MAX.ibg 25.12.2015 00:45:18 -a--- 25.12.2015 00:27:00 72818d0966023374bdc4d0d2758b91e2 UnknownError
    30. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5EBF36402483E863588B5CDAACBA7AB7658E1F37 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 195d4b2720f3c7e6c5bd8172336ef7dc UnknownError
    31. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\0B83603A40DD93DA33E27CFCAEF0D709B60B5E4F 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 1f0b9f314fdb4812c7df1b5ea5088672 UnknownError
    32. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D9F284C288A891295C7F43890ECB72799283F3A9 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 4ed26a12ea2209f34ccecbb8dd788dbb UnknownError
    33. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9C21A5090FEB1B64F6B6927447A68BC1B54D94CA 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 f908f3fe67b9e0c0b78f9721e337205d UnknownError
    34. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9C94A161FD59E2A77229DC6093B0B4C1FD1C0559 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 07e9e373b361bd7cd520ccb680cd87eb UnknownError
    35. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DDAC0A6552469A75B27DE356DD6C250D261FB715 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 bb916a1fad35a6a8d31393a892a441cd UnknownError
    36. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\0AFE5BAC94353573F99AAA72413F7A57E7180A02 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 d6651b716f326e7539e5b44c5cce2be7 UnknownError
    37. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D07CC645872D46E4D7E1A91F866D5000B5D544B4 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 f7d288fd53c3e2e9a998e82f0dd47f79 UnknownError
    38. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5096578925407CDD62B964AA64CEF01388065548 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 4ed6ff6772dcf042c23d4409e6570886 UnknownError
    39. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9D63A3EFDF8B02BFA4457394512B5E3151F03D7A 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 ab0cdafa6b546d796ee28bdea5637adb UnknownError
    40. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A7C2726C671E08682394703F1CD9A5AB87AE43B3 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 75551de57ee42cd8dbf7b30a4ddb6ae6 UnknownError
    41. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\3CFF6B7C88EA26CF71EFCDA6488168180DFB8487 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 e8dcdc74a87906ceeb8aa1d2dd30066b UnknownError
    42. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\18CAE5904DAF424FF88C5C77409F1CFD0F77751E 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 2866dc76143fe9207057f37ac2719ff9 UnknownError
    43. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\B6477280AFC9AAB816BEE2D98DBB4F1BB64AAFAF 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 181f0a46d0d1357a2554da4505165311 UnknownError
    44. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\3C3E462D053BE6C7C49B158E5D2E637D925E36DE 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 82c925f9c0b41a987b1bdd6ac0925e56 UnknownError
    45. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9A55E6EB836BFB838B35D37E51B1B60B898812F5 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 64504205240b8912f8805b055d5c23a0 UnknownError
    46. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\51D5B42A05D40392ED7CEEF0BEBE61B7984DE452 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 af4dc5cfc8489e968775f5b7a8483d2c UnknownError
    47. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D47315941B2983F64A26AA1002E1E32E6A742B03 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 ede8902f83a2c84b1a7b68d53b9e285e UnknownError
    48. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\048D4C0959995DA7D1541460E900A49182CC3B7B 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 040360c87adf8f0fed9990ef1e5e54d8 UnknownError
    49. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\61636E3A92D296A733CA11890C685BFA3909F90C 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 313c1843babcdbee511d9b2a92dc5d81 UnknownError
    50. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\3DA1432C628155A13C4B2CA04C11ACBBE001C37B 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 95f457902630c3e7086dea5d36f9b17c UnknownError
    51. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\4878A7463E3B5F00273179DCB11834D8424DF9E8 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 f49164fcb98755163a47d3508b895f65 UnknownError
    52. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\E1A42A3ADFD53A3BFA06810CF16453FF0B498725 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 bc6642ae1fac7b572754c6ce7ef0540f UnknownError
    53. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\4C82F419F0AD2E2744A846AA487DE62181E24A8D 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 0e3a6b82469cc74f46f88da57eab5fd7 UnknownError
    54. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\F6C5A3AB27A86C1E2669CC8F142DCD612C9EA2D8 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 a596defd4e919b02596c176cfc11a247 UnknownError
    55. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\802CC545A1686E433BE9143EDA5C9D67C647C950 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 66e98dd27b695bc9cad742538877af0f UnknownError
    56. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\72501BCC7048624D85AB35BD13CAF1827770A878 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 a24bee07dbbbdae31722b0c6dc83c567 UnknownError
    57. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\ACC611DB0EAA39A8CCB51837795E818B6A618403 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 81289f2e3ec97d0823ffe30ca0b24ef8 UnknownError
    58. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\875DFCD38DE15B3A700AA17E5943B1B9E8A17A8E 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 b112736839a0cd27a9bee37fd5e6ca91 UnknownError
    59. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\463FEDF8505B59767D13FD8DC3ECE262A47A3D66 25.12.2015 00:14:40 -a--- 25.12.2015 00:14:40 eb17d83df957f33fc1af9e6f77093730 UnknownError
    60. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2028__Date__12_25_2015__Time_12_14_12AM__70__Log.txt 25.12.2015 00:14:17 -a--- 25.12.2015 00:14:12 32584668b07e2389c8720798393f625f UnknownError
    61. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5444__Date__12_25_2015__Time_12_14_07AM__72__Log.txt 25.12.2015 00:14:11 -a--- 25.12.2015 00:14:07 43a15ed235e3d186db8cd16527f35f20 UnknownError
    62. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4904__Date__12_24_2015__Time_11_56_00PM__960__Log.txt 24.12.2015 23:56:05 -a--- 24.12.2015 23:56:00 e5650755881b66e1084ab8ad6ab42022 UnknownError
    63. C:\ProgramData\Garmin\Logs\CoreService\CoreService_2015-12-24.log 24.12.2015 23:35:49 -a--- 24.12.2015 14:53:47 3ffcb317f81418d282f2024dc1f93dd1 UnknownError
    64. C:\Users\All Users\Garmin\Logs\CoreService\CoreService_2015-12-24.log 24.12.2015 23:35:49 -a--- 24.12.2015 14:53:47 3ffcb317f81418d282f2024dc1f93dd1 UnknownError
    65. C:\ProgramData\Garmin\Logs\CoreService\Detailed\CoreServiceDetailed_2015-12-24.log 24.12.2015 23:35:49 -a--- 24.12.2015 14:53:47 234aeb96296a373a7c65b3e3100ea19b UnknownError
    66. C:\Users\All Users\Garmin\Logs\CoreService\Detailed\CoreServiceDetailed_2015-12-24.log 24.12.2015 23:35:49 -a--- 24.12.2015 14:53:47 234aeb96296a373a7c65b3e3100ea19b UnknownError
    67. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4952__Date__12_24_2015__Time_10_56_00PM__672__Log.txt 24.12.2015 22:56:05 -a--- 24.12.2015 22:56:00 bb2a30d076cf0628e649cdb99b498f9a UnknownError
    68. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__3552__Date__12_24_2015__Time_09_56_00PM__631__Log.txt 24.12.2015 21:56:05 -a--- 24.12.2015 21:56:00 78d30d2ac23fcdbddc85bdd1fc4723f2 UnknownError
    69. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__System Application__PID__2228__Date__12_24_2015__Time_03_32_52PM__316__Log.txt 24.12.2015 21:53:54 -a--- 24.12.2015 15:32:52 35c3ba86b813a947e23182c095831e88 UnknownError
    70. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5868__Date__12_24_2015__Time_08_56_01PM__165__Log.txt 24.12.2015 20:56:05 -a--- 24.12.2015 20:56:01 d99c11a58928fcd0ed1f0a9b0ca0dfb1 UnknownError
    71. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__PID__5032__Date__12_24_2015__Time_08_35_33PM__776__Log.txt 24.12.2015 20:35:38 -a--- 24.12.2015 20:35:33 159e32bff0b57fa2275cdd127e3f51b5 UnknownError
    72. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__1328__Date__12_24_2015__Time_08_35_21PM__776__Log.txt 24.12.2015 20:35:31 -a--- 24.12.2015 20:35:21 c54a2450dbfc62c2f612c360d3ef1d66 UnknownError
    73. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4976__Date__12_24_2015__Time_08_35_03PM__773__Log.txt 24.12.2015 20:35:11 -a--- 24.12.2015 20:35:03 0b5a217a0a79d63e95671668541af642 UnknownError
    74. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__PID__4704__Date__12_24_2015__Time_08_34_05PM__680__Log.txt 24.12.2015 20:34:13 -a--- 24.12.2015 20:34:05 1f0b47f604e07f2feed7207c2f8932b5 UnknownError
    75. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__PID__3792__Date__12_24_2015__Time_08_33_45PM__704__Log.txt 24.12.2015 20:33:50 -a--- 24.12.2015 20:33:45 e24f1bfa1f4750bc5a5ef40f876df13d UnknownError
    76. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__PID__5528__Date__12_24_2015__Time_08_33_26PM__706__Log.txt 24.12.2015 20:33:34 -a--- 24.12.2015 20:33:26 f4f6857ee1eccc9530d70f3f9c6d07e4 UnknownError
    77. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__344__Date__12_24_2015__Time_07_56_00PM__825__Log.txt 24.12.2015 19:56:05 -a--- 24.12.2015 19:56:00 c0fc643d03af0393cbeeb7d06e42efff UnknownError
    78. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\8AEE7A7D2FBA67F35EB6C6F0CD6BF85517D98F04 24.12.2015 19:36:34 -a--- 24.12.2015 19:36:34 5be128a4194cfa535dc74a9583b72b22 UnknownError
    79. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\CAF9DBF29A9E2F803479E6FF887A8F5DC3048812 24.12.2015 19:11:02 -a--- 24.12.2015 19:11:02 6770ba9b5777f517b784f0985e07d43a UnknownError
    80. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\518DE4BD24086D74409BD15B64B592F5444897FC 24.12.2015 19:10:58 -a--- 24.12.2015 19:10:58 4be694d955d43c24bb3a2d881d594354 UnknownError
    81. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\8496221B2B711801ECB8C5A61D2CE521B55307BE 24.12.2015 19:10:57 -a--- 24.12.2015 19:10:51 c2fc44a82af684317f441864f5c5cafc UnknownError
    82. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\E5AB933F4BAD9CD2066D46638AF1F3F77A0CB3A6 24.12.2015 19:10:55 -a--- 24.12.2015 19:10:55 085f36e9c992fbb9eaa04461e90ed810 UnknownError
    83. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\0FAE70407FB02C1F60FB41D744932FC2118DC727 24.12.2015 19:10:55 -a--- 24.12.2015 19:10:55 0c6d16a9fc5ef964928a7eb0d8313e33 UnknownError
    84. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\BB2E6A79AD10C182F13CBA755140637BF6E37389 24.12.2015 19:10:54 -a--- 24.12.2015 19:10:54 878d2458130056b3ad6214935b03730c UnknownError
    85. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\47404C96CA3717CC1F41DEEF1065BD237C97487D 24.12.2015 19:10:54 -a--- 24.12.2015 19:10:54 1bcd7ea2d7f41ad071a414191dda5d26 UnknownError
    86. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9F6AF74D0D842683976255D8ABB31C5DE5CAE9D5 24.12.2015 19:10:54 -a--- 24.12.2015 19:10:54 e3238cefdf6c02f2b60cbd6e7f33870e UnknownError
    87. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\ABF2EE9E5657F2AB6C183769190887005A199622 24.12.2015 19:10:54 -a--- 24.12.2015 19:10:54 1c58437fbc8c5edf9fd583397f4bcaee UnknownError
    88. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\CB652B6AF1F29FE6C6944FBE1663F65C920275D8 24.12.2015 19:10:54 -a--- 24.12.2015 19:10:54 2acd6aa7ac197a1a9b9a32ee0fcc3ada UnknownError
    89. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\BB8AF412154150FFE07C80348B42002F8C9E94DE 24.12.2015 19:10:53 -a--- 24.12.2015 19:10:53 ec6037dde373e58e4a15c3fde5c73af1 UnknownError
    90. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\60B3BFB2B30E9356FDB10C8BD6F448E0C3DF356F 24.12.2015 19:10:53 -a--- 24.12.2015 19:10:53 c6e1b5d95367b924916a082794d29e2f UnknownError
    91. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A37D631F4C0A52683188933A7B7503C4FF4EBE1A 24.12.2015 19:10:53 -a--- 24.12.2015 19:10:53 27b375a8e6f8e5f0ab512727a41809e6 UnknownError
    92. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DA6006EFE29B53541385CD46FECF552633A9312E 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:51 b3f4f4ad17c0ba4fd7bf0e0413731a53 UnknownError
    93. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\78749DD32CEDDE42B980D9FC9B14A1549B473832 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:51 f245165a3d246da08e21b48441172e48 UnknownError
    94. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\97CAA0EEDD963A2C160FB30C9D5F315A1AADA5E7 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:51 29acfcc49d902d46a9490564982e7003 UnknownError
    95. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\46A3C6EF23B1FDE4B79BC0544240134CA4BCE139 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:46 e0d1f23e2548c3f5194896dada378b81 UnknownError
    96. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5252AB4743D48A247444BBCB2F820BE3A267FC17 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:46 a85e1ed156a3c17f7413952a0bb9787d UnknownError
    97. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\594749352F25D71A43D624809D7799C08974C01D 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:51 ea7d58af24404a92355e6715b3682907 UnknownError
    98. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\FA33C7F836100820EF22421E9F2E076837D20CA2 24.12.2015 19:10:51 -a--- 24.12.2015 19:10:51 365c4480df0a960dd54c426ca6456971 UnknownError
    99. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5869E37499B2A995860A573638D85EE07B94E689 24.12.2015 19:10:50 -a--- 24.12.2015 19:10:50 bb50fbf4c1e1aeca13ea21dcbf28aa09 UnknownError
    100. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\BB85BC430C2268BF7EEFF45CE1715C1075CA8D4B 24.12.2015 19:10:48 -a--- 24.12.2015 19:10:48 b425af2a7a710c127bd3d3161c847e2a UnknownError
    101. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D3998452C36AD9888FE3EEF4D65FA0F87842DD83 24.12.2015 19:10:48 -a--- 24.12.2015 19:10:48 95860b62f203ddb5ed136b6a084da7ab UnknownError
    102. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\18BB414DE2AD36FA7B24BF671BCE5184E783F61B 24.12.2015 19:10:48 -a--- 24.12.2015 19:10:48 5ff55a18705d219ccebae0eb40d0400b UnknownError
    103. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\7D3AE1795FB2CD8C521DE19E2FBAEB29C2C9D827 24.12.2015 19:10:47 -a--- 24.12.2015 19:10:47 9e0d4b96e30f40963c35a7fdd2498b47 UnknownError
    104. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\C31906583DAACE8FC33785131E01B7E73108BE9D 24.12.2015 19:10:46 -a--- 24.12.2015 19:10:46 0e9a267be52a21f5c27f9b51091f1b2c UnknownError
    105. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DA22993E855119F5C634AF6E798896E9367951DB 24.12.2015 19:10:45 -a--- 24.12.2015 19:10:45 af0cd36127626f2bdf3fb3bc95a93232 UnknownError
    106. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\69A69B12FAA6D5791BB734C426E74375879A7D3D 24.12.2015 19:10:36 -a--- 24.12.2015 19:10:36 aff0188797c9189a3d635166d9d510af UnknownError
    107. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\37FC4109E450312CDE66818766E96F25DC8AD563 24.12.2015 19:10:34 -a--- 24.12.2015 19:10:25 27c4e3788b9cbccebe9d0f1e3da0a000 UnknownError
    108. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\C886C15B36E63849FB9E86DCC97456303F590459 24.12.2015 19:10:34 -a--- 24.12.2015 19:10:25 fbbe0a5f90e9f0a2f59cc0f91769e890 UnknownError
    109. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DD7955ED55E47999EA8C7EA435E8A9998516745D 24.12.2015 19:10:34 -a--- 24.12.2015 19:10:25 952e53a939e1562eccd5c7d92c85473a UnknownError
    110. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\35B56E634A54DF2D40DA90E1E2BDA86212729CA3 24.12.2015 19:10:24 -a--- 24.12.2015 19:10:24 5b5734662f418c4387b8a26154db8388 UnknownError
    111. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\01EE1D9C9D109EE01B5C4FF56B9FA81530995528 24.12.2015 19:10:24 -a--- 24.12.2015 19:10:24 52085738e2284cde190ae24a7a92e803 UnknownError
    112. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\3C0430B91308DAC58C110ABDBD11078F3A04356C 24.12.2015 19:10:23 -a--- 24.12.2015 19:10:23 4f225dc13766bea9fed666c51c7c4f0b UnknownError
    113. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\019B52321A6087D3476E939BD3E062095159C585 24.12.2015 19:10:22 -a--- 24.12.2015 19:10:22 92ab08ca87e013c21c280add9b0dfb84 UnknownError
    114. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\33E6E6EFAB53F15F8A90C33D4D0D2EA309149D5A 24.12.2015 19:10:20 -a--- 24.12.2015 19:10:20 e31570b7bb2f029ab0403e7bc0bbbe17 UnknownError
    115. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\AB066B220C5EB8B9F55A17E0190073E9DC932566 24.12.2015 19:10:16 -a--- 24.12.2015 19:10:16 0b5bee5ba1d99ab27b0e20741a19430d UnknownError
    116. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D518476409986D6211C0BD6C064556FC0FDEE38C 24.12.2015 19:10:16 -a--- 24.12.2015 19:10:16 80502a2743c79382d39aa0a78db9c9b8 UnknownError
    117. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5C8691779F9C287F2DC485A863B5A5B09434977B 24.12.2015 19:10:16 -a--- 24.12.2015 19:10:16 d314492d975c6a590fb5115075e07606 UnknownError
    118. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\36088ACA2A0A01514CBD1B95B9677963DD40F476 24.12.2015 19:10:16 -a--- 24.12.2015 19:10:16 57ff98086f5bdb1fbf8a5b067b690f09 UnknownError
    119. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\43AD6B60373837300CC26A73CCA0774F5CA8390D 24.12.2015 19:10:15 -a--- 24.12.2015 19:10:15 4d209b6cf7e70918c8e9c703bbfb7eef UnknownError
    120. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\85C9D82FF5416E1484C1991A22DC60D151C9B00D 24.12.2015 19:10:14 -a--- 24.12.2015 19:10:14 af2dc54aff10aca6e0185242b7bb61e7 UnknownError
    121. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\F42AD1439B4035C17C13C17CEFAD3025C670BC75 24.12.2015 19:10:12 -a--- 24.12.2015 19:10:12 15158d9ee030f59a79fec3bf4af0ae8b UnknownError
    122. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5BDF86D78F74483E2CF9173F4D81FDD647727F3D 24.12.2015 19:10:12 -a--- 24.12.2015 19:10:12 476f948fd43316b8780a96fa0d8f2ed2 UnknownError
    123. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\EE78E8488570F0285C8601B7AE34A57ADAAE3813 24.12.2015 19:10:10 -a--- 24.12.2015 19:10:10 c6f1ecc5c81eea6bad8a85dfc7cbf458 UnknownError
    124. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A19CC3873A8ED2E9E3FC6FF99B03AAC5A6BE09D1 24.12.2015 19:10:09 -a--- 24.12.2015 19:10:09 f0192048802d0bcaf37a44744e2d663e UnknownError
    125. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\thumbnails\0234ecb7469770f2988defbbfd342ce3.png 24.12.2015 19:10:05 -a--- 24.12.2015 19:10:05 dd45839d5995849c689f5337eb505c2c UnknownError
    126. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\E2AE3784D6B8DCE80237B862E7682A48E6FEF9B5 24.12.2015 19:09:56 -a--- 24.12.2015 19:09:56 b2aed57f002108e51d15fa52e1a0d9e3 UnknownError
    127. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2068__Date__12_24_2015__Time_07_09_03PM__175__Log.txt 24.12.2015 19:09:12 -a--- 24.12.2015 19:09:03 8e00bee987983764639a59427fa6e9f3 UnknownError
    128. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5720__Date__12_24_2015__Time_06_56_00PM__231__Log.txt 24.12.2015 18:56:05 -a--- 24.12.2015 18:56:00 9b5ca2c2ed19491c8d6b683612d33cb4 UnknownError
    129. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4820__Date__12_24_2015__Time_06_42_32PM__527__Log.txt 24.12.2015 18:42:37 -a--- 24.12.2015 18:42:32 da360bc70e04d805fa1cec3909dbd5a4 UnknownError
    130. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__540__Date__12_24_2015__Time_06_42_32PM__320__Log.txt 24.12.2015 18:42:36 -a--- 24.12.2015 18:42:32 6a6b7038ec376ca31e01fde217e9cd6e UnknownError
    131. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__3196__Date__12_24_2015__Time_05_56_01PM__261__Log.txt 24.12.2015 17:56:05 -a--- 24.12.2015 17:56:01 0fdac7ba03716ab2dcd77d78aaf7f1f0 UnknownError
    132. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4600__Date__12_24_2015__Time_04_56_00PM__358__Log.txt 24.12.2015 16:56:05 -a--- 24.12.2015 16:56:00 c67b9eacb863063e2884038fef6b5461 UnknownError
    133. C:\Users\MisterX\AppData\Roaming\Mozilla\Firefox\Profiles\gf6edame.default\bookmarkbackups\bookmarks-2016-04-23_114_LynepNBe7lbuzzCzlWkXQA==.jsonlz4 24.12.2015 16:09:14 -a--- 24.12.2015 16:09:14 0a3df53c81dd1b9fb9d729aefe83ed98 UnknownError
    134. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__2312__Date__12_24_2015__Time_03_56_00PM__436__Log.txt 24.12.2015 15:56:05 -a--- 24.12.2015 15:56:00 3c827eb1140c57da813ce75b08851807 UnknownError
    135. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\F640DE11E3DBBBCB69FB4E9DF5389F5283514EB9 24.12.2015 15:43:47 -a--- 24.12.2015 15:43:42 d39ddad54082d11a60cb989214915f9f UnknownError
    136. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9570D0180475E29178BDD5C5BDA56E08579D98E9 24.12.2015 15:41:52 -a--- 24.12.2015 15:41:52 f873f21b7e8399da661c85931aff3d37 UnknownError
    137. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\F8954516C22F9F7BB4B1C467AAF8966852739294 24.12.2015 15:41:51 -a--- 24.12.2015 15:41:51 523afb080a45360bd797cbcaf7f05a90 UnknownError
    138. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A5A7D9F985BCCD5A91F9E38755BD58C01BD5F506 24.12.2015 15:41:48 -a--- 24.12.2015 15:41:43 d616166e20ee7676f4d07534ba3cd414 UnknownError
    139. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\0FF9738B7AAB5AB77C18EFDB8692C62270CD05B2 24.12.2015 15:41:45 -a--- 24.12.2015 15:41:45 25d61f2d7ec5e80b823b48876557710a UnknownError
    140. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\699325A8673A23151F2816F35C42F72CA059C34B 24.12.2015 15:41:45 -a--- 24.12.2015 15:41:45 e829bef04333c94b0d0dfc1aae842f19 UnknownError
    141. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\5286F278A1A82BCB49D67C474AFDCC021876931C 24.12.2015 15:38:45 -a--- 24.12.2015 15:38:43 103d4220eb56ed53245a0806145e8ede UnknownError
    142. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\7F9C53CF2F1C7C3A5A4C8972A91F973CFA15AEFD 24.12.2015 15:38:43 -a--- 24.12.2015 15:38:43 63559a357ad8de35a9a47942bd3e1c05 UnknownError
    143. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\744C867AD1C8DEE73BD421C12BD95BB253DF2447 24.12.2015 15:38:42 -a--- 24.12.2015 15:38:42 41fe91e3319a003c5148ebb489c74d5f UnknownError
    144. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9F731ACAA3B61A06012DA1CF965DC1650C249DB1 24.12.2015 15:38:41 -a--- 24.12.2015 15:38:41 e5327f21919cc8cc511cd573be6addac UnknownError
    145. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A7C3CDDCDB43282CC336195F20E87F3187968696 24.12.2015 15:38:25 -a--- 24.12.2015 15:38:15 29c52be9e9f8b591ccbc9531eb96c346 UnknownError
    146. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\77C0679F294F4580DD6764F18223A730A73F0E3B 24.12.2015 15:38:10 -a--- 24.12.2015 15:38:10 100172cb8975c6b96d1e8787674abb03 UnknownError
    147. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\51AD55327970E2D5F8170A86A4E5F0BAF10F0E77 24.12.2015 15:37:58 -a--- 24.12.2015 15:37:58 00c6de694eac467443cbc40f89ecd294 UnknownError
    148. C:\Users\MisterX\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\WQN9Q3GD\aa.online-metrix.net\fpc.swf 24.12.2015 15:37:52 d---- 24.12.2015 15:37:51
    149. C:\Users\MisterX\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\WQN9Q3GD\aa.online-metrix.net 24.12.2015 15:37:51 d---- 24.12.2015 15:37:51
    150. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\BB895EBC8039F64A72CAEE3C54726C3CE6024DF7 24.12.2015 15:37:51 -a--- 24.12.2015 15:37:51 f4d389be1896ecb6dd04c2525588a59b UnknownError
    151. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\33383ABE0B9FB248E055FA1883D5C1772EE4B68B 24.12.2015 15:37:51 -a--- 24.12.2015 15:37:51 a1d4e423f3f15caee0022938bb6e4a65 UnknownError
    152. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\9DF9719AB6B62599650B406C3622CBB3CBE9E394 24.12.2015 15:37:50 -a--- 24.12.2015 15:37:46 d223b0a41c2488da4a195125eb480893 UnknownError
    153. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\F0C702341BC65E1BD7A2787A63FC48E4E1010861 24.12.2015 15:37:50 -a--- 24.12.2015 15:37:45 d0c46741cdc4a9512615358f8ee63271 UnknownError
    154. C:\Users\MisterX\AppData\Roaming\Macromedia\Flash Player\#SharedObjects 24.12.2015 15:37:49 d---- 01.06.2014 14:59:44
    155. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\215246868BF9AB867063945B053FE1B20079DD21 24.12.2015 15:37:47 -a--- 24.12.2015 15:37:47 79d917a4bdd72dd8b5a7a115a14a55e3 UnknownError
    156. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A96B0E514E2A0B775F62394C8537E078E983B589 24.12.2015 15:37:47 -a--- 24.12.2015 15:37:47 5eab5ca911a06fef7b1df923cef2d818 UnknownError
    157. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\8F2A171F64F5AFB5A8140AB60A7A0FC196101DD3 24.12.2015 15:37:47 -a--- 24.12.2015 15:37:47 9d648e258514c9a843ebda28ce8bab15 UnknownError
    158. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\D48F111D2E875EB95C7EA1648BCD307195CC6983 24.12.2015 15:37:47 -a--- 24.12.2015 15:37:47 5a5d54ae5bcf57b7c9579064c490b902 UnknownError
    159. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DB83FC691E21BC77F6D161A9BD5015D7D63E2BB4 24.12.2015 15:37:47 -a--- 24.12.2015 15:37:47 1e927f98fd907d1fd0a0797cd40fb711 UnknownError
    160. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\A92585A4CEA7006F19DB567D3D86081A6DA68904 24.12.2015 15:37:46 -a--- 24.12.2015 15:37:46 9e997a26545e7507b63b70c0043bfcdd UnknownError
    161. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\B1D16EFCCB0C370A1B941071C48E61E9332F2FFD 24.12.2015 15:37:46 -a--- 24.12.2015 15:37:46 6d46ff537b6e7b689e8d1684b53ae363 UnknownError
    162. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\66B054DAEF124BC4992CD5CCF89B29D1DA8406C2 24.12.2015 15:37:46 -a--- 24.12.2015 15:37:46 576338b6d88ac01374def47b727c2f2f UnknownError
    163. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\8AB9E16D994626713672A993B6384E43E4D3C427 24.12.2015 15:37:45 -a--- 24.12.2015 15:37:45 db24e63285ef1bb1f5900651cd694809 UnknownError
    164. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\293F70941F9B8AF251C06C2E4A863E347D197E0B 24.12.2015 15:37:45 -a--- 24.12.2015 15:37:45 41ee7b60f40b3728948bdfb580e25156 UnknownError
    165. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\DDF693C3602F958F51AD0509A782B2828EB0689B 24.12.2015 15:37:44 -a--- 24.12.2015 15:37:41 a4073f28844d3911999205c8664e1c99 UnknownError
    166. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\4C33ECF62DB6D42AE3FD6B33CC0C50565A354D13 24.12.2015 15:37:44 -a--- 24.12.2015 15:37:44 b4556cc7624c1b83ab6c5ff42827dd8c UnknownError
    167. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\09E96A896D2B94FE9F37815F7BCD83CF48FCA3C1 24.12.2015 15:37:44 -a--- 24.12.2015 15:37:44 7b9bb8dc2f60e568a5f397b066492509 UnknownError
    168. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\4E3C6FCAEC29EB6A7AA05C9E7EA6B762F488D6CD 24.12.2015 15:37:42 -a--- 24.12.2015 15:37:42 cfac2294f0f01c1965072a67f21b75d2 UnknownError
    169. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\8FFE51E052F566CCF41BD4FE5079D7B9EC6B15EC 24.12.2015 15:37:41 -a--- 24.12.2015 15:37:41 e4465a261712ae0894ecd2adbf28e69d UnknownError
    170. C:\Users\MisterX\AppData\Local\Mozilla\Firefox\Profiles\gf6edame.default\cache2\entries\21683B9803B49D89BD4C03D2C3542BB746C49F1D 24.12.2015 15:37:40 -a--- 24.12.2015 15:37:40 535ee533f7096ed08c57d008d91e64b9 UnknownError
    171. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5968__Date__12_24_2015__Time_03_35_23PM__998__Log.txt 24.12.2015 15:35:25 -a--- 24.12.2015 15:35:23 63fc953ade80c8e1f2aa9a13ec548eed UnknownError
    172. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5016__Date__12_24_2015__Time_03_33_29PM__8__Log.txt 24.12.2015 15:33:33 -a--- 24.12.2015 15:33:29 7ff42849c9809c985ff7201394d8f5cf UnknownError
    173. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4816__Date__12_24_2015__Time_03_33_04PM__672__Log.txt 24.12.2015 15:33:09 -a--- 24.12.2015 15:33:04 5702bcdc583b15fb2c3ff02439b8aec4 UnknownError
    174. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__4216__Date__12_24_2015__Time_03_32_53PM__623__Log.txt 24.12.2015 15:33:04 -a--- 24.12.2015 15:32:53 f83e90ab7358e7a0c8b300355a710665 UnknownError
    175. C:\Users\All Users\Malwarebytes\Malwarebytes Anti-Malware\Logs\protection-log-2015-12-24.xml 24.12.2015 15:30:44 -a--- 24.12.2015 14:53:48 6c524dc539abefcf2d1566437816fb68 UnknownError
    176. C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Logs\protection-log-2015-12-24.xml 24.12.2015 15:30:44 -a--- 24.12.2015 14:53:48 6c524dc539abefcf2d1566437816fb68 UnknownError
    177. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\dllhost__System Application__PID__4340__Date__12_24_2015__Time_02_55_55PM__35__Log.txt 24.12.2015 14:56:59 -a--- 24.12.2015 14:55:55 bd05b7c9552d033892d1e80ab7a0a3c8 UnknownError
    178. C:\Windows\System32\Msdtc\Trace\dtctrace.log.2015-12-24-15-32-49-0102-00 24.12.2015 14:56:58 -a--- 23.01.2015 19:17:53 ba89f769613e4f9fe8801255f9c70bec UnknownError
    179. C:\Program Files\DebugDiag\Logs\DbgSVC_Date__12_24_2015__Time_02_55_54PM__396__Log.txt 24.12.2015 14:56:52 -a--- 24.12.2015 14:55:54 254c0df08c2c7b634caa907a9c3e8077 UnknownError
    180. C:\Program Files\DebugDiag\Logs\Crash rule for all IIS_COM+ related processes\DllHost__PID__5040__Date__12_24_2015__Time_02_56_00PM__683__Log.txt 24.12.2015 14:56:05 -a--- 24.12.2015 14:56:00 f144366277888035ba3e39e6f37e2d55 UnknownError
    181. __________________________________________________________
    182. ========= Ende von Powershell: =========
    183. ==== Ende vom Fixlog 17:04:03 ====
    Alles anzeigen

    Unter FullName ist in der Datei der Dateiname zu finden. Unter LastWriteTime steht das letzte Änderungsdatum der jeweiligen Datei. Mode gibt die Dateiattribute an. Unter CreationTime steht das Erstellungsdatum. Unter Company steht der Firmenname aus der Dateiresource (wenn eine vorhanden ist). Unter Product steht der Produktname aus der Dateiresource (wenn eine vorhanden ist). Unter Description steht die Dateibeschreibung aus der Dateiresource (wenn eine vorhanden ist). Unter MD5 ist die MD5 der Datei zu finden.
    Unter Signature (Status) sind Hinweise darauf zu finden, ob die jeweilige Datei korrekt signiert ist. Unter Signature (Companyname) steht der Firma, die die Datei signieren lassen hat.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 9 mal editiert, zuletzt von AHT ()

  • Mit Farbar LOGs von Avast einsammeln

    Wofür kann man das Script nutzen?

    Der Guard von Avast legt im System einiges an LOGs ab, die zum Beispiel bei einer Analyse des Problems nach einem Virenbefall helfen könnten.
    Das hier abgelegte Script sammelt diese LOGs ein und stellt sie dem User zur Verfügung. Das Script funktionier ab Windows Vista.

    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext

    Quellcode: Fixlist.txt

    1. StartPowershell:
    2. set-content -path 'Avast.txt' -value '**************************************************************************************************'
    3. add-content -path 'Avast.txt' -value 'Avast Filesystem Shield LOG (FileSystemShield.txt)'
    4. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    5. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Report\FileSystemShield.txt"
    6. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    7. add-content -path 'Avast.txt' -value ' '
    8. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    9. add-content -path 'Avast.txt' -value 'Avast Email Shield LOG (EmailShield.txt)'
    10. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    11. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Report\EmailShield.txt"
    12. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    13. add-content -path 'Avast.txt' -value ' '
    14. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    15. add-content -path 'Avast.txt' -value 'Avast Web Shield LOG (WebShield.txt)'
    16. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    17. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Report\WebShield.txt"
    18. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    19. add-content -path 'Avast.txt' -value ' '
    20. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    21. add-content -path 'Avast.txt' -value 'Avast Bootscan LOG (aswBoot.txt)'
    22. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    23. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Report\aswBoot.txt"
    24. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    25. add-content -path 'Avast.txt' -value ' '
    26. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    27. add-content -path 'Avast.txt' -value 'Avast Browser-Cleanup LOG (Avast-Browser-Cleanup.log)'
    28. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    29. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Log\Avast-Browser-Cleanup.log"
    30. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    31. add-content -path 'Avast.txt' -value ' '
    32. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    33. add-content -path 'Avast.txt' -value 'Avast Browser-Cleanup LOG (Avast-Browser-Cleanup-silent.log)'
    34. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    35. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Log\Avast-Browser-Cleanup-silent.log"
    36. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    37. add-content -path 'Avast.txt' -value ' '
    38. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    39. add-content -path 'Avast.txt' -value 'Avast Selfdefence LOG (selfdef.log)'
    40. add-content -path 'Avast.txt' -value '**************************************************************************************************'
    41. $AvastLogPath = $env:ProgramData + "\AVAST Software\Avast\Log\Selfdef.log"
    42. add-content -path 'Avast.txt' -value (get-content $AvastLogPath)
    43. add-content -path 'Avast.txt' -value ' '
    44. Type Avast.txt
    45. Del Avast.txt /Q
    46. EndPowershell:
    Alles anzeigen
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?

    Das Script kopiert über Powershell die LOGs vom Guard von Avast in die Datei Avast.txt. Danach wird der Inhalt der Datei Avast.txt in die Datei Fixlog.txt übernommen.


    Hinweise zur Auswertung der erhaltenen Daten

    Es werden hier nur LOGs des Guards geholt, keine LOGs von Scans!
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 9 mal editiert, zuletzt von AHT ()

  • Rechnereinschränkungen auslesen

    Wofür kann man das Script nutzen?

    Es kann vorkommen, dass auf Rechnern manche Systemfunktionen blockiert sind und man zum Beispiel auf folgende Meldungen stößt:

    [Blockierte Grafik: https://i.imagebanana.com/img/h3bk7fhu/1.jpg]
    [Blockierte Grafik: https://i.imagebanana.com/img/55p3nd7p/2.JPG]
    Schuld daran sind in der Regel gesetzte Gruppenrichtlinien (sogenannte Policies), die über den in den Pro-Versionen von Windows enthaltenen Gruppenrichtlinieneditor gesetzt werden können. Aber auch in den Home-Versionen von Windows können solche Einschränkungen gesetzt werden - über festgelegte Werte in der Registry. Diese Werte können sich an unterschiedlichen Stellen in der Registry befinden. Oft gibt es mehrere Möglichkeiten durch Registryeinträge die gleiche Einschränkung zu bewirken.
    Das hier abgelegte Script liest die für diese Einschränkungen zuständigen Registryschlüssel aus und listet alle Werte dort in einer Textdatei. Ahand einer Internetsuche lässt sich dann meist leicht feststellen, ob eine dort gesetzter Wert eventuell die Einschränkung regelt, die man nicht auf dem Rechner haben möchte und wie man sie am besten zurücksetzt. In der Regel sind Schlüssel und Werte auch nach der Einstellung benannt, die gesetzt werden soll.
    Aber Vorsicht! Solche Einstellungen sind nie grundlos gesetzt! Man muss sich also auch um den Grund kümmern, warum diese Einstellung besteht. Das kann zum Beispiel ein Befall durch eine unbekannte Malware sein, ein Eingriff eines anderen in den Rechner oder eine installierte Software, die dann in Konflikt mit einer weiteren Software stehen würde, wenn der Eintrag wieder zurückgesetzt wird.


    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode: Fixlist.txt

    1. Start
    2. ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    3. ExportKey: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    4. ExportKey: HKEY_CURRENT_USER\SOFTWARE\Policies
    5. ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    6. End
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.



    Was tut das Script genau und wie tut es das?

    Das Script nutzt den Befehl ExportKey: von Farbar, um rekursiv alle Registrywerte und Schlüssel unter folgenden Schlüsseln zu listen:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    • HKEY_CURRENT_USER\SOFTWARE\Policies
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    Unter diesen Schlüsseln können sich Policies befinden, die das jeweilige Gerät einschränken.
    Das Script schreibt die Ergebnisse in die Datei Fixlog.txt.


    Hinweise zur Auswertung der erhaltenen Daten

    Hier einmal ein Beispiel für so eine Fixlog.txt:
    Spoiler anzeigen


    Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version: 08-03-2017
    2. durchgeführt von MisterX (09-03-2017 14:41:31) Run:515
    3. Gestartet von C:\Farbar
    4. Geladene Profile: MisterX (Verfügbare Profile: MisterX & Eingeschränkt)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. Start
    10. ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    11. ExportKey: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    12. ExportKey: HKEY_CURRENT_USER\SOFTWARE\Policies
    13. ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    14. End
    15. *****************
    16. ================== ExportKey: ===================
    17. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies]
    18. [HKLM\SOFTWARE\Policies\Adobe]
    19. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader]
    20. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0]
    21. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown]
    22. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultExecMenuItems]
    23. "tWhiteList"="Close|GeneralInfo|Quit|FirstPage|PrevPage|NextPage|LastPage|ActualSize|FitPage|FitWidth|FitHeight|SinglePage|OneColumn|TwoPages|TwoColumns|ZoomViewIn|ZoomViewOut|ShowHideBookmarks|ShowHideThumbnails|Print|GoToPage|ZoomTo|GeneralPrefs|SaveAs|FullScreenMode|OpenOrganizer|Scan|Web2PDF:OpnURL|AcroSendMail:SendMail|Spelling:Check Spelling|PageSetup|Find|FindSearch|GoBack|GoForward|FitVisible|ShowHideArticles|ShowHideFileAttachment|ShowHideAnnotManager|ShowHideFields|ShowHideOptCont|ShowHideModelTree|ShowHideSignatures|InsertPages|ExtractPages|ReplacePages|DeletePages|CropPages|RotatePages|AddFileAttachment|FindCurrentBookmark|BookmarkShowLocation|GoBackDoc|GoForwardDoc|DocHelpUserGuide|HelpReader|rolReadPage|HandMenuItem|ZoomDragMenuItem|CollectionPreview|CollectionHome|CollectionDetails|CollectionShowRoot|&Pages|Co&ntent|&Forms|Action &Wizard|Recognize &Text|P&rotection|&Sign && Certify|Doc&ument Processing|Print Pro&duction|Ja&vaScript|&Accessibility|Analy&ze|&Annotations|D&rawing Markups|Revie&w"
    24. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultLaunchAttachmentPerms]
    25. "tBuiltInPermList"="version:1|.ade:3|.adp:3|.app:3|.arc:3|.arj:3|.asp:3|.bas:3|.bat:3|.bz:3|.bz2:3|.cab:3|.chm:3|.class:3|.cmd:3|.com:3|.command:3|.cpl:3|.crt:3|.csh:3|.desktop:3|.dll:3|.exe:3|.fxp:3|.gz:3|.hex:3|.hlp:3|.hqx:3|.hta:3|.inf:3|.ini:3|.ins:3|.isp:3|.its:3|.job:3|.js:3|.jse:3|.ksh:3|.lnk:3|.lzh:3|.mad:3|.maf:3|.mag:3|.mam:3|.maq:3|.mar:3|.mas:3|.mat:3|.mau:3|.mav:3|.maw:3|.mda:3|.mdb:3|.mde:3|.mdt:3|.mdw:3|.mdz:3|.msc:3|.msi:3|.msp:3|.mst:3|.ocx:3|.ops:3|.pcd:3|.pi:3|.pif:3|.prf:3|.prg:3|.pst:3|.rar:3|.reg:3|.scf:3|.scr:3|.sct:3|.sea:3|.shb:3|.shs:3|.sit:3|.tar:3|.taz:3|.tgz:3|.tmp:3|.url:3|.vb:3|.vbe:3|.vbs:3|.vsmacros:3|.vss:3|.vst:3|.vsw:3|.webloc:3|.ws:3|.wsc:3|.wsf:3|.wsh:3|.z:3|.zip:3|.zlo:3|.zoo:3|.pdf:2|.fdf:2|.jar:3|.pkg:3|.tool:3|.term:3"
    26. [HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultLaunchURLPerms]
    27. "tFlashContentSchemeWhiteList"="http|https|ftp|rtmp|rtmpe|rtmpt|rtmpte|rtmps|mailto"
    28. "tSponsoredContentSchemeWhiteList"="http|https"
    29. "tSchemePerms"="version:2|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:2|file:1|rlogin:3|javascript:4|data:3|jar:3|vbscript:3"
    30. [HKLM\SOFTWARE\Policies\Hewlett-Packard]
    31. [HKLM\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins]
    32. [HKLM\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins\{4788DB03-CFA1-4eb2-9C53-81361E6BDBD3}]
    33. "Path"="C:\Program Files\Hewlett-Packard\Shared\CaslWmi.dll"
    34. [HKLM\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins\{8F61AFD3-1B2E-4c96-8F9E-8E58F992BD56}]
    35. "Path"="C:\Program Files\Hewlett-Packard\Shared\CaslSmBios.dll"
    36. [HKLM\SOFTWARE\Policies\Hewlett-Packard\HP Software Framework]
    37. [HKLM\SOFTWARE\Policies\Hewlett-Packard\HP Software Framework\{41290DB4-0C21-46ad-9A12-C40FD90E1B0B}]
    38. "NetworkDeviceCount"="3"
    39. "Wireless.GlobalChanged"=""
    40. "Wireless.GlobalChanged.2.0"=""
    41. [HKLM\SOFTWARE\Policies\Hewlett-Packard\hpDrvMntSvc]
    42. "HpToolsVolumeName"="*********************************************************************************************************************************"
    43. [HKLM\SOFTWARE\Policies\Microsoft]
    44. [HKLM\SOFTWARE\Policies\Microsoft\Cryptography]
    45. [HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration]
    46. [HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL]
    47. [HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
    48. [HKLM\SOFTWARE\Policies\Microsoft\Microsoft Antimalware]
    49. [HKLM\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\MpEngine]
    50. "MpEnablePus"="1"
    51. [HKLM\SOFTWARE\Policies\Microsoft\Peernet]
    52. "Disabled"="0"
    53. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates]
    54. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\CA]
    55. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\Certificates]
    56. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CRLs]
    57. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CTLs]
    58. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed]
    59. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates]
    60. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CRLs]
    61. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CTLs]
    62. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root]
    63. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates]
    64. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\CRLs]
    65. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\CTLs]
    66. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\trust]
    67. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\Certificates]
    68. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CRLs]
    69. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CTLs]
    70. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople]
    71. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\Certificates]
    72. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CRLs]
    73. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CTLs]
    74. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher]
    75. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates]
    76. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs]
    77. [HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs]
    78. [HKLM\SOFTWARE\Policies\Microsoft\Windows]
    79. [HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
    80. [HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    81. [HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    82. [HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSearching]
    83. "DontPromptForWindowsUpdate"="1"
    84. "DontSearchWindowsUpdate"="0"
    85. [HKLM\SOFTWARE\Policies\Microsoft\Windows\GWX]
    86. [HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec]
    87. [HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy]
    88. [HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local]
    89. [HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections]
    90. "NC_PersonalFirewallConfig"="0"
    91. [HKLM\SOFTWARE\Policies\Microsoft\Windows\safer]
    92. [HKLM\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
    93. "authenticodeenabled"="0"
    94. [HKLM\SOFTWARE\Policies\Microsoft\Windows\System]
    95. [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
    96. [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
    97. [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine]
    98. "MpEnablePus"="1"
    99. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT]
    100. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion]
    101. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS]
    102. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList]
    103. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures]
    104. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\FirstNetwork]
    105. "Category"="0"
    106. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
    107. [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection]
    108. "KnownDllList"="nlhtml.dll"
    109. === Ende von ExportKey ===
    110. ================== ExportKey: ===================
    111. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies]
    112. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
    113. "ScanWithAntiVirus"="3"
    114. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    115. "BindDirectlyToPropertySetStorage"="0"
    116. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
    117. "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="1"
    118. "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"="1073741857"
    119. "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="32"
    120. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings]
    121. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    122. "ConsentPromptBehaviorAdmin"="2"
    123. "ConsentPromptBehaviorUser"="1"
    124. "EnableInstallerDetection"="1"
    125. "EnableLUA"="1"
    126. "EnableSecureUIAPaths"="1"
    127. "EnableVirtualization"="1"
    128. "PromptOnSecureDesktop"="1"
    129. "ValidateAdminCodeSignatures"="0"
    130. "dontdisplaylastusername"="0"
    131. "legalnoticecaption"=""
    132. "legalnoticetext"="**"
    133. "scforceoption"="0"
    134. "shutdownwithoutlogon"="1"
    135. "undockwithoutlogon"="1"
    136. "FilterAdministratorToken"="0"
    137. "EnableUIADesktopToggle"="0"
    138. "MaxGPOScriptWait"="600"
    139. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
    140. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
    141. [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
    142. "CF_TEXT"="1"
    143. "CF_BITMAP"="2"
    144. "CF_OEMTEXT"="7"
    145. "CF_DIB"="8"
    146. "CF_PALETTE"="9"
    147. "CF_UNICODETEXT"="13"
    148. "CF_DIBV5"="17"
    149. === Ende von ExportKey ===
    150. ================== ExportKey: ===================
    151. [HKUS-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies]
    152. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft]
    153. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates]
    154. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\CA]
    155. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\Certificates]
    156. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CRLs]
    157. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CTLs]
    158. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed]
    159. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates]
    160. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CRLs]
    161. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CTLs]
    162. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\trust]
    163. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\Certificates]
    164. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CRLs]
    165. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CTLs]
    166. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople]
    167. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\Certificates]
    168. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CRLs]
    169. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CTLs]
    170. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher]
    171. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates]
    172. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs]
    173. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs]
    174. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows]
    175. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
    176. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    177. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\5.0]
    178. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache]
    179. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    180. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Power]
    181. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\SOFTWARE\Policies\Power\PowerSettings]
    182. === Ende von ExportKey ===
    183. ================== ExportKey: ===================
    184. [HKUS-1-5-21-1917469538-3702951636-3216904853-1000\Software\Microsoft\Windows\CurrentVersion\Policies]
    185. [HKU\S-1-5-21-1917469538-3702951636-3216904853-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    186. "DisableTaskmgr"="1"
    187. === Ende von ExportKey ===
    188. ==== Ende vom Fixlog 14:41:31 ====
    Alles anzeigen

    Die Ausgelesenen Werte und Schlüssel befinden sich jeweils unter der Überschrift ================== ExportKey: ===================.
    Ganz unten in der Beispieldatei sieht man, dass der Taskmanager deaktiviert wurde:
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von AHT ()

  • Nach Alternate Data Streams auf allen Laufwerken suchen lassen

    Wofür kann man das Script nutzen?
    Auf in NTFS Partitionierten Datenträgern können Dateien nicht nur einen Dateiinhalt haben - sie können mehrere Dateiinhalte besitzen (sogenannte Alternate Data Streams auch ADS genannt), von denen aber nur ein Stream (der Hauptstream) für den User sichtbar ist. Da Virenscanner ADS nicht untersuchen, wurden früher diese Streams auch zum Verstecken von Malware genutzt.
    ADS sind ein wichtiges Sicherheitsfeature von Windows - sie können aber auch die Ausführung von Dateien beeinträchtigen.
    Das hier abgelegte Script sucht ADS in allen Dateien und Ordnern auf allen angeschlossenen lokalen Laufwerken und schreibt deren Infos in die Datei Fixlog.txt.

    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CMD: MD C:\POWScript
    2. CMD: DEL /Q C:\POWScript\*.*
    3. StartPowershell:
    4. $WebClient = New-Object System.Net.WebClient
    5. $WebClient.DownloadFile('http://stahlworks.com/dev/unzip.exe','C:\POWScript\UNZIP.EXE')
    6. $WebClient.DownloadFile('http://www.osnanet.de/andreas.hoetker/Progs/ShowADS.zip','C:\POWScript\ShowADS.zip')
    7. EndPowershell:
    8. CMD: C:\POWScript\UNZIP.EXE -o C:\POWScript\ShowADS.zip -d C:\POWScript
    9. CMD: C:\POWScript\ShowAds.exe "ConsoleADSInfo" " " "ADS.txt"
    10. CMD: DEL /Q C:\POWScript\*.*
    11. CMD: RD C:\POWScript
    12. CMD: Type ADS.txt
    13. CMD: DEL ADS.txt
    Alles anzeigen

    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat. DAs ganze wird einige Zeit dauern.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.

    Was tut das Script genau und wie tut es das?
    Über einen Batch Befehl wird zuerst der Ordner C:\POWScript erstellt. Danach wird, wenn der Ordner vorher schon bestanden hat, dessen Inhalt gelöscht:
    Spoiler anzeigen


    Quellcode

    1. CMD: MD C:\POWScript
    2. CMD: DEL /Q C:\POWScript\*.*

    Über Powershell werden danach das Kommandozeilentool unzip.exe und das Tool ShowADS zum Listen von ADS heruntergeladen:

    Spoiler anzeigen


    Quellcode

    1. StartPowershell:
    2. $WebClient = New-Object System.Net.WebClient
    3. $WebClient.DownloadFile('http://stahlworks.com/dev/unzip.exe','C:\POWScript\UNZIP.EXE')
    4. $WebClient.DownloadFile('http://www.osnanet.de/andreas.hoetker/Progs/ShowADS.zip','C:\POWScript\ShowADS.zip')
    5. EndPowershell:

    Danach wird über das Tool unzip.exe die ShowADS.zip entpackt:
    Spoiler anzeigen


    Quellcode

    1. CMD: C:\POWScript\UNZIP.EXE -o C:\POWScript\ShowADS.zip -d C:\POWScript

    Dann wird die enpackte ShowADS.exe mit parametern gestartet, um auf allen Laufwerken nach ADS zu suchen. Die Ergebnisse werden in die Datei ADS.txt geschrieben:
    Spoiler anzeigen


    Quellcode

    1. CMD: C:\POWScript\ShowAds.exe "ConsoleADSInfo" " " "ADS.txt"

    Klappt alles, ist eine Kommandozeile zu sehen, die von ShowADS erzeugt wird:

    Ist die Suche abgeschlossen, wird sich die Kommandozeile wieder schließen.
    Danach wird der Ordner POWScript geleert und gelöscht und danach der Inhalt der Datei ADS.txt mittels dem Befehl Type in die Datei Fixlog.txt übernommen:
    Spoiler anzeigen

    Quellcode

    1. CMD: DEL /Q C:\POWScript\*.*
    2. CMD: RD C:\POWScript
    3. CMD: Type ADS.txt

    Zum Schluss ird die Datei ADS.txt gelöscht:
    Spoiler anzeigen

    CMD: DEL ADS.txt


    Hinweise zur Auswertung der erhaltenen Daten
    Die Daten über die ADS befinden sich dann in folgender Form in der Datei Fixlog.txt:
    Spoiler anzeigen


    Fixlog.txt schrieb:

    ....
    ....
    C:\AutoIt Scripte\ADS_Viewer.au3:Zone.Identifier
    Size: 26
    Contentstring: [ZoneTransfer]
    ZoneId=3
    ...
    ...

    Zuerst kommt der Name des ADS. Darunter steht die Größe in Bytes. Danach folgt hinter Contentstring: der Inhalt, in sofern der als Text darstellbar ist.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • MD5, Erstellungs- und Änderungsdatum, Resourcen- und Signaturinfos rekursiv listen

    Wofür kann man das Script nutzen?
    Das Script durchsucht einen auswählbaren Ordner nach allen Dateien u nd listet die MD5, das Erstellungsdatum, das Änderungsdatum, die Dateiattribute, den Firmennamen aus der Resurce (wenn vorhanden), die Dateibeschreibung aus der Resurce (wenn vorhanden), den Produktnamen aus der Resurce (wenn vorhanden) und Infos zur Signatur der Datei. Es Ordnet die Dateien dabei nach dem Änderungsdatum.

    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode: Fixlist.txt

    1. StartPowershell:
    2. Add-Type -Name Window -Namespace Console -MemberDefinition '
    3. [DllImport("Kernel32.dll")]
    4. public static extern IntPtr GetConsoleWindow();
    5. [DllImport("user32.dll")]
    6. public static extern bool ShowWindow(IntPtr hWnd, Int32 nCmdShow);
    7. '
    8. function Show-Console {
    9. $consolePtr = [Console.Window]::GetConsoleWindow()
    10. #5 show
    11. [Console.Window]::ShowWindow($consolePtr, 5)
    12. }
    13. function Hide-Console {
    14. $consolePtr = [Console.Window]::GetConsoleWindow()
    15. #0 hide
    16. [Console.Window]::ShowWindow($consolePtr, 0)
    17. }
    18. function Get-Signercertificatepart ($SignatureFileName, $Lesen1, $Lesen2) {
    19. $Lesen3 = $Lesen2 + '='
    20. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).SignerCertificate.$Lesen1
    21. $CompanyStart = $Gelesen.IndexOf($Lesen3)
    22. $Gelesen2 = $Gelesen.SubString($CompanyStart + 3)
    23. $CompanyEnd = $Gelesen2.IndexOf('=')
    24. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    25. $CompanyEnd = $Gelesen2.LastIndexOf(', ')
    26. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    27. $Gelesen2
    28. }
    29. function Get-SignatureStatus ($SignatureFileName) {
    30. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).Status
    31. $Gelesen
    32. }
    33. $ShowBefore = Show-Console
    34. Function Get-MD5Hash ($FMD5FileName){$algo = [System.Security.Cryptography.HashAlgorithm]::Create("MD5")
    35. $stream = New-Object System.IO.FileStream($FMD5FileName, [System.IO.FileMode]::Open)
    36. $md5StringBuilder = New-Object System.Text.StringBuilder
    37. $algo.ComputeHash($stream) | % { [void] $md5StringBuilder.Append($_.ToString("x2")) }
    38. $md5StringBuilder.ToString()
    39. $stream.Dispose()}
    40. $application = New-Object -ComObject Shell.Application
    41. $Path = ($application.BrowseForFolder(0, 'Select a folder', 0)).Self.Path
    42. If ( $Path ) {
    43. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
    44. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
    45. $objForm = New-Object System.Windows.Forms.Form
    46. $objForm.Text = "Data Entry Form"
    47. $objForm.Size = New-Object System.Drawing.Size(310,200)
    48. $objForm.StartPosition = "CenterScreen"
    49. $objForm.KeyPreview = $True
    50. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Enter")
    51. {$LastWriteTimeLowest=$objTextBox.Text;$objForm.Close()}})
    52. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Escape")
    53. {$objForm.Close()}})
    54. $OKButton = New-Object System.Windows.Forms.Button
    55. $OKButton.Location = New-Object System.Drawing.Size(75,100)
    56. $OKButton.Size = New-Object System.Drawing.Size(75,23)
    57. $OKButton.Text = "OK"
    58. $OKButton.Add_Click({$FileSearchString=$objTextBox.Text;$Abbruch = 0;$objForm.Close()})
    59. $objForm.Controls.Add($OKButton)
    60. $CancelButton = New-Object System.Windows.Forms.Button
    61. $CancelButton.Location = New-Object System.Drawing.Size(150,100)
    62. $CancelButton.Size = New-Object System.Drawing.Size(75,23)
    63. $CancelButton.Text = "Cancel"
    64. $CancelButton.Add_Click({$objForm.Close()})
    65. $objForm.Controls.Add($CancelButton)
    66. $objLabel = New-Object System.Windows.Forms.Label
    67. $objLabel.Location = New-Object System.Drawing.Size(10,20)
    68. $objLabel.Size = New-Object System.Drawing.Size(280,30)
    69. $objLabel.Text = "Please enter a file mask to search for (wildcards are allowed):"
    70. $objForm.Controls.Add($objLabel)
    71. $objTextBox = New-Object System.Windows.Forms.TextBox
    72. $objTextBox.Location = New-Object System.Drawing.Size(10,50)
    73. $objTextBox.Size = New-Object System.Drawing.Size(260,20)
    74. $objTextBox.Text ="*"
    75. $objForm.Controls.Add($objTextBox)
    76. $objForm.Topmost = $True
    77. $objForm.Add_Shown({$objForm.Activate()})
    78. [void] $objForm.ShowDialog()
    79. If ( $abbruch -eq 0 ) {
    80. $OutFilename = 'FileSearch.txt'
    81. $Trennung = '__________________________________________________________'
    82. '' > $OutFilename
    83. $Path >> $OutFilename
    84. get-childitem $Path -include $FileSearchString -recurse -force | Sort-Object -Property LastWriteTime -Descending | select Fullname,lastwritetime,mode,creationtime,@{label="Company"
    85. expression={$_.versioninfo.CompanyName}},@{label="Product"
    86. expression={$_.versioninfo.ProductName}},@{label="Description"
    87. expression={$_.versioninfo.FileDescription}} ,@{label="MD5"
    88. expression={Get-MD5Hash $_.Fullname}} ,@{label="Signature (Status)"
    89. expression={Get-SignatureStatus $_.Fullname}} ,@{label="Signature (Companyname)"
    90. expression={Get-Signercertificatepart $_.Fullname 'Subject' 'CN'}} | format-table -autosize | Out-String -Width 4096 >> $OutFilename
    91. $Trennung >> $OutFilename
    92. Type $OutFilename
    93. Del /Q $OutFilename}}
    94. EndPowershell:
    Alles anzeigen
    • Klicke dann den Button Entfernen.
    • Es erscheint danach ein Dialog zur Auswahl eines Ordners. Wähle dort den Ordner aus, den du nach Dateien durchsuchen willst und klicke danach OK:
      [Blockierte Grafik: https://i.imagebanana.com/img/lszd33zi/1.jpg]
    • Danach erscheint ein Dialog zur Eingabe einer Dateisuchmaske. Gib hier ein, nach welchen Dateien gesucht werden soll. Wildcards sind erlaubt:
      [Blockierte Grafik: https://i.imagebanana.com/img/enn1090u/2.JPG]
    • Danach erneut den OK Button drücken.
    • Jetzt abwarten, bis der Suchvorgang abgeschlossen ist.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?
    Das Script verwendet zur Suche nach den Dateien Powershell.
    Zuerst für über folgende Scriptingzeile sichergestellt, dass die später erzeugten Dialog auch wirklich sichtbar dargestellt werden:
    Spoiler anzeigen



    Quellcode

    1. Add-Type -Name Window -Namespace Console -MemberDefinition '
    2. [DllImport("Kernel32.dll")]
    3. public static extern IntPtr GetConsoleWindow();
    4. [DllImport("user32.dll")]
    5. public static extern bool ShowWindow(IntPtr hWnd, Int32 nCmdShow);
    6. '
    7. function Show-Console {
    8. $consolePtr = [Console.Window]::GetConsoleWindow()
    9. #5 show
    10. [Console.Window]::ShowWindow($consolePtr, 5)
    11. }
    12. function Hide-Console {
    13. $consolePtr = [Console.Window]::GetConsoleWindow()
    14. #0 hide
    15. [Console.Window]::ShowWindow($consolePtr, 0)
    16. }
    17. $ShowBefore = Show-Console
    Alles anzeigen

    Dann wird die Funktion zum Listen des Firmennamen in der Signatur festgelegt. Die Funktion nutzt den Powershellbefehl Get-AuthenticodeSignature:
    Spoiler anzeigen

    Quellcode

    1. function Get-Signercertificatepart ($SignatureFileName, $Lesen1, $Lesen2) {
    2. $Lesen3 = $Lesen2 + '='
    3. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).SignerCertificate.$Lesen1
    4. $CompanyStart = $Gelesen.IndexOf($Lesen3)
    5. $Gelesen2 = $Gelesen.SubString($CompanyStart + 3)
    6. $CompanyEnd = $Gelesen2.IndexOf('=')
    7. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    8. $CompanyEnd = $Gelesen2.LastIndexOf(', ')
    9. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    10. $Gelesen2
    11. }
    Alles anzeigen

    Als nächstes wird die Funktion zum Ermitteln vom Status der Signatur festgelegt. Die Funktion nutzt den Powershellbefehl Get-AuthenticodeSignature:
    Spoiler anzeigen


    Quellcode

    1. function Get-SignatureStatus ($SignatureFileName) {
    2. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).Status
    3. $Gelesen
    4. }

    Danach wird die Funktion zum Ermitteln des MD5 Wertes von Dateien festgelegt:
    Spoiler anzeigen


    Quellcode

    1. Function Get-MD5Hash ($FMD5FileName){$algo = [System.Security.Cryptography.HashAlgorithm]::Create("MD5")
    2. $stream = New-Object System.IO.FileStream($FMD5FileName, [System.IO.FileMode]::Open)
    3. $md5StringBuilder = New-Object System.Text.StringBuilder
    4. $algo.ComputeHash($stream) | % { [void] $md5StringBuilder.Append($_.ToString("x2")) }
    5. $md5StringBuilder.ToString()
    6. $stream.Dispose()}

    Danach wird der Dialog zur Auswahl des Ordners erzeugt. Der ausgewählte Ordner wird auf in der Variablen $Path abgelegt:
    Spoiler anzeigen


    Quellcode

    1. $application = New-Object -ComObject Shell.Application
    2. $Path = ($application.BrowseForFolder(0, 'Select a folder', 0)).Self.Path

    Wenn ein Pfad ausgewählt wurde,...
    Spoiler anzeigen


    Quellcode

    1. If ( $Path ) {

    ...wird dann der Dialog zur Eingabe der Dateisuchmaske erzeugt:
    Spoiler anzeigen


    Quellcode

    1. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
    2. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
    3. $objForm = New-Object System.Windows.Forms.Form
    4. $objForm.Text = "Data Entry Form"
    5. $objForm.Size = New-Object System.Drawing.Size(310,200)
    6. $objForm.StartPosition = "CenterScreen"
    7. $objForm.KeyPreview = $True
    8. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Enter")
    9. {$LastWriteTimeLowest=$objTextBox.Text;$objForm.Close()}})
    10. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Escape")
    11. {$objForm.Close()}})
    12. $OKButton = New-Object System.Windows.Forms.Button
    13. $OKButton.Location = New-Object System.Drawing.Size(75,100)
    14. $OKButton.Size = New-Object System.Drawing.Size(75,23)
    15. $OKButton.Text = "OK"
    16. $OKButton.Add_Click({$FileSearchString=$objTextBox.Text;$Abbruch = 0;$objForm.Close()})
    17. $objForm.Controls.Add($OKButton)
    18. $CancelButton = New-Object System.Windows.Forms.Button
    19. $CancelButton.Location = New-Object System.Drawing.Size(150,100)
    20. $CancelButton.Size = New-Object System.Drawing.Size(75,23)
    21. $CancelButton.Text = "Cancel"
    22. $CancelButton.Add_Click({$objForm.Close()})
    23. $objForm.Controls.Add($CancelButton)
    24. $objLabel = New-Object System.Windows.Forms.Label
    25. $objLabel.Location = New-Object System.Drawing.Size(10,20)
    26. $objLabel.Size = New-Object System.Drawing.Size(280,30)
    27. $objLabel.Text = "Please enter a file mask to search for (wildcards are allowed):"
    28. $objForm.Controls.Add($objLabel)
    29. $objTextBox = New-Object System.Windows.Forms.TextBox
    30. $objTextBox.Location = New-Object System.Drawing.Size(10,50)
    31. $objTextBox.Size = New-Object System.Drawing.Size(260,20)
    32. $objTextBox.Text ="*"
    33. $objForm.Controls.Add($objTextBox)
    34. $objForm.Topmost = $True
    35. $objForm.Add_Shown({$objForm.Activate()})
    36. [void] $objForm.ShowDialog()
    Alles anzeigen

    Nur wenn der OK button gedrückt wurde...
    Spoiler anzeigen


    Quellcode

    1. If ( $abbruch -eq 0 ) {

    ...wird dann über den Powershell Befehl get-childitem die Dateisuche gestartet und die Ergebnisse in der Datei FileSearch.txt abgelegt:
    Spoiler anzeigen

    Quellcode

    1. $OutFilename = 'FileSearch.txt'
    2. $Trennung = '__________________________________________________________'
    3. '' > $OutFilename
    4. $Path >> $OutFilename
    5. get-childitem $Path -include $FileSearchString -recurse -force | Sort-Object -Property LastWriteTime -Descending | select Fullname,lastwritetime,mode,creationtime,@{label="Company"
    6. expression={$_.versioninfo.CompanyName}},@{label="Product"
    7. expression={$_.versioninfo.ProductName}},@{label="Description"
    8. expression={$_.versioninfo.FileDescription}} ,@{label="MD5"
    9. expression={Get-MD5Hash $_.Fullname}} ,@{label="Signature (Status)"
    10. expression={Get-SignatureStatus $_.Fullname}} ,@{label="Signature (Companyname)"
    11. expression={Get-Signercertificatepart $_.Fullname 'Subject' 'CN'}} | format-table -autosize | Out-String -Width 4096 >> $OutFilename
    12. $Trennung >> $OutFilename
    Alles anzeigen

    Ist das abgeschlossen, werden die Ergebnisse aus der Datei FileSearch.txt mit dem Befehl Type in die Fixlog.txt übernommen:
    Spoiler anzeigen


    Quellcode

    1. Type $OutFilename

    Zum Schluss wird die Datei FileSearch.txt dann gelöscht:
    Spoiler anzeigen


    Quellcode

    1. Del /Q $OutFilename}}


    Hinweise zur Auswertung der erhaltenen Daten
    In diesem Beispiel habe ich alle EXE Dateien aus dem Ordner C:\Farbar listen lassen:
    Spoiler anzeigen


    Brainfuck-Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version: 15-07-2017
    2. durchgeführt von MisterX (17-07-2017 15:20:25) Run:549
    3. Gestartet von C:\Farbar
    4. Geladene Profile: MisterX (Verfügbare Profile: MisterX & Eingeschränkt)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. StartPowershell:
    10. Add-Type -Name Window -Namespace Console -MemberDefinition '
    11. [DllImport("Kernel32.dll")]
    12. public static extern IntPtr GetConsoleWindow();
    13. [DllImport("user32.dll")]
    14. public static extern bool ShowWindow(IntPtr hWnd, Int32 nCmdShow);
    15. '
    16. function Show-Console {
    17. $consolePtr = [Console.Window]::GetConsoleWindow()
    18. #5 show
    19. [Console.Window]::ShowWindow($consolePtr, 5)
    20. }
    21. function Hide-Console {
    22. $consolePtr = [Console.Window]::GetConsoleWindow()
    23. #0 hide
    24. [Console.Window]::ShowWindow($consolePtr, 0)
    25. }
    26. function Get-Signercertificatepart ($SignatureFileName, $Lesen1, $Lesen2) {
    27. $Lesen3 = $Lesen2 + '='
    28. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).SignerCertificate.$Lesen1
    29. $CompanyStart = $Gelesen.IndexOf($Lesen3)
    30. $Gelesen2 = $Gelesen.SubString($CompanyStart + 3)
    31. $CompanyEnd = $Gelesen2.IndexOf('=')
    32. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    33. $CompanyEnd = $Gelesen2.LastIndexOf(', ')
    34. $Gelesen2 = $Gelesen2.Remove($CompanyEnd)
    35. $Gelesen2
    36. }
    37. function Get-SignatureStatus ($SignatureFileName) {
    38. $Gelesen = $(get-AuthenticodeSignature $SignatureFileName).Status
    39. $Gelesen
    40. }
    41. $ShowBefore = Show-Console
    42. Function Get-MD5Hash ($FMD5FileName){$algo = [System.Security.Cryptography.HashAlgorithm]::Create("MD5")
    43. $stream = New-Object System.IO.FileStream($FMD5FileName, [System.IO.FileMode]::Open)
    44. $md5StringBuilder = New-Object System.Text.StringBuilder
    45. $algo.ComputeHash($stream) | % { [void] $md5StringBuilder.Append($_.ToString("x2")) }
    46. $md5StringBuilder.ToString()
    47. $stream.Dispose()}
    48. $application = New-Object -ComObject Shell.Application
    49. $Path = ($application.BrowseForFolder(0, 'Select a folder', 0)).Self.Path
    50. If ( $Path ) {
    51. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
    52. [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
    53. $objForm = New-Object System.Windows.Forms.Form
    54. $objForm.Text = "Data Entry Form"
    55. $objForm.Size = New-Object System.Drawing.Size(310,200)
    56. $objForm.StartPosition = "CenterScreen"
    57. $objForm.KeyPreview = $True
    58. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Enter")
    59. {$LastWriteTimeLowest=$objTextBox.Text;$objForm.Close()}})
    60. $objForm.Add_KeyDown({if ($_.KeyCode -eq "Escape")
    61. {$objForm.Close()}})
    62. $OKButton = New-Object System.Windows.Forms.Button
    63. $OKButton.Location = New-Object System.Drawing.Size(75,100)
    64. $OKButton.Size = New-Object System.Drawing.Size(75,23)
    65. $OKButton.Text = "OK"
    66. $OKButton.Add_Click({$FileSearchString=$objTextBox.Text;$Abbruch = 0;$objForm.Close()})
    67. $objForm.Controls.Add($OKButton)
    68. $CancelButton = New-Object System.Windows.Forms.Button
    69. $CancelButton.Location = New-Object System.Drawing.Size(150,100)
    70. $CancelButton.Size = New-Object System.Drawing.Size(75,23)
    71. $CancelButton.Text = "Cancel"
    72. $CancelButton.Add_Click({$objForm.Close()})
    73. $objForm.Controls.Add($CancelButton)
    74. $objLabel = New-Object System.Windows.Forms.Label
    75. $objLabel.Location = New-Object System.Drawing.Size(10,20)
    76. $objLabel.Size = New-Object System.Drawing.Size(280,30)
    77. $objLabel.Text = "Please enter a file mask to search for (wildcards are allowed):"
    78. $objForm.Controls.Add($objLabel)
    79. $objTextBox = New-Object System.Windows.Forms.TextBox
    80. $objTextBox.Location = New-Object System.Drawing.Size(10,50)
    81. $objTextBox.Size = New-Object System.Drawing.Size(260,20)
    82. $objTextBox.Text ="*"
    83. $objForm.Controls.Add($objTextBox)
    84. $objForm.Topmost = $True
    85. $objForm.Add_Shown({$objForm.Activate()})
    86. [void] $objForm.ShowDialog()
    87. If ( $abbruch -eq 0 ) {
    88. $OutFilename = 'FileSearch.txt'
    89. $Trennung = '__________________________________________________________'
    90. '' > $OutFilename
    91. $Path >> $OutFilename
    92. get-childitem $Path -include $FileSearchString -recurse -force | Sort-Object -Property LastWriteTime -Descending | select Fullname,lastwritetime,mode,creationtime,@{label="Company"
    93. expression={$_.versioninfo.CompanyName}},@{label="Product"
    94. expression={$_.versioninfo.ProductName}},@{label="Description"
    95. expression={$_.versioninfo.FileDescription}} ,@{label="MD5"
    96. expression={Get-MD5Hash $_.Fullname}} ,@{label="Signature (Status)"
    97. expression={Get-SignatureStatus $_.Fullname}} ,@{label="Signature (Companyname)"
    98. expression={Get-Signercertificatepart $_.Fullname 'Subject' 'CN'}} | format-table -autosize | Out-String -Width 4096 >> $OutFilename
    99. $Trennung >> $OutFilename
    100. Type $OutFilename
    101. Del /Q $OutFilename}}
    102. EndPowershell:
    103. *****************
    104. ========= Powershell: =========
    105. C:\Farbar
    106. FullName LastWriteTime Mode CreationTime Company Product Description MD5 Signature (Status) Signature (Companyname)
    107. -------- ------------- ---- ------------ ------- ------- ----------- --- ------------------ -----------------------
    108. C:\Farbar\FRST.exe 17.07.2017 14:40:56 -a--- 18.07.2016 17:37:05 Farbar Farbar Recovery Scan Tool NotSigned
    109. C:\Farbar\FRST-OlderVersion\FRST.exe 04.07.2017 10:21:14 -a--- 12.06.2014 15:50:31 Farbar Farbar Recovery Scan Tool 80c9b8c7a44b4baf8a4e7fd281674356 NotSigned
    110. C:\Farbar\64Bit\FRST64.exe 26.02.2017 18:52:08 -a--- 12.07.2016 18:08:58 Farbar Farbar Recovery Scan Tool 0b5e0be2a40bf99d164b287f6d03e654 NotSigned
    111. C:\Farbar\64Bit\FRST-OlderVersion\FRST64.exe 13.02.2017 05:43:01 -a--- 23.02.2015 18:21:28 Farbar Farbar Recovery Scan Tool dc102828bc4190d282fb85a0a002c912 NotSigned
    112. C:\Farbar\FRST-OlderVersion\FRST64.exe 22.02.2015 18:51:38 -a--- 20.01.2015 14:07:50 Farbar Farbar Recovery Scan Tool 11a45158869647cc43f9b1287db8e188 NotSigned
    113. __________________________________________________________
    114. ========= Ende von Powershell: =========
    115. ==== Ende vom Fixlog 15:20:41 ====
    Alles anzeigen

    Unter FullName ist in der Datei der Dateiname zu finden. Unter LastWriteTime steht das letzte Änderungsdatum der jeweiligen Datei. Mode gibt die Dateiattribute an. Unter CreationTime steht das Erstellungsdatum. Unter Company steht der Firmenname aus der Dateiresource (wenn eine vorhanden ist). Unter Product steht der Produktname aus der Dateiresource (wenn eine vorhanden ist). Unter Description steht die Dateibeschreibung aus der Dateiresource (wenn eine vorhanden ist). Unter MD5 ist die MD5 der Datei zu finden.
    Unter Signature (Status) sind Hinweise darauf zu finden, ob die jeweilige Datei korrekt signiert ist. Unter Signature (Companyname) steht der Firma, die die Datei signieren lassen hat.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

  • Netzwerklaufwerke auch für das Farbar Tool freigeben

    Wofür kann man das Script nutzen?

    Bei Netzwerklaufwerken kann es vorkommen, dass das Farbar Recovery Scan Tool und andere mit administrativen Rechten laufende Tools nicht auf das Laufwerk zugreifen können, obwohl es im WindowsExplorer mit einem Laufwerksbuchstaben versehen ist.
    Grund dafür ist, dass Programme, die mit Adminrechten laufen, einen anderen Access Token besitzen, als Programme, die mit Userrechten gestartet werden - auch wenn sie im selben Account laufen.
    Das hier abgelegte Script ändert die Einstellungen von Windows so, dass auch Programme, die mit Adminrechten laufen, auf so ein Laufwerk zugreifen können.

    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode: Fixlist.txt

    1. Reg: reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 0x1 /f
    2. CMD: shutdown /r /t 10
    • Danach erneut den OK Button drücken.
    • Jetzt abwarten, bis der Vorgang abgeschlossen ist.
    • Zum Schluss startet sich der Rechner neu. Danach sind alle Netzwerklaufwerke auch für das Farbar Recovery Scan Tool und andere administrative Anwendungen zugänglich.


    Was tut das Script genau und wie tut es das?

    Das Script erstellt über den Batch Befehl reg einen DWORD Registrywert EnableLinkedConnections unter dem Registryschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System und setzt ihn auf den Wert 1.
    Danach wird der Rechner über den Batch Befehl Shutdown neu gestartet, um die Änderung wirksam werden zu lassen.

    Hinweise zur Auswertung der erhaltenen Daten

    In der durch das Tool erstellten Fixlog.txt ist folgendes zu finden:
    Spoiler anzeigen

    Quellcode: Fixlog.txt

    1. Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version: 18-07-2017
    2. durchgeführt von MisterX (19-07-2017 12:06:36) Run:558
    3. Gestartet von C:\Farbar
    4. Geladene Profile: MisterX & Eingeschränkt (Verfügbare Profile: MisterX & Eingeschränkt)
    5. Start-Modus: Normal
    6. ==============================================
    7. fixlist Inhalt:
    8. *****************
    9. Reg: reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 0x1 /f
    10. CMD: shutdown /r /t 10
    11. *****************
    12. ========= reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 0x1 /f =========
    13. Der Vorgang wurde erfolgreich beendet.
    14. ========= Ende von Reg: =========
    15. ========= shutdown /r /t 10 =========
    16. ========= Ende von CMD: =========
    17. ==== Ende vom Fixlog 12:06:37 ====
    Alles anzeigen
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

  • Aussteller-Zertifikate überprüfen

    Wofür kann man das Script nutzen?

    Um ausführbare Dateien als vertrauenswürdig und von Microsoft stammend erscheinen zu lassen, kann Malware (wie hier beschrieben) eigene Stammzertifikate ins Betriebssystem installieren, die sich nicht ohne weiteres auf Vertrauenswürdigkeit hin überprüfen lassen. Man braucht also bei der Analyse einen Überblick darüber, was dort an Sachen installiert ist, die Microsoft nicht kennt. Diese Script führt das anhand einer im Script mitgelieferten Liste durch. Diese Liste stammt vom 26.06.2018 - siehe hier:


    Anweisungen für einen User
    • Lade die passende Version von Farbar Recovery Scan Tool herunter:
    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. StartPowershell:
    2. "****************************************" > RootCA.txt
    3. "** Globale unbekannte Rootzertifikate **" >> RootCA.txt
    4. "****************************************" >> RootCA.txt
    5. " " >> RootCA.txt
    6. $RootCAs = ""
    7. $RootCAs = $RootCAs + ",7E784A101C8265CC2DE1F16D47B440CAD90A1945"
    8. $RootCAs = $RootCAs + ",BED525D1AC63A7FC6A660BA7A895818D5E8DD564"
    9. $RootCAs = $RootCAs + ",D23209AD23D314232174E40D7F9D62139786633A"
    10. $RootCAs = $RootCAs + ",23E594945195F2414803B4D564D2A3A3F5D88B8C"
    11. $RootCAs = $RootCAs + ",627F8D7827656399D27D7F9044C9FEB3F33EFA9A"
    12. $RootCAs = $RootCAs + ",85371CA6E550143DCE2803471BDE3A09E8F8770F"
    13. $RootCAs = $RootCAs + ",DDE1D2A901802E1D875E84B3807E4BB1FD994134"
    14. $RootCAs = $RootCAs + ",16D86635AF1341CD34799445EB603E273702965D"
    15. $RootCAs = $RootCAs + ",11C5B5F75552B011669C2E9717DE6D9BFF5FA810"
    16. $RootCAs = $RootCAs + ",C09AB0C8AD7114714ED5E21A5A276ADCD5E7EFCB"
    17. $RootCAs = $RootCAs + ",0CFD83DBAE44B9A0C8F676F3B570650B94B69DBF"
    18. $RootCAs = $RootCAs + ",3921C115C15D0ECA5CCB5BC4F07D21D8050B566A"
    19. $RootCAs = $RootCAs + ",6B81446A5CDDF474A0F800FFBE69FD0DB6287516"
    20. $RootCAs = $RootCAs + ",253F775B0E7797AB645F15915597C39E263631D1"
    21. $RootCAs = $RootCAs + ",DF646DCB7B0FD3A96AEE88C64E2D676711FF9D5F"
    22. $RootCAs = $RootCAs + ",9158C5EF987301A8903CFDAB03D72DA1D88909C9"
    23. $RootCAs = $RootCAs + ",409D4BD917B55C27B69B64CB9822440DCD09B889"
    24. $RootCAs = $RootCAs + ",4A058FDFD761DB21B0C2EE48579BE27F42A4DA1C"
    25. $RootCAs = $RootCAs + ",FD1ED1E2021B0B9F73E8EB75CE23436BBCC746EB"
    26. $RootCAs = $RootCAs + ",34D499426F9FC2BB27B075BAB682AAE5EFFCBA74"
    27. $RootCAs = $RootCAs + ",A3A1B06F2461234AE336A5C237FCA6FFDDF0D73A"
    28. $RootCAs = $RootCAs + ",6A174570A916FBE84453EED3D070A1D8DA442829"
    29. $RootCAs = $RootCAs + ",742C3192E607E424EB4549542BE1BBC53E6174E2"
    30. $RootCAs = $RootCAs + ",2DE16A5677BACA39E1D68C30DCB14ABE22A6179B"
    31. $RootCAs = $RootCAs + ",1139A49E8484AAF2D90D985EC4741A65DD5D94E2"
    32. $RootCAs = $RootCAs + ",FA0882595F9CA6A11ECCBEAF65C764C0CCC311D0"
    33. $RootCAs = $RootCAs + ",0560A2C738FF98D1172A94FE45FB8A47D665371E"
    34. $RootCAs = $RootCAs + ",742CDF1594049CBF17A2046CC639BB3888E02E33"
    35. $RootCAs = $RootCAs + ",A59C9B10EC7357515ABB660C4D94F73B9E6E9272"
    36. $RootCAs = $RootCAs + ",CABB51672400588E6419F1D40878D0403AA20264"
    37. $RootCAs = $RootCAs + ",00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099"
    38. $RootCAs = $RootCAs + ",8EB03FC3CF7BB292866268B751223DB5103405CB"
    39. $RootCAs = $RootCAs + ",97817950D81C9670CC34D809CF794431367EF474"
    40. $RootCAs = $RootCAs + ",A9CAFE9DFD67F4145AD397D0E2F3050D198DE6EE"
    41. $RootCAs = $RootCAs + ",A073E5C5BD43610D864C21130A855857CC9CEA46"
    42. $RootCAs = $RootCAs + ",C303C8227492E561A29C5F79912B1E441391303A"
    43. $RootCAs = $RootCAs + ",8E928C0FC27BB7ABA34E6BC0CA1250CB57B60F84"
    44. $RootCAs = $RootCAs + ",80F95B741C38399495C34F20C23E7336314D3C6B"
    45. $RootCAs = $RootCAs + ",7F8AB0CFD051876A66F3360F47C88D8CD335FC74"
    46. $RootCAs = $RootCAs + ",3A4979B40FA841488200B582FBEEB63AAB9919AE"
    47. $RootCAs = $RootCAs + ",3E42A18706BD0C9CCF594750D2E4D6AB0048FDC4"
    48. $RootCAs = $RootCAs + ",7FB9E2C995C97A939F9E81A07AEA9B4D70463496"
    49. $RootCAs = $RootCAs + ",CDD4EEAE6000AC7F40C3802C171E30148030C072"
    50. $RootCAs = $RootCAs + ",CCEAE32445CD4218DD188EADCEB3133C7FB340AD"
    51. $RootCAs = $RootCAs + ",32F442093B36D7031B75CA4DADDCB327FAA02B9C"
    52. $RootCAs = $RootCAs + ",21DACE4C2C34E66468EE06314DB055A0A89D4C1D"
    53. $RootCAs = $RootCAs + ",313B8D0E7E2E4D20AE8668FFE59DB5193CBF7A32"
    54. $RootCAs = $RootCAs + ",8A5C8CEEA503E60556BAD81BD4F6C9B0EDE52FE0"
    55. $RootCAs = $RootCAs + ",CB44A097857C45FA187ED952086CB9841F2D51B5"
    56. $RootCAs = $RootCAs + ",80BF3DE9A41D768D194B293C85632CDBC8EA8CF7"
    57. $RootCAs = $RootCAs + ",BEB5A995746B9EDF738B56E6DF437A77BE106B81"
    58. $RootCAs = $RootCAs + ",A9E9780814375888F20519B06D2B0D2B6016907D"
    59. $RootCAs = $RootCAs + ",C9321DE6B5A82666CF6971A18A56F2D3A8675602"
    60. $RootCAs = $RootCAs + ",086418E906CEE89C2353B6E27FBD9E7439F76316"
    61. $RootCAs = $RootCAs + ",B865130BEDCA38D27F69929420770BED86EFBC10"
    62. $RootCAs = $RootCAs + ",43F9B110D5BAFD48225231B0D0082B372FEF9A54"
    63. $RootCAs = $RootCAs + ",0409565B77DA582E6495AC0060A72354E64B0192"
    64. $RootCAs = $RootCAs + ",7FBB6ACD7E0AB438DAAF6FD50210D007C6C0829C"
    65. $RootCAs = $RootCAs + ",90DECE77F8C825340E62EBD635E1BE20CF7327DD"
    66. $RootCAs = $RootCAs + ",D2441AA8C203AECAA96E501F124D52B68FE4C375"
    67. $RootCAs = $RootCAs + ",5A5A4DAF7861267C4B1F1E67586BAE6ED4FEB93F"
    68. $RootCAs = $RootCAs + ",3E84D3BCC544C0F6FA19435C851F3F2FCBA8E814"
    69. $RootCAs = $RootCAs + ",23E833233E7D0CC92B7C4279AC19C2F474D604CA"
    70. $RootCAs = $RootCAs + ",31F1FD68226320EEC63B3F9DEA4A3E537C7C3917"
    71. $RootCAs = $RootCAs + ",3E2BF7F2031B96F38CE6C4D8A85D3E2D58476A0F"
    72. $RootCAs = $RootCAs + ",E7A19029D3D552DC0D0FC692D3EA880D152E1A6B"
    73. $RootCAs = $RootCAs + ",5F3AFC0A8B64F686673474DF7EA9A2FEF9FA7A51"
    74. $RootCAs = $RootCAs + ",FBEDDC9065B7272037BC550C9C56DEBBF27894E1"
    75. $RootCAs = $RootCAs + ",D27AD2BEED94C0A13CC72521EA5D71BE8119F32B"
    76. $RootCAs = $RootCAs + ",B94294BF91EA8FB64BE61097C7FB001359B676CB"
    77. $RootCAs = $RootCAs + ",1632478D89F9213A92008563F5A4A7D312408AD6"
    78. $RootCAs = $RootCAs + ",892A1BD4C8B0F8AA9A65ED4CB9D3BF4840B34BC1"
    79. $RootCAs = $RootCAs + ",398EBE9C0F46C079C3C7AFE07A2FDD9FAE5F8A5C"
    80. $RootCAs = $RootCAs + ",DD83C519D43481FAD4C22C03D702FE9F3B22F517"
    81. $RootCAs = $RootCAs + ",0119E81BE9A14CD8E22F40AC118C687ECBA3F4D8"
    82. $RootCAs = $RootCAs + ",E011845E34DEBE8881B99CF61626D1961FC3B931"
    83. $RootCAs = $RootCAs + ",26F993B4ED3D2827B0B94BA7E9151DA38D92E532"
    84. $RootCAs = $RootCAs + ",A43489159A520F0D93D032CCAF37E7FE20A8B419"
    85. $RootCAs = $RootCAs + ",8E1C74F8A620B9E58AF461FAEC2B4756511A52C6"
    86. $RootCAs = $RootCAs + ",6F3884568E99C8C6AC0E5DDE2DB202DD002E3663"
    87. $RootCAs = $RootCAs + ",ACED5F6553FD25CE015F1F7A483B6A749F6178C6"
    88. $RootCAs = $RootCAs + ",FEB8C432DCF9769ACEAE3DD8908FFD288665647D"
    89. $RootCAs = $RootCAs + ",1CB7EDE176BCDFEF0C866F46FBF980E901E5CE35"
    90. $RootCAs = $RootCAs + ",2AC8D58B57CEBF2F49AFF2FC768F511462907A41"
    91. $RootCAs = $RootCAs + ",150332A58DC591FC42D4C873FF9F1F0F81D597C9"
    92. $RootCAs = $RootCAs + ",52412BD67B5A6C695282386026F0B053DD400EFC"
    93. $RootCAs = $RootCAs + ",DA8B6567EF3F6E1EA26AB146E36CCB5728041846"
    94. $RootCAs = $RootCAs + ",8C96BAEBDD2B070748EE303266A0F3986E7CAE58"
    95. $RootCAs = $RootCAs + ",101DFA3FD50BCBBB9BB5600C1955A41AF4733A04"
    96. $RootCAs = $RootCAs + ",1B4B396126276B6491A2686DD70243212D1F1D96"
    97. $RootCAs = $RootCAs + ",64902AD7277AF3E32CD8CC1DC79DE1FD7F8069EA"
    98. $RootCAs = $RootCAs + ",AB16DD144ECDC0FC4BAAB62ECF0408896FDE52B7"
    99. $RootCAs = $RootCAs + ",4A3F8D6BDC0E1ECFCD72E377DEF2D7FF92C19BC7"
    100. $RootCAs = $RootCAs + ",968338F113E36A7BABDD08F7776391A68736582E"
    101. $RootCAs = $RootCAs + ",2388C9D371CC9E963DFF7D3CA7CEFCD625EC190D"
    102. $RootCAs = $RootCAs + ",0B972C9EA6E7CC58D93B20BF71EC412E7209FABF"
    103. $RootCAs = $RootCAs + ",8250BED5A214433A66377CBC10EF83F669DA3A67"
    104. $RootCAs = $RootCAs + ",24A40A1F573643A67F0A4B0749F6A22BF28ABB6B"
    105. $RootCAs = $RootCAs + ",18F7C1FCC3090203FD5BAA2F861A754976C8DD25"
    106. $RootCAs = $RootCAs + ",465B26BEBE7106DD8544C1139D9FA25700C1D7BD"
    107. $RootCAs = $RootCAs + ",D4DE20D05E66FC53FE1A50882C78DB2852CAE474"
    108. $RootCAs = $RootCAs + ",5D003860F002ED829DEAA41868F788186D62127F"
    109. $RootCAs = $RootCAs + ",06F1AA330B927B753A40E68CDF22E34BCBEF3352"
    110. $RootCAs = $RootCAs + ",06083F593F15A104A069A46BA903D006B7970991"
    111. $RootCAs = $RootCAs + ",7F8A77836BDC6D068F8B0737FCC5725413068CA4"
    112. $RootCAs = $RootCAs + ",786A74AC76AB147F9C6A3050BA9EA87EFE9ACE3C"
    113. $RootCAs = $RootCAs + ",4ABDEEEC950D359C89AEC752A12C5B29F6D6AA0C"
    114. $RootCAs = $RootCAs + ",6E3A55A4190C195C93843CC0DB722E313061F0B1"
    115. $RootCAs = $RootCAs + ",339B6B1450249B557A01877284D9E02FC3D2D8E9"
    116. $RootCAs = $RootCAs + ",F373B387065A28848AF2F34ACE192BDDC78E9CAC"
    117. $RootCAs = $RootCAs + ",6F62DEB86C85585AE42E478DB4D76DB367585AE6"
    118. $RootCAs = $RootCAs + ",7EB1A0429BE5F428AC2B93971D7C8448A536070C"
    119. $RootCAs = $RootCAs + ",8DA7F965EC5EFC37910F1C6E59FDC1CC6A6EDE16"
    120. $RootCAs = $RootCAs + ",5A8CEF45D7A69859767A8C8B4496B578CF474B1A"
    121. $RootCAs = $RootCAs + ",0D44DD8C3C8C1A1A58756481E90F2E2AFFB3D26E"
    122. $RootCAs = $RootCAs + ",F6108407D6F8BB67980CC2E244C2EBAE1CEF63BE"
    123. $RootCAs = $RootCAs + ",925A8F8D2C6D04E0665F596AFF22D863E8256F3F"
    124. $RootCAs = $RootCAs + ",C9A8B9E755805E58E35377A725EBAFC37B27CCD7"
    125. $RootCAs = $RootCAs + ",07E032E020B72C3F192F0628A2593A19A70F069E"
    126. $RootCAs = $RootCAs + ",6252DC40F71143A22FDE9EF7348E064251B18118"
    127. $RootCAs = $RootCAs + ",D3DD483E2BBF4C05E8AF10F5FA7626CFD3DC3092"
    128. $RootCAs = $RootCAs + ",DB2B7B434DFB7FC1CB5926EC5D9521FE350FF279"
    129. $RootCAs = $RootCAs + ",2BB1F53E550C1DC5F1D4E6B76A464B550602AC21"
    130. $RootCAs = $RootCAs + ",2E66C9841181C08FB1DFABD4FF8D5CC72BE08F02"
    131. $RootCAs = $RootCAs + ",CD787A3D5CBA8207082848365E9ACDE9683364D8"
    132. $RootCAs = $RootCAs + ",42EFDDE6BFF35ED0BAE6ACDD204C50AE86C4F4FA"
    133. $RootCAs = $RootCAs + ",4CAEE38931D19AE73B31AA75CA33D621290FA75E"
    134. $RootCAs = $RootCAs + ",342CD9D3062DA48C346965297F081EBC2EF68FDC"
    135. $RootCAs = $RootCAs + ",5BB59920D11B391479463ADD5100DB1D52F43AD4"
    136. $RootCAs = $RootCAs + ",CEA9890D85D80753A626286CDAD78CB566D70CF2"
    137. $RootCAs = $RootCAs + ",AEC5FB3FC8E1BFC4E54F03075A9AE800B7F7B6FA"
    138. $RootCAs = $RootCAs + ",DAFAF7FA6684EC068F1450BDC7C281A5BCA96457"
    139. $RootCAs = $RootCAs + ",490A7574DE870A47FE58EEF6C76BEBC60B124099"
    140. $RootCAs = $RootCAs + ",3F0FEB17A7EF5804CFD90A77B7BB021EA69C6418"
    141. $RootCAs = $RootCAs + ",B561EBEAA4DEE4254B691A98A55747C234C7D971"
    142. $RootCAs = $RootCAs + ",A69E0336C4E59023FF653C71F928EB73F21C00F0"
    143. $RootCAs = $RootCAs + ",CBA1C5F8B0E35EB8B94512D3F934A2E90610D336"
    144. $RootCAs = $RootCAs + ",5463283B6793FF55277CEDE39098E80422F912F7"
    145. $RootCAs = $RootCAs + ",9D70BB01A5A4A018112EF71C01B932C534E788A8"
    146. $RootCAs = $RootCAs + ",2E14DAEC28F0FA1E8E389A4EABEB26C00AD383C3"
    147. $RootCAs = $RootCAs + ",FAB7EE36972662FB2DB02AF6BF03FDE87C4B2F9B"
    148. $RootCAs = $RootCAs + ",F02B70BDE4EAE02B207377B9FD4785E4C9CC55DC"
    149. $RootCAs = $RootCAs + ",E2B8294B5584AB6B58C290466CAC3FB8398F8483"
    150. $RootCAs = $RootCAs + ",EABDA240440ABBD694930A01D09764C6C2D77966"
    151. $RootCAs = $RootCAs + ",4F99AA93FB2BD13726A1994ACE7FF005F2935D1E"
    152. $RootCAs = $RootCAs + ",8BAF4C9B1DF02A92F7DA128EB91BACF498604B6F"
    153. $RootCAs = $RootCAs + ",67650DF17E8E7E5B8240A4F4564BCFE23D69C6F0"
    154. $RootCAs = $RootCAs + ",D99B104298594763F0B9A927B79269CB47DD158B"
    155. $RootCAs = $RootCAs + ",81AC5DE150D1B8DE5D3E0E266A136B737862D322"
    156. $RootCAs = $RootCAs + ",2C8AFFCE966430BA04C04F81DD4B49C71B5B81A0"
    157. $RootCAs = $RootCAs + ",DE990CED99E0431F60EDC3937E7CD5BF0ED9E5FA"
    158. $RootCAs = $RootCAs + ",211165CA379FBB5ED801E31C430A62AAC109BCB4"
    159. $RootCAs = $RootCAs + ",EE869387FFFD8349AB5AD14322588789A457B012"
    160. $RootCAs = $RootCAs + ",D1CBCA5DB2D52A7F693B674DE5F05A1D0C957DF0"
    161. $RootCAs = $RootCAs + ",2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E"
    162. $RootCAs = $RootCAs + ",AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4"
    163. $RootCAs = $RootCAs + ",02FAF3E291435468607857694DF5E45B68851868"
    164. $RootCAs = $RootCAs + ",9F744E9F2B4DBAEC0F312C50B6563B8E2D93C311"
    165. $RootCAs = $RootCAs + ",D1EB23A46D17D68FD92564C2F1F1601764D8E349"
    166. $RootCAs = $RootCAs + ",B172B1A56D95F91FE50287E14D37EA6A4463768A"
    167. $RootCAs = $RootCAs + ",0483ED3399AC3608058722EDBC5E4600E3BEF9D7"
    168. $RootCAs = $RootCAs + ",E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46"
    169. $RootCAs = $RootCAs + ",AE3B31BF8FD891079CF1DF34CBCE6E70D37FB5B0"
    170. $RootCAs = $RootCAs + ",28903A635B5280FAE6774C0B6DA7D6BAA64AF2E8"
    171. $RootCAs = $RootCAs + ",3BC49F48F8F373A09C1EBDF85BB1C365C7D811B3"
    172. $RootCAs = $RootCAs + ",3DB66DFEBEB6712889E7C098B32805896B6218CC"
    173. $RootCAs = $RootCAs + ",924AEA47F73CB690565E552CFCC6E8D63EEE4242"
    174. $RootCAs = $RootCAs + ",27EED22AFD58A2C64A855E3680AF898BF36CE503"
    175. $RootCAs = $RootCAs + ",AB9D58C03F54B1DAE3F7C2D4C6C1EC3694559C37"
    176. $RootCAs = $RootCAs + ",93F7F48B1261943F6A78210C52E626DFBFBBE260"
    177. $RootCAs = $RootCAs + ",39410BC2303748066069A72A664DE4C743481296"
    178. $RootCAs = $RootCAs + ",0AB5C3CD7448B86D711E77A549838B87CE525F7F"
    179. $RootCAs = $RootCAs + ",1B3D1114EA7A0F9558544195BF6B2582AB40CE9A"
    180. $RootCAs = $RootCAs + ",8025EFF46E70C8D472246584FE403B8A8D6ADBF5"
    181. $RootCAs = $RootCAs + ",2D0D5214FF9EAD9924017420476E6C852727F543"
    182. $RootCAs = $RootCAs + ",B12E13634586A46F1AB2606837582DC4ACFD9497"
    183. $RootCAs = $RootCAs + ",92B46C76E13054E104F230517E6E504D43AB10B5"
    184. $RootCAs = $RootCAs + ",A14B48D943EE0A0E40904F3CE0A4C09193515D3F"
    185. $RootCAs = $RootCAs + ",F517A24F9A48C6C9F8A200269FDC0F482CAB3089"
    186. $RootCAs = $RootCAs + ",DF3C24F9BFD666761B268073FE06D1CC8D4F82A4"
    187. $RootCAs = $RootCAs + ",7E04DE896A3E666D00E687D33FFAD93BE83D349E"
    188. $RootCAs = $RootCAs + ",DDFB16CD4931C973A2037D3FC83A4D7D775D05E4"
    189. $RootCAs = $RootCAs + ",517F611E29916B5382FB72E744D98DC3CC536D64"
    190. $RootCAs = $RootCAs + ",40B331A0E9BFE855BC3993CA704F4EC251D41D8F"
    191. $RootCAs = $RootCAs + ",26A16C235A2472229B23628025BC8097C88524A1"
    192. $RootCAs = $RootCAs + ",84F2E3DD83133EA91D19527F02D729BFC15FE667"
    193. $RootCAs = $RootCAs + ",6724902E4801B02296401046B4B1672CA975FD2B"
    194. $RootCAs = $RootCAs + ",58D52DB93301A4FD291A8C9645A08FEE7F529282"
    195. $RootCAs = $RootCAs + ",912198EEF23DCAC40939312FEE97DD560BAE49B1"
    196. $RootCAs = $RootCAs + ",5F43E5B1BFF8788CAC1CC7CA4A9AC6222BCC34C6"
    197. $RootCAs = $RootCAs + ",0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43"
    198. $RootCAs = $RootCAs + ",A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436"
    199. $RootCAs = $RootCAs + ",5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25"
    200. $RootCAs = $RootCAs + ",51501FBFCE69189D609CFAF140C576755DCC1FDF"
    201. $RootCAs = $RootCAs + ",F138A330A4EA986BEB520BB11035876EFB9D7F1C"
    202. $RootCAs = $RootCAs + ",7991E834F7E2EEDD08950152E9552D14E958D57E"
    203. $RootCAs = $RootCAs + ",795F8860C5AB7C3D92E6CBF48DE145CD11EF600B"
    204. $RootCAs = $RootCAs + ",6E2664F356BF3455BFD1933F7C01DED813DA8AA6"
    205. $RootCAs = $RootCAs + ",22FDD0B7FDA24E0DAC492CA0ACA67B6A1FE3F766"
    206. $RootCAs = $RootCAs + ",4F658E1FE906D82802E9544741C954255D69CC1A"
    207. $RootCAs = $RootCAs + ",9C615C4D4D85103A5326C24DBAEAE4A2D2D5CC97"
    208. $RootCAs = $RootCAs + ",74207441729CDD92EC7931D823108DC28192E2BB"
    209. $RootCAs = $RootCAs + ",D2EDF88B41B6FE01461D6E2834EC7C8F6C77721E"
    210. $RootCAs = $RootCAs + ",216B2A29E62A00CE820146D8244141B92511B279"
    211. $RootCAs = $RootCAs + ",F44095C238AC73FC4F77BF8F98DF70F8F091BC52"
    212. $RootCAs = $RootCAs + ",6C7CCCE7D4AE515F9908CD3FF6E8C378DF6FEF97"
    213. $RootCAs = $RootCAs + ",58E8ABB0361533FB80F79B1B6D29D3FF8D5F00F0"
    214. $RootCAs = $RootCAs + ",96C91B0B95B4109842FAD0D82279FE60FAB91683"
    215. $RootCAs = $RootCAs + ",CB658264EA8CDA186E1752FB52C397367EA387BE"
    216. $RootCAs = $RootCAs + ",559BBA7B0FFE80D6D3829B1FD07AA4D322194790"
    217. $RootCAs = $RootCAs + ",E0B4322EB2F6A568B654538448184A5036874384"
    218. $RootCAs = $RootCAs + ",20D80640DF9B25F512253A11EAF7598AEB14B547"
    219. $RootCAs = $RootCAs + ",B8236B002F1D16865301556C11A437CAEBFFC3BB"
    220. $RootCAs = $RootCAs + ",D8A6332CE0036FB185F6634F7D6A066526322827"
    221. $RootCAs = $RootCAs + ",293621028B20ED02F566C532D1D6ED909F45002F"
    222. $RootCAs = $RootCAs + ",F9B5B632455F9CBEEC575F80DCE96E2CC7B278B7"
    223. $RootCAs = $RootCAs + ",503006091D97D4F5AE39F7CBE7927D7D652D3431"
    224. $RootCAs = $RootCAs + ",8CF427FD790C3AD166068DE81E57EFBB932272D4"
    225. $RootCAs = $RootCAs + ",B31EB1B740E36C8402DADC37D44DF5D4674952F9"
    226. $RootCAs = $RootCAs + ",51C6E70849066EF392D45CA00D6DA3628FC35239"
    227. $RootCAs = $RootCAs + ",0F36385B811A25C39B314E83CAE9346670CC74B4"
    228. $RootCAs = $RootCAs + ",8094640EB5A7A1CA119C1FDDD59F810263A7FBD1"
    229. $RootCAs = $RootCAs + ",1F24C630CDA418EF2069FFAD4FDD5F463A1B69AA"
    230. $RootCAs = $RootCAs + ",D69B561148F01C77C54578C10926DF5B856976AD"
    231. $RootCAs = $RootCAs + ",B1BC968BD4F49D622AA89A81F2150152A41D829C"
    232. $RootCAs = $RootCAs + ",47BEABC922EAE80E78783462A79F45C254FDE68B"
    233. $RootCAs = $RootCAs + ",B51C067CEE2B0C3DF855AB2D92F4FE39D4E70F0E"
    234. $RootCAs = $RootCAs + ",2796BAE63F1801E277261BA0D77770028F20EEE4"
    235. $RootCAs = $RootCAs + ",AD7E1C28B064EF8F6003402014C3D0E3370EB58A"
    236. $RootCAs = $RootCAs + ",6969562E4080F424A1E7199F14BAF3EE58AB6ABB"
    237. $RootCAs = $RootCAs + ",75E0ABB6138512271C04F85FDDDE38E4B7242EFE"
    238. $RootCAs = $RootCAs + ",E1C950E6EF22F84C5645728B922060D7D5A7A3E8"
    239. $RootCAs = $RootCAs + ",D273962A2A5E399F733FE1C71E643F033834FC4D"
    240. $RootCAs = $RootCAs + ",30D4246F07FFDB91898A0BE9496611EB8C5E46E5"
    241. $RootCAs = $RootCAs + ",2A1D6027D94AB10A1C4D915CCD33A0CB3E2D54CB"
    242. $RootCAs = $RootCAs + ",84429D9FE2E73A0DC8AA0AE0A902F2749933FE02"
    243. $RootCAs = $RootCAs + ",A9822E6C6933C63C148C2DCAA44A5CF1AAD2C42E"
    244. $RootCAs = $RootCAs + ",705D2B4565C7047A540694A79AF7ABB842BDC161"
    245. $RootCAs = $RootCAs + ",FAA7D9FB31B746F200A85E65797613D816E063B5"
    246. $RootCAs = $RootCAs + ",1AC92F09EA89E28B126DFAC51E3AF7EA9095A3EE"
    247. $RootCAs = $RootCAs + ",60D68974B5C2659E8A0FC1887C88D246691B182C"
    248. $RootCAs = $RootCAs + ",D6DAA8208D09D2154D24B52FCB346EB258B28A58"
    249. $RootCAs = $RootCAs + ",FFB7E08F66E1D0C2582F0245C4970292A46E8803"
    250. $RootCAs = $RootCAs + ",A2B86B5A68D92819D9CE5DD6D7969A4968E11991"
    251. $RootCAs = $RootCAs + ",3BC6DCE00307BD676041EBD85970C62F8FDA5109"
    252. $RootCAs = $RootCAs + ",F00FC37D6A1C9261FB6BC1C218498C5AA4DC51FB"
    253. $RootCAs = $RootCAs + ",7612ED9E49B365B4DAD3120C01E603748DAE8CF0"
    254. $RootCAs = $RootCAs + ",971D3486FC1E8E6315F7C6F2E12967C724342214"
    255. $RootCAs = $RootCAs + ",3913853E45C439A2DA718CDFB6F3E033E04FEE71"
    256. $RootCAs = $RootCAs + ",8351509B7DF8CFE87BAE62AEB9B03A52F4E62C79"
    257. $RootCAs = $RootCAs + ",E45501608AA1EF89E27B8CD3C3B34C03B038E6D7"
    258. $RootCAs = $RootCAs + ",38DD7659C735100B00A237E491B7BC0FFCD2316C"
    259. $RootCAs = $RootCAs + ",20A8F5FFC43AF4A9BC89881EBF9920FF91E9FD0A"
    260. $RootCAs = $RootCAs + ",93057A8815C64FCE882FFA9116522878BC536417"
    261. $RootCAs = $RootCAs + ",B38FECEC0B148AA686C3D00F01ECC8848E8085EB"
    262. $RootCAs = $RootCAs + ",EC503507B215C4956219E2A89A5B42992C4C2C20"
    263. $RootCAs = $RootCAs + ",6AD23B9DC48E375F859AD9CAB585325C23894071"
    264. $RootCAs = $RootCAs + ",746F88F9AC163C53009EEF920C4067756A15717E"
    265. $RootCAs = $RootCAs + ",B091AA913847F313D727BCEFC8179F086F3A8C0F"
    266. $RootCAs = $RootCAs + ",F48B11BFDEABBE94542071E641DE6BBE882B40B9"
    267. $RootCAs = $RootCAs + ",76E27EC14FDB82C1C0A675B505BE3D29B4EDDBBB"
    268. $RootCAs = $RootCAs + ",D8EB6B41519259E0F3E78500C03DB68897C9EEFC"
    269. $RootCAs = $RootCAs + ",59AF82799186C7B47507CBCF035746EB04DDB716"
    270. $RootCAs = $RootCAs + ",9638633C9056AE8814A065D23BDC60A0EE702FA7"
    271. $RootCAs = $RootCAs + ",3143649BECCE27ECED3A3F0B8F0DE4E891DDEECA"
    272. $RootCAs = $RootCAs + ",7A1CDDE3D2197E7137433D3F99C0B369F706C749"
    273. $RootCAs = $RootCAs + ",535B001672ABBF7B6CC25405AE4D24FE033FD1CC"
    274. $RootCAs = $RootCAs + ",23D731FEDC5C8BB97DE6DC8E13B411BD4F24004F"
    275. $RootCAs = $RootCAs + ",9FF1718D92D59AF37D7497B4BC6F84680BBAB666"
    276. $RootCAs = $RootCAs + ",010C0695A6981914FFBF5FC6B0B695EA29E912A6"
    277. $RootCAs = $RootCAs + ",FE45659B79035B98A161B5512EACDA580948224D"
    278. $RootCAs = $RootCAs + ",9B0959898154081BF6A90E9B9E58A4690C9BA104"
    279. $RootCAs = $RootCAs + ",DF717EAA4AD94EC9558499602D48DE5FBCF03A25"
    280. $RootCAs = $RootCAs + ",BA29416077983FF4F3EFF231053B2EEA6D4D45FD"
    281. $RootCAs = $RootCAs + ",DAC9024F54D8F6DF94935FB1732638CA6AD77C13"
    282. $RootCAs = $RootCAs + ",9F8DE799CF8764ED2466990564041B194919EDE8"
    283. $RootCAs = $RootCAs + ",585F7875BEE7433EB079EAAB7D05BB0F7AF2BCCC"
    284. $RootCAs = $RootCAs + ",30779E9315022E94856A3FF8BCF815B082F9AEFD"
    285. $RootCAs = $RootCAs + ",027268293E5F5D17AAA4B3C3E6361E1F92575EAA"
    286. $RootCAs = $RootCAs + ",E252FA953FEDDB2460BD6E28F39CCCCF5EB33FDE"
    287. $RootCAs = $RootCAs + ",335A7FF00927CF2DF278E2C9192F7A4D5534F80C"
    288. $RootCAs = $RootCAs + ",C93C34EA90D9130C0F03004B98BD8B3570915611"
    289. $RootCAs = $RootCAs + ",1E0E56190AD18B2598B20444FF668A0417995F3F"
    290. $RootCAs = $RootCAs + ",06143151E02B45DDBADD5D8E56530DAAE328CF90"
    291. $RootCAs = $RootCAs + ",89DF74FE5CF40F4A80F9E3377D54DA91E101318E"
    292. $RootCAs = $RootCAs + ",8F43288AD272F3103B6FB1428485EA3014C0BCFE"
    293. $RootCAs = $RootCAs + ",3B1EFD3A66EA28B16697394703A72CA340A05BD5"
    294. $RootCAs = $RootCAs + ",46AF7A31B599460D469D6041145B13651DF9170A"
    295. $RootCAs = $RootCAs + ",EC93DE083C93D933A986B3D5CDE25ACB2FEECF8E"
    296. $RootCAs = $RootCAs + ",016897E1A0B8F2C3B134665C20A727B7A158E28F"
    297. $RootCAs = $RootCAs + ",55C86F7414AC8BDD6814F4D86AF15F3710E104D0"
    298. $RootCAs = $RootCAs + ",5CFB1F5DB732E4084C0DD4978574E0CBC093BEB3"
    299. $RootCAs = $RootCAs + ",0456F23D1E9C43AECB0D807F1C0647551A05F456"
    300. $RootCAs = $RootCAs + ",1F3F1486B531882802E87B624D420295A0FC721A"
    301. $RootCAs = $RootCAs + ",4B6BD2D3884E46C80CE2B962BC598CD9D5D84013"
    302. $RootCAs = $RootCAs + ",B2BD9031AA6D0E14F4C57FD548258F37B1FB39E4"
    303. $RootCAs = $RootCAs + ",4394CE3126FF1A224CDD4DEEB4F4EC1DA368EF6A"
    304. $RootCAs = $RootCAs + ",D6BF7994F42BE5FA29DA0BD7587B591F47A44F22"
    305. $RootCAs = $RootCAs + ",B1EAC3E5B82476E9D50B1EC67D2CC11E12E0B491"
    306. $RootCAs = $RootCAs + ",A0F8DB3F0BF417693B282EB74A6AD86DF9D448A3"
    307. $RootCAs = $RootCAs + ",1B8EEA5796291AC939EAB80A811A7373C0937967"
    308. $RootCAs = $RootCAs + ",093C61F38B8BDC7D55DF7538020500E125F5C836"
    309. $RootCAs = $RootCAs + ",4812BD923CA8C43906E7306D2796E6A4CF222E7D"
    310. $RootCAs = $RootCAs + ",CA3AFBCF1240364B44B216208880483919937CF7"
    311. $RootCAs = $RootCAs + ",1F4914F7D874951DDDAE02C0BEFD3A2D82755185"
    312. $RootCAs = $RootCAs + ",DE3F40BD5093D39B6C60F6DABC076201008976C9"
    313. $RootCAs = $RootCAs + ",D496592B305707386CC5F3CDB259AE66D7661FCA"
    314. $RootCAs = $RootCAs + ",5F3B8CF2F810B37D78B4CEEC1919C37334B9C774"
    315. $RootCAs = $RootCAs + ",36B12B49F9819ED74C9EBC380FC6568F5DACB2F7"
    316. $RootCAs = $RootCAs + ",B80E26A9BFD2B23BC0EF46C9BAC7BBF61D0D4141"
    317. $RootCAs = $RootCAs + ",28F97816197AFF182518AA44FEC1A0CE5CB64C8A"
    318. $RootCAs = $RootCAs + ",C860A318FCF5B7130B1007AD7F614A40FFFF185F"
    319. $RootCAs = $RootCAs + ",0C2009A4A88D8B4202185250540CC42BDFB5B089"
    320. $RootCAs = $RootCAs + ",D2695E12F592E9C8EE2A4CB8D55E295FEE6B2D31"
    321. $RootCAs = $RootCAs + ",4CDD51A3D1F5203214B0C6C532230391C746426D"
    322. $RootCAs = $RootCAs + ",C3197C3924E654AF1BC4AB20957AE2C30E13026A"
    323. $RootCAs = $RootCAs + ",B7AB3308D1EA4477BA1480125A6FBDA936490CBB"