notepad.exe befallen! Oh je!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.06.2004, 21:01
Member
Themenstarter Beiträge: 13 |
||
|
||
20.06.2004, 21:13
Moderator
Beiträge: 7805 |
#17
Da gehoert die rundll32 auch hin, was das verursacht ist aus dem Log nicht zu ersehen. Wohin will die rundll32 denn hin? Zu welcher IP Adresse? Ist halt schwer zu sagen, Zonealarm ist auf dem neusten Stand denke ich?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.06.2004, 07:40
Member
Themenstarter Beiträge: 13 |
#18
Jetzt ist das Problemchen zum Problem geworden.
Ich kam plötzlich nicht mehr ins Internet (das ist an diesem PC noch immer der Fall)! Dann habe ich bemerkt, dass wieder folgende Einträge von Hijjackthis gefunden werden konnten: O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install Die habe ich erneut gefixt! Aber sie kamen immer wieder. Wie kam ich auf die Idee? Ich weiß es nicht mehr (hab's irgendwo gelesen), aber jedanfalls dachte ich, dass die svchost.exe dafür verantwortlich ist. Der Taskmananger zeigte mehrere Prozesse der svchost.exe an. Irgendwann habe ich es geschafft, alle zu beenden und habe die c:\windows\system32\svchost.exe und die c:\windows\system32\svcpack.dll gelöscht. Das war wohl ein großer Fehler! Nun kann ich noch immer nicht ins Internet, aber die Probleme häufen sich. Windows läuft wohl nicht mehr richtig rund. Z.B. wird die Taskleiste nicht mehr angezeigt. Wie kann ich mich jetzt noch retten? Eure Eyeliner |
|
|
||
21.06.2004, 08:07
Moderator
Beiträge: 7805 |
#19
Diese Datei zu loeschen war "toedlich" fuer dein Betriebsystem: c:\windows\system32\svchost.exe ! Warum hast du nicht nachgefragt?
Schreibe mir eine PM und ich kann dir die Dateien zuschicken, WinXP SP1 habe ich hier auch noch. Hast du die Datei C:\WINDOWS\sdkqh32.dll schon an virus@protecus.de geschickt? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.06.2004, 10:20
Member
Themenstarter Beiträge: 13 |
#20
Ja, ich habe irgendwo im Internet gelesen, dass man das löschen sollte! Tja, das war blöde!
PM kommt!(Ich danke dir!) virus@protecus.de habe ich natürlich die Datei geschickt. Viele Grüße Eyeliner |
|
|
||
28.06.2004, 13:46
...neu hier
Beiträge: 3 |
#21
Hallo,
Ich hab mich grad extra hier angemeldet weil ich das Problem mit der Notepad.exe ebenfalss habe! Um nicht genauso zu enden wie eyeliner ... frag ich lieber nach was ich löschen soll! Ich hab mit Hijackthis gescannt, gefixt, gespeichert! Hier jetzt mein Log, Ich hoffe, das mir einer sagen wird was ich jetzt wie machen soll! Logfile of HijackThis v1.97.7 Scan saved at 13:45:18, on 28.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Wecker6\Wecker.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE E:\icq-received\Yakup\CCC\txccc.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\eMule\eMule.exe C:\Programme\ICQPlus\VPlus.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ICQ\ICQ.exe C:\Programme\Shareaza\Shareaza.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Soulseek\slsk.exe C:\Dokumente und Einstellungen\ABE-hater\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1400.dll O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe O4 - HKLM\..\Run: [ClrSchLoader] C:\PROGRA~1\Lycos\IEagent\Loader.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe O9 - Extra button: Sidesearch (HKLM) O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: concept/design's onlineTV (HKLM) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF973E9-21D2-4BCE-AB51-9DE67165A7C4} (ActiveGL Control) - http://nl.mirrors.gtaskins.com/viewer/modelviewer.ocx O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37850.8998032407 O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F88333DA-6974-4572-9296-9113A831268A}: NameServer = 217.237.151.33 194.25.2.129 Ich hoffe mir kann jmd helfen ... Vielen Dank im voraus! MfG Jeda |
|
|
||
28.06.2004, 16:02
Ehrenmitglied
Beiträge: 29434 |
#22
@jeda
scanne mit dem HijackThis, dann hake an, was ich poste und fix R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file) O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe neustarten loesche C:\WINDOWS\twaintec.dll Lade #Adaware free ...update und scanne http://www.lavasoft.de/ #Spybot http://beam.to/spybotsd #Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #Mit dem XP/Clean, Version 5.5. musst du die Hostdatei ueberpruefen, 81.211.105.69 loeschen 81.211.105.68 loeschen http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm #Lade escan ...mwav.exe und scanne \alle Dateien\ http://www.mwti.net/antivirus/free_utilities.asp #Loesche unter InternetOptionen die TemporaryInternetFiles . 1.Poste dann bitte das Endergebnis vom Scann des Tools mwav.exe 2.Beschreibe genauer die Probleme mit dem notepad 3.Poste das Log noch einmal. ............................................................................................. Kannst du sagen, ob dir das ein Begriff ist ???? O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts The National Sourcing Database ????????/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.06.2004 um 16:06 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 02:14
...neu hier
Beiträge: 1 |
#23
Hallo,
neulich habe ich mir auch den Trojaner reingeholt, der die Startseite im IE auf about:blank ändert. WEnn man "about:blank" in google eingibt, erhält man genügend Lösungvorschläge. Doch alle Versuche, die Registry zu ändern - HomeoldSP und Zugriffe auf sp.html löschen etc. - wurden wieder rückgängig gemacht. Im Ordner "Windows/system32" tauchte immer wieder "sp.html" auf. Zum Glück wusste ich etwa die Uhrzeit, zu der der Rechner befallen worden war. Und unter den Dateien, die zu der Uhrzeit verändert worden waren, befanden sich notepad.exe und eine Datei namens pdll.dll. Wenn man im Windows-Explorer nach "notepad" sucht, taucht ein notepad.exe auch im dll-Verzeichnis auf. Das ist das Übel Nr. 1! Ich bin in den abgesicherten modus und hab' es gelöscht. In der verbliebenen Version von Notepad.exe hat sich in dem Moment ganz von selbst auch das Erstellungsdatum automatisch auf das Jahr 2001 zurückgesetzt!!! Außerdem habe ich pdll.dll (Übel Nr. 2) gelöscht und die Anwendung über BHO-Demon disabled. (Andersrum wäre es allerdings wohl klüger...) Das war wohl der Befreiungsschlag! Ich habe dann - immer noch im abgesicherten Modus - wie vielerorts beschrieben erneut die Registry geändert. Seither läuft der PC fehlerfrei. Notepad.exe hat allerdings immer noch eine Macke. Mal sehen, wo ich ein fehlerfreies herbekomme... Ich weiß nicht genau, was ich alles gemacht habe, aber in der Summe war's wohl richtig. ;-) |
|
|
||
08.07.2004, 00:27
Member
Beiträge: 31 |
#24
Zitat raman postetevielen Dank! Du hast mir (uns) geholfen, möge Gott dir helfen! |
|
|
||
08.07.2004, 21:37
...neu hier
Beiträge: 3 |
#25
Hallo Ihr,
Sry, ich war ne Woche im Urlaub! (Leider hat das meine Probleme nicht weniger gemacht!) Also ... Ich hab jetzt alles gemacht wie du gesagt hast Sabina! Erst mit Hijackthis ... und dann auch sämtliches runtergeladen! (adaware/XPClean/eScan ....!!! spybot und cwshredder hat ich bereits!) Hat erschreckender Weise ne Menge gefunden! :/ Allerdings muss ich gestehn, dass ich mit XPClean nicht klar kam ... und insofern auch nicht wusst wie ich die Hostdatein finden bzw. löschen könnte ... (kannst Du mir das nochmal erklärn?) Dann bin ich mir nicht sicher welche Logs Du nun brauchst! Der von eScan ist ja sowas von gross ... wolltest Du den? (sry ... aber ich bin wirklich noch grün in der Hinsicht!) Meine Notepad.exe ist(so glaub ich) komplett im ***** ... zumindest kann ich keine Textdokumente mehr öffnen!! (und ich wüsste nicht woran das sonst liegen kann!) ... Weisst du wie ich die jetzt wiederherstelle? Oder wo ich sie neu herkriege? (((alles nich mehr schön langsam!))) ............................................................................................. "Kannst du sagen, ob dir das ein Begriff ist ???? O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts The National Sourcing Database ????????/ " ............................................................................................... Nein, ist mir absolut kein Begriff ... und ich habs auf meinem Rechner gesucht, und auch nix gefunden! (ich schätze Gott sei Dank!) Dann hab ich eine Frage zu raman's Beitrag! Und zwar soll man die mwav.exe in c:\bases entpacken ... (WICHTIG!!!) ... ?!? (Wieso find ich das Verzeichnis nicht?) und was passiert wenn ichs nicht dort entpacke? Fragen über Fragen ... vl kannst Du/Ihr mir ja nochmal helfen!?!? :) Vielen Dank! Und schönen Abend erstmal! Ich schau morgen wieder rein! Jenny |
|
|
||
08.07.2004, 21:45
Ehrenmitglied
Beiträge: 29434 |
#26
@jeda
Ich antworte dir auch morgen, heute gehts nicht mehr, denn es sind zu viele Dinge, die ich zusammensuchen muss. Bis Morgen Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.07.2004, 22:31
...neu hier
Beiträge: 3 |
#27
Hallo,
... und es wird und wird nicht besser!! Ich wollt grad auf ne Seite ... und da bin ich gelandet! http:///?%20modernrocklyrics.com Diesen komischen **** macht er jetzt immer vor alle Seiten! Mir ist klar wie ich das geändert kriege ... unklar allerdings wie ich es hinkriege das diese Startseiten nicht immer wieder kommen!! HILFE SABIIINA! |
|
|
||
10.07.2004, 14:55
Ehrenmitglied
Beiträge: 29434 |
#28
jeda
Vom alten Log ausgehend Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://contexualsearch.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1400.dll O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {AC1B9D43-23CD-8F62-3CC6-ECDCD1D2A16D} - (no file) O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe O4 - HKLM\..\Run: [ClrSchLoader] C:\PROGRA~1\Lycos\IEagent\Loader.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE643.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab neustarten und gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Konfiguriere Antivirus-Einstellungen : Automatischen Scan stoppen, Internetupdate von Antivir starten, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) Mache einen Vollscann #Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 Lokalhost drinstehen . Alles andere loeschen normal neustarten Lade #Adaware free ...update und scanne http://www.lavasoft.de/ #Spybot http://beam.to/spybotsd #Lade mwav.exe und scanne \alle Dateien\ http://www.mwti.net/antivirus/free_utilities.asp #Lade spysweeper http://www.spysweeper.com/download.html #Loesche unter InternetOptionen die TemporaryInternetFiles . 1.Poste dann bitte das Endergebnis vom Scann des Tools mwav.exe UND DAS LOG NOCH EINMAL. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 15:04 Uhr von Sabina editiert.
|
|
|
||
12.07.2004, 12:26
Member
Beiträge: 40 |
#29
Hallo erstmal an alle ich bin neu hier und hab das selbe Problem
Scanned file: Notepad.exe Notepad.exe - infected by TrojanDownloader.Win32.Small.ix ich hab mir jetzt das hijackthis runtergeladen und weis jetzt nicht genau was ich weiter machen muss MfG Luki wie kopier ich die sachen von hijack hier rein? ich kann die nicht makieren *dumb* :-) thx 4 Help |
|
|
||
12.07.2004, 13:14
Ehrenmitglied
Beiträge: 29434 |
#30
baddi
nach dem <scann< mit dem HijackThis, drueckst du auf <save< und das kannst du kopieren....hier ins Forum. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 13:14 Uhr von Sabina editiert.
|
|
|
||
Die Eiträge habe ich gefixt.
Das tritt jeden Mal nach dem Windowsstart auf.
Viele Grüße
Eyeliner