TR/dldr.small.cci |
||
---|---|---|
#0
| ||
08.01.2006, 16:39
Member
Beiträge: 14 |
||
|
||
08.01.2006, 17:37
Ehrenmitglied
Beiträge: 29434 |
#2
Wootaru
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ---------------------------------------- wieso hast du bisher keine WindowsUpdates gemacht??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 17:53
Member
Themenstarter Beiträge: 14 |
#3
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 943C-8C8D Verzeichnis von C:\WINDOWS\system32 07.01.2006 23:35 2.184 wpa.dbl 03.01.2006 03:41 176.167 rmoc3260.dll 03.01.2006 03:41 5.632 pndx5032.dll 03.01.2006 03:41 6.656 pndx5016.dll 03.01.2006 03:41 278.528 pncrt.dll 09.12.2005 17:05 380.350 perfh009.dat 09.12.2005 17:05 52.764 perfc009.dat 09.12.2005 17:05 391.000 perfh007.dat 09.12.2005 17:05 63.580 perfc007.dat 09.12.2005 17:05 897.954 PerfStringBackup.INI 07.10.2005 16:01 16.832 amcompat.tlb 07.10.2005 16:01 23.392 nscompat.tlb 06.10.2005 03:17 91.888 FNTCACHE.DAT Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von C:\DOKUME~1\Orz\LOKALE~1\Temp 08.01.2006 17:14 16.384 ~DFBD7.tmp 07.01.2006 23:36 16.384 Perflib_Perfdata_468.dat 2 Datei(en) 32.768 Bytes 0 Verzeichnis(se), 16.054.333.440 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von C:\WINDOWS 08.01.2006 16:01 1.430 warnhp.html 08.01.2006 16:01 0 ntgs32.dll 07.01.2006 23:37 0 0.log 07.01.2006 23:35 2.048 bootstat.dat 07.01.2006 23:35 32.622 SchedLgU.Txt 07.01.2006 23:30 65.937 wmsetup.log 05.01.2006 16:00 50 wiaservc.log 05.01.2006 16:00 216 wiadebug.log 03.01.2006 03:44 25 cdplayer.ini 03.01.2006 03:37 462.943 setupapi.log 20.10.2005 16:12 75.683 DirectX.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von C:\ 08.01.2006 17:54 0 sys.txt 08.01.2006 17:53 4.745 system.txt 08.01.2006 17:53 351 systemtemp.txt 08.01.2006 17:51 90.859 system32.txt 07.01.2006 23:35 1.207.959.552 pagefile.sys 13.05.2005 18:45 191 TO_InstallLog.txt 11.04.2005 07:06 0 new.exe 31.03.2005 17:08 0 MSDOS.SYS 31.03.2005 17:08 0 CONFIG.SYS 31.03.2005 17:08 0 IO.SYS 31.03.2005 17:08 0 AUTOEXEC.BAT 31.03.2005 17:01 194 boot.ini 18.08.2001 13:00 4.952 bootfont.bin 18.08.2001 13:00 45.124 NTDETECT.COM 18.08.2001 13:00 224.032 ntldr 15 Datei(en) 1.208.330.000 Bytes 0 Verzeichnis(se), 16.054.251.520 Bytes frei In wiefern updates, ich dachte ich habe alle patches von Microsoft, aber ich bin wohl eines besseren belehrt worden . Edit: Antivir schreit wieder nach neustart, diesmal is Nsag mit dabei >.> Dieser Beitrag wurde am 08.01.2006 um 18:13 Uhr von Wootaru editiert.
|
|
|
||
08.01.2006, 18:41
Ehrenmitglied
Beiträge: 29434 |
#4
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir syssmss* /s > files.txt dir 75626k1uujx5* /s > files.txt dir lgcwvt8byg6vmmthd* /s > files.txt dir "C:\Program Files\Internet Explorer" >> files.txt dir "c:\Program Files" >> files.txt notepad files.txt -------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ffxi.allakhazam.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=53142 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=53142 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\8ZSHYE~1.DLL (file missing) O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\lgcwvt8byg6vmmthd.exe O4 - HKLM\..\Run: [WinsSystem] C:\Program Files\Internet Explorer\syssmss.exe O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe O20 - AppInit_DLLs: 75626k1uujx5.dll KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\System32\lgcwvt8byg6vmmthd.exe C:\WINDOWS\System32\75626k1uujx5.dll C:\WINDOWS\75626k1uujx5.dll C:\Program Files\Internet Explorer\syssmss.exe C:\WINDOWS\warnhp.html C:\WINDOWS\ntgs32.dll C:\new.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: WinHound Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) - __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 19:04
Member
Themenstarter Beiträge: 14 |
#5
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "WinHound" 08.01.2006 19:02:32 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com] [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "RegistrationUrl"="http://www.winhound.com/register/142.0.2" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] @="C:\\Programme\\WinHound" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "InstallDir"="C:\\Programme\\WinHound" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "DatabaseFile"="C:\\Programme\\WinHound\\sig.dat" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "ResourceDll"="C:\\Programme\\WinHound\\rc.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "QuarantineLocation"="C:\\Programme\\WinHound\\Trash" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound] [HKEY_USERS\S-1-5-21-1957994488-1935655697-839522115-1003\Software\Google\NavClient\1.1\History] "winhound"=hex:34,3a,c1,43 [HKEY_USERS\S-1-5-21-1957994488-1935655697-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603] "000"="winhound" [HKEY_USERS\S-1-5-21-1957994488-1935655697-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\WinHound\\WinHound.exe"="WinHound" [HKEY_USERS\S-1-5-21-1957994488-1935655697-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\Orz\\LOKALE~1\\Temp\\A~NSISu_.exe"="WinHound" Habe weiterhin meldungen von Antivir bekommen, das diese Oleext.dll infiziert sei, ausserdem meldung Nsag.b. Winintet.dll des weiteren, wegen der liste folgender dateien. C:\WINDOWS\System32\lgcwvt8byg6vmmthd.exe [Nicht Vorhanden] C:\WINDOWS\System32\75626k1uujx5.dll [Nicht Vorhanden] C:\WINDOWS\75626k1uujx5.dll [Nicht Vorhanden] C:\Program Files\Internet Explorer\syssmss.exe [Nicht Vorhanden] C:\WINDOWS\warnhp.html C:\WINDOWS\ntgs32.dll C:\new.exe [Nicht Vorhanden] Dieser Beitrag wurde am 08.01.2006 um 19:12 Uhr von Wootaru editiert.
|
|
|
||
08.01.2006, 19:50
Member
Themenstarter Beiträge: 14 |
#6
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 943C-8C8D Verzeichnis von C:\Programme\AVPersonal\INFECTED 11.04.2005 07:06 95.232 lgcwvt8byg6vmmthd.VIR 1 Datei(en) 95.232 Bytes Anzahl der angezeigten Dateien: 1 Datei(en) 95.232 Bytes 0 Verzeichnis(se), 16.065.204.224 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von c:\ |
|
|
||
08.01.2006, 19:53
Ehrenmitglied
Beiträge: 29434 |
#7
eine weitere:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint cd\ dir syssmss* /s > files.txt dir 75626k1uujx5* /s > files.txt dir "C:\Programme\WinHound" /s >> files.txt dir "C:\Program Files\Internet Explorer" >> files.txt dir "c:\Program Files" >> files.txt notepad files.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 19:58
Member
Themenstarter Beiträge: 14 |
#8
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 943C-8C8D Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von c:\ |
|
|
||
08.01.2006, 20:01
Ehrenmitglied
Beiträge: 29434 |
#9
erstelle eine listen1.bat
cd\ dir "c:\Program Files" >> files.txt notepad files.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 20:02
Member
Themenstarter Beiträge: 14 |
#10
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 943C-8C8D Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von c:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von c:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 943C-8C8D Verzeichnis von c:\ |
|
|
||
08.01.2006, 20:15
Ehrenmitglied
Beiträge: 29434 |
#11
ich lass dich bald in Ruhe...und wir beginnen mit der Reinigung
erstelle eine listen2.bat cd\ dir "C:\Programme\WinHound" /s >> files.txt dir "C:\Program Files" >> files.txt notepad files.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 20:20
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 20:22
Member
Themenstarter Beiträge: 14 |
#13
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 943C-8C8D Verzeichnis von C:\Dokumente und Einstellungen\Orz\Desktop 08.01.2006 20:19 <DIR> .. 08.01.2006 20:19 <DIR> . 08.01.2006 20:19 139 datprogram.bat 08.01.2006 20:18 106 listen2.bat 08.01.2006 20:12 <DIR> Smitrem 08.01.2006 20:03 61 Listen1.bat 08.01.2006 19:59 222 listen.bat 08.01.2006 19:41 <DIR> Neuer Ordner (2) 08.01.2006 19:07 221 list.bat 08.01.2006 19:01 1.383 RegSrch.zip 08.01.2006 18:51 68.330 KillBox.zip 08.01.2006 17:50 429 datFind.bat 08.01.2006 17:43 318.775 CleanUp40.exe 08.01.2006 16:50 212.849 hijackthis.zip 07.01.2006 12:20 <DIR> Neuer Ordner 06.01.2006 06:23 1.763.328 dewiesn.mp3 |
|
|
||
08.01.2006, 20:29
Ehrenmitglied
Beiträge: 29434 |
#14
HijackThis (Uninstall Manager)
*öffne HijackThis *click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt) *click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 20:30
Member
Themenstarter Beiträge: 14 |
#15
3ivx D4 4.5.1 (remove only)
AntiVir/XP ATI - Dienstprogramm zur Deinstallation der Software ATI Catalyst Control Center ATI Control Panel ATI Display Driver ATI HYDRAVISION AVI to MPEG Converter |
|
|
||
Ich hab mich heute wohl mit nem Trojaner infiziert,
Explorer öffnete programm, änderte mein background in windows, und ich kann es nicht mehr ändern. Antivir hat versch. Dateien gefunden und da ich nicht wirklich ahnung habe, weis ich nicht wie ich den wegbekommen kann.
da ich gelesen hab er installiert sich nach neustart wieder neu .
Letzte message war,
Fund!
Die Datei Oleext.dll ist das Trojanische Pferd TR/small.EV.312
Ich trau mich nicht diese zu löschen, da .dll doch libaries sind die benötigt werden oder nicht?
Ich hoffe mir kann jemand helfen wie ich den wieder weg bekomme. Hier der logfile von Hijackthis.
Logfile of HijackThis v1.99.1
Scan saved at 16:58:54, on 08.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Orz\Desktop\Neuer Ordner (2)\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ffxi.allakhazam.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\8ZSHYE~1.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\lgcwvt8byg6vmmthd.exe
O4 - HKLM\..\Run: [WinsSystem] C:\Program Files\Internet Explorer\syssmss.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03ad424e5221df3d8902/netzip/RdxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B91C79C-151F-4CF1-9F8A-2EDA3C07E9B5}: NameServer = 217.237.149.225 194.25.2.129
O20 - AppInit_DLLs: 75626k1uujx5.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE