SpyFalcon - letzte Nachwirkungen bzw hartnäckiges popup

#1 Seas,

als erstes mal Danke für diese Tolle Seite - wirklich großartige Arbeit.

Ich hatte kürzlich SpyFalcon auf dem PC, konnte ihn aber (so hoffe ich) dank dieser -> http://virus-protect.org/artikel/spyware/spyfalcon.html anleitung beseitigen.

Auch die bis dato nervenden Popups bleiben bis dato aus.

Das einzige, letzte Fitzelchen was zu meinem Glück fehlt, ist das Verschwinden der Meldung aus der Taskbar (heisst das so? ) Der kleine Knopf der ausieht wie ein normales Windows update Zeichen, mit einem "plop" auftaucht und mich auf English vor den gefährlichen Dingen auf meinem PC warnt. Funktion scheint er keine mehr zu haben, zumindest läßt er sich nciht anklicken, lediglich die Meldung an sich läßt sich weg "x" -en.

Ich hoffe meine beschreibung ist ausreichent genug um zu wissen was ich meine...

Und meine Frage hierzu wäre natürlich wie ich diesen letzten Quälgeist wegbekomme, über Hilfe würde ich mich sehr freuen.

vielen Dank im voraus
Anna



ps: vielleicht hilft dies oder jemand entdeckt noch etwas anderes was nicht in Ordnung ist;

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 05:28:54, on 03.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O21 - SSODL: SvcSys - {78C7817F-1A7E-41DE-B893-D264B6175EBF} - svcsys.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

#2 Annenanna

Info:
http://virus-protect.org/artikel/spyware/ibm00000.html

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

ich hoffe ich mache alles richtig:

zu 1:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 040F-DAC3

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

05.01.2006 23:57 <DIR> .
05.01.2006 23:57 <DIR> ..
05.01.2006 23:57 71.680 ibm00001.dll
05.01.2006 23:57 3.584 ibm00001.exe
05.01.2006 23:57 53.760 ibm00002.dll
19.05.2001 08:57 561.209 MSONSEXT.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
6 Datei(en) 940.202 Bytes
2 Verzeichnis(se), 126.663.450.624 Bytes frei

Nr. 2 erledigt.

zu 3:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 040F-DAC3

Verzeichnis von C:\WINDOWS\system32

02.03.2006 19:43 102.400 ginuerep.dll
08.02.2006 06:23 4.513.120 MRT.exe
14.01.2006 04:15 1.092 form.txt
12.01.2006 01:05 4 dllsys.dll
07.01.2006 08:51 7.006 jupdate-1.5.0_06-b05.log
06.01.2006 18:06 716.800 divxdec.ax
06.01.2006 18:06 4.276 divxsm.tlb
06.01.2006 18:06 778.240 DivXsm.exe
06.01.2006 18:06 573.952 DivX.dll
06.01.2006 18:05 679.936 divx_xx07.dll
06.01.2006 18:05 10.716 dsm_ja.qm
06.01.2006 18:05 15.331 dsm_de.qm
06.01.2006 18:05 15.172 dsm_fr.qm
06.01.2006 18:05 679.936 divx_xx0c.dll
06.01.2006 18:05 663.552 divx_xx11.dll
06.01.2006 17:34 3.596.288 qt-dx331.dll
06.01.2006 17:34 8.523 dpude.qm
06.01.2006 17:34 86.016 dpl100.dll
06.01.2006 17:34 593.920 dpuGUI11.dll
06.01.2006 17:34 53.248 dpuGUI10.dll
06.01.2006 17:34 200.704 dtu100.dll
06.01.2006 17:34 339.968 dpus11.dll
06.01.2006 17:34 57.344 dpv11.dll
06.01.2006 17:34 294.912 dpu10.dll
06.01.2006 17:34 294.912 dpu11.dll
06.01.2006 17:34 3.136 dtu_de.qm
06.01.2006 17:17 1.044.480 libdivx.dll
06.01.2006 17:17 200.704 ssldivx.dll
06.01.2006 06:48 245.408 unicows.dll
06.01.2006 00:49 2.206 wpa.dbl
05.01.2006 23:57 6.144 svcsys.dll
04.01.2006 07:39 172.032 AniGIF.ocx
04.01.2006 07:39 50.688 wbhelp2.dll
04.01.2006 04:37 64.000 webclnt.dll
02.01.2006 23:38 260.608 gdi32.dll
14.12.2005 06:57 265.216 mstask.dll

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 040F-DAC3

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

04.03.2006 17:58 240 datFind.zip
04.03.2006 17:47 16.384 ~DF8B0.tmp
04.03.2006 17:47 512 ~DF2E0.tmp
04.03.2006 17:47 16.384 ~DF2D8.tmp
04.03.2006 17:47 0 $b17a2e8.tmp
04.03.2006 16:21 16.384 ~DF9ABA.tmp
04.03.2006 16:21 16.384 ~DF9049.tmp
7 Datei(en) 66.288 Bytes
0 Verzeichnis(se), 126.663.208.960 Bytes frei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 040F-DAC3

Verzeichnis von C:\WINDOWS

04.03.2006 16:21 0 0.log
04.03.2006 16:21 1.814.285 WindowsUpdate.log
04.03.2006 16:21 159 wiadebug.log
04.03.2006 16:21 50 wiaservc.log
04.03.2006 16:21 2.048 bootstat.dat
03.03.2006 06:02 32.562 SchedLgU.Txt
03.03.2006 03:54 469.544 ntbtlog.txt
03.03.2006 02:35 919.785 setupapi.log
03.03.2006 02:25 191.280 setupact.log
03.03.2006 01:52 0 setuperr.log
01.03.2006 15:12 54.156 QTFont.qfn
19.02.2006 22:15 257 lexstat.ini
19.02.2006 06:44 48.394 wmsetup.log
16.02.2006 15:33 923 spupdsvc.log
16.02.2006 15:23 67.752 iis6.log
16.02.2006 15:23 156.362 comsetup.log
16.02.2006 15:23 172.900 tsoc.log
16.02.2006 15:23 12.007 KB911927.log
16.02.2006 15:23 1.374 imsins.log
16.02.2006 15:23 93.998 ntdtcsetup.log
16.02.2006 15:23 16.024 ocmsn.log
16.02.2006 15:23 22.082 msgsocm.log
16.02.2006 15:23 237.180 ocgen.log
16.02.2006 15:23 436.777 FaxSetup.log
16.02.2006 15:23 20.483 updspapi.log
16.02.2006 15:23 4.271 KB911564.log
16.02.2006 15:23 1.374 imsins.BAK
16.02.2006 15:23 4.294 KB911565.log
16.02.2006 15:23 7.437 KB913446.log
30.01.2006 04:00 3.228 unins000.dat
30.01.2006 03:59 669.002 unins000.exe
15.01.2006 04:58 54.223 War3Unin.dat
13.01.2006 06:11 2.829 War3Unin.pif
13.01.2006 06:11 139.264 War3Unin.exe
12.01.2006 02:09 10.984 KB908519.log
11.01.2006 16:24 582 nsw.log
07.01.2006 08:51 3.108 mozver.dat
07.01.2006 05:50 107.132 UninstallFirefox.exe
07.01.2006 05:49 0 nsreg.dat
06.01.2006 19:22 11.478 KB912919.log
06.01.2006 01:09 227 system.ini
06.01.2006 01:09 535 win.ini
05.01.2006 23:57 0 uniq
20.12.2005 17:34 1.409 QTFont.for

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 040F-DAC3

Verzeichnis von C:\

04.03.2006 18:06 0 sys.txt
04.03.2006 18:05 588 systemtemp.txt
04.03.2006 18:04 8.655 system.txt
04.03.2006 18:04 90.430 system32.txt
04.03.2006 17:56 652 files.txt
04.03.2006 16:21 4.193.255.424 pagefile.sys
03.03.2006 02:25 605 rapport.txt
03.03.2006 02:22 3.561 smitfiles.txt
27.02.2006 13:58 0 s3t8
06.01.2006 01:09 194 boot.ini
10.12.2005 23:16 264 TRun32i.log
10.12.2005 22:08 168 setupfax.log
10.12.2005 19:23 0 CONFIG.SYS
10.12.2005 19:23 0 MSDOS.SYS
10.12.2005 19:23 0 IO.SYS
10.12.2005 19:23 0 AUTOEXEC.BAT

#4 Annenanna

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O21 - SSODL: SvcSys - {78C7817F-1A7E-41DE-B893-D264B6175EBF} - svcsys.dll (file missing)

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..

C:\WINDOWS\system32\ginuerep.dll
C:\WINDOWS\system32\dllsys.dll
C:\WINDOWS\system32\svcsys.dll
c:\WINDOWS\system32\winldra.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\$b17a2e8.tmp
C:\s3t8
C:\WINDOWS\uniq

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

Zitat

http://www.sophos.de/virusinfo/analyses/trojdivod.html
Sobald Troj/Divo-D installiert ist, erstellt er die Datei <Windows-Systemordner>\svcsys.dll
HKCR\CLSID\{EB6C26CB-C0AA-4732-B6AD-5FFDE7F0131C}

Troj/Divo-D wartet darauf, dass auf bestimmte Websites zugegriffen wird. Der Trojaner speichert dann, auf der Website eingegebene persönliche Daten. Der Trojaner kann auch eine gefälschte Meldung anzeigen, damit sich der Benutzer wohler fühlt, persönliche Daten einzugeben. Diese Meldung kann englisch oder spanisch angezeigt werden.

__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:00:53, 04.03.2006
+ Report-Checksumme: 1C4BCC86

+ Scanergebnis:

:mozilla.6:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\mm7645yb.default\cookies-1.txt -> TrackingCookie.Popularix : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\mm7645yb.default\cookies-10.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Programme\Microsoft AntiSpyware\Quarantine\471011C5-AF6C-4081-B0AA-5EB4E3\2AE02156-8D09-43EF-8D78-98E57B -> Proxy.Lager.f : Gesäubert mit Backup


::Report Ende

Ich hatte nie sowas wie Mozzila auf dem Rechner, das verwirrt mich gerade ein bissel... aber nagut.

panda versuch ich noch zum laufen zu brngen, hat sich 2mal bei 50% beendet

#6 du hast sehr wohl den Mozilla/Firefox geladen:

Zitat

C:\PROGRA~1\MOZILLA

es scheint, ich habe die Viren alle erwischt
Dennoch versuche noch den Pandascan zu machen und wenn es geht auch den Bitdefender/Online
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Panda:

Zitat

Incident Status Location

Potentially unwanted tool:application/regclean32 Not disinfected C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Registry Cleaner
Adware:adware/powerstrip Not Not disinfected C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Besitzer\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/SpyFalcon Not disinfected C:\RECYCLER\S-1-5-21-1409082233-413027322-725345543-500\Dc2.exe
Potentially unwanted tool:Application/SpyFalcon Not disinfected C:\RECYCLER\S-1-5-21-1409082233-413027322-725345543-500\Dc4\uninst.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

#8 Annenanna

1. leere den papierkorb
2. loesche mit der Killbox:
C:\RECYCLER\S-1-5-21-1409082233-413027322-725345543-500\Dc4\uninst.exe
C:\RECYCLER\S-1-5-21-1409082233-413027322-725345543-500\Dc2.exe

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyFalcon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 05.03.2006 15:22:41 for strings:
; 'spyfalcon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}\1.0\0\win32]
@="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}\1.0\HELPDIR]
@="C:\\Programme\\SpyFalcon\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe]
@="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon]
"DisplayName"="SpyFalcon 2.0"
"UninstallString"="C:\\Programme\\SpyFalcon\\uninst.exe"
"DisplayIcon"="C:\\Programme\\SpyFalcon\\SpyFalcon.exe"
"NSIS:StartMenuDir"="SpyFalcon"
"URLInfoAbout"="http://www.spyfalcon.com"
"Publisher"="SpyFalcon LLC"

[HKEY_USERS\S-1-5-21-1409082233-413027322-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyFalcon\\SpyFalcon.exe"="Anti- spyware and adware"
"C:\\DOKUME~1\\Besitzer\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpyFalcon Software Installer"

; End Of The Log...

#10 Annenanna

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Licenses]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

scanne mit smitfraud.fix (option 2) und poste den scanreport
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit