Crypt.XPACK.Gen / Obfuscated.BT.1 / Dldr.Swizzor.Gen |
||
---|---|---|
#0
| ||
03.02.2007, 16:18
Member
Beiträge: 16 |
||
|
||
03.02.2007, 22:07
Ehrenmitglied
Beiträge: 29434 |
#2
Netter
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4«« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" Zitat O4 - HKLM\..\Run: [msupdtwiz] C:\WINDOWS\msupdtwiz.exe s«« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten _______ «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 02:40
Member
Themenstarter Beiträge: 16 |
#3
SDFix: Version 1.63
So 04.02.2007 - 2:29:30,76 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Lucas\\Call of Duty\\CoDUOMP.exe"="C:\\Lucas\\Call of Duty\\CoDUOMP.exe:*:Enabled:CoDUOMP" "C:\\Lucas\\Call of Duty\\CoDMP.exe"="C:\\Lucas\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP" "C:\\Johannes\\CS-Steam\\Steam.exe"="C:\\Johannes\\CS-Steam\\Steam.exe:*:Enabled:Steam" "C:\\Johannes\\XIII\\system\\XIII.exe"="C:\\Johannes\\XIII\\system\\XIII.exe:*:Enabled:XIII" "C:\\Johannes\\CS_1.5\\Counter-Strike\\cstrike.exe"="C:\\Johannes\\CS_1.5\\Counter-Strike\\cstrike.exe:*:Enabled:CounterStrike Launcher" "C:\\Johannes\\CS_Condition Zero\\czero.exe"="C:\\Johannes\\CS_Condition Zero\\czero.exe:*:Enabled:Condition Zero Launcher" "C:\\Johannes\\Ares\\Ares.exe"="C:\\Johannes\\Ares\\Ares.exe:*:Enabled:Ares" "C:\\Johannes\\CS_Steam\\Steam.exe"="C:\\Johannes\\CS_Steam\\Steam.exe:*:Enabled:Steam" "C:\\Johannes\\CS_Steam\\SteamApps\\steam_whatthehell\\counter-strike\\hl.exe"="C:\\Johannes\\CS_Steam\\SteamApps\\steam_whatthehell\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Lucas\\Empire Earth\\Empire Earth.exe"="C:\\Lucas\\Empire Earth\\Empire Earth.exe:*:Enabled:Empire Earth" "C:\\Johannes\\The All-seeingeye\\The All-Seeing Eye\\eye.exe"="C:\\Johannes\\The All-seeingeye\\The All-Seeing Eye\\eye.exe:*:Enabled:The All-Seeing Eye" "C:\\Lucas\\CS 1.6\\cs (E)\\hl.exe"="C:\\Lucas\\CS 1.6\\cs (E)\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Johannes\\Xfire\\ua_lsp_inst.exe"="C:\\Johannes\\Xfire\\ua_lsp_inst.exe:*:Enabled:ua_lsp_inst" "C:\\Programme\\Netscape\\Netscape\\plugins\\alhlp.exe"="C:\\Programme\\Netscape\\Netscape\\plugins\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program" "C:\\Johannes\\Net_Pumper\\NetPumper\\NetPumper.exe"="C:\\Johannes\\Net_Pumper\\NetPumper\\NetPumper.exe:*:Enabled:NetPumper download manager" "C:\\Johannes\\Leechftp\\Leechftp.exe"="C:\\Johannes\\Leechftp\\Leechftp.exe:*:Enabled:LeechFTP" "C:\\Programme\\Hummingbird\\Connectivity\\10.00\\Exceed\\exceed.exe"="C:\\Programme\\Hummingbird\\Connectivity\\10.00\\Exceed\\exceed.exe:*:Enabled:X Server for Win32" "C:\\Johannes\\CS_1.6\\hl.exe"="C:\\Johannes\\CS_1.6\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Johannes\\Warcraft 3\\Warcraft III\\Warcraft III.exe"="C:\\Johannes\\Warcraft 3\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\Johannes\\Warcraft III\\Warcraft III\\Warcraft III.exe"="C:\\Johannes\\Warcraft III\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\Johannes\\Unreal Tournament 2004\\System\\UT2004.exe"="C:\\Johannes\\Unreal Tournament 2004\\System\\UT2004.exe:*:Enabled:UT2004" "C:\\Johannes\\Warcraft III\\Warcraft III\\War3.exe"="C:\\Johannes\\Warcraft III\\Warcraft III\\War3.exe:*:Enabled:Warcraft III" "C:\\Johannes\\Warcraft III\\Warcraft III.exe"="C:\\Johannes\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "C:\\WINDOWS\\system32\\LEXPPS.EXE"="C:\\WINDOWS\\system32\\LEXPPS.EXE:*:Enabled:LEXPPS.EXE" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Mozilla Firefox" "C:\\Johannes\\iTunes.exe"="C:\\Johannes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Johannes\\The Battle for Middle-earth\\game.dat"="C:\\Johannes\\The Battle for Middle-earth\\game.dat:*:Enabled:Battle for Middle-earth" "C:\\Johannes\\Phone\\Skype.exe"="C:\\Johannes\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Dokumente und Einstellungen\\Helmut\\Desktop\\utorrent_1.5.exe"="C:\\Dokumente und Einstellungen\\Helmut\\Desktop\\utorrent_1.5.exe:*:Enabled:µTorrent" "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabledie Schlacht um Mittelerde™ II" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Dokumente und Einstellungen\\Helmut\\Startmenü\\Programme\\µtorrent\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Helmut\\Startmenü\\Programme\\µtorrent\\utorrent.exe:*:Enabled:µTorrent" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Dokumente und Einstellungen\Helmut\Startmen\Programme\ætorrent\utorrent.exe C:\hiberfil.sys C:\WINDOWS\system32\KGyGaAvL.sys C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp C:\found.001\dir0001.chk\Anwendungsdaten\Microsoft\Word\~WRL0620.tmp C:\found.001\dir0001.chk\Anwendungsdaten\Microsoft\Word\~WRL3766.tmp C:\Johannes\~WRL2451.tmp C:\WINDOWS\system32\config\default.tmp.LOG C:\WINDOWS\system32\config\software.tmp.LOG C:\WINDOWS\system32\config\system.tmp.LOG C:\found.001\dir0001.chk\Lokale Einstellungen\Temp\Tempor„res Verzeichnis 2 fr WinTeXShell32.zip\TEXSHELL.GID C:\found.001\dir0001.chk\Lokale Einstellungen\Temp\Tempor„res Verzeichnis 3 fr WinTeXShell32.zip\LATEX2E.GID Finished |
|
|
||
04.02.2007, 12:15
Ehrenmitglied
Beiträge: 29434 |
#4
Avenger
Zitat Registry values to delete:«« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 15:51
Member
Themenstarter Beiträge: 16 |
#5
Sophos Anti-Virus
Version 4.14.0 [Win32/Intel] Virus data version 4.14, February 2007 Includes detection for 216029 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 14:51:39, System date 04 February 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan Full Scanning >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\12812fc.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\173e2e6.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\1baf08a.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\1cdde7c.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\214acfc.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\25fbd7c.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\4c58ce.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\54acb.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\de3b87.exe Removal successful >>> Virus 'Troj/Swizz-Fam' found in file C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\e1046f.exe Removal successful Could not open C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\~ROMFN_00000380 Password protected file C:\found.001\dir0001.chk\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUadbe0040.pdf Password protected file C:\found.001\dir0001.chk\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUyhoo0010.pdf Could not check C:\found.001\dir0001.chk\Lokale Einstellungen\Temp\Regelungstechnik_II.SchwebendeKugel2.ppt (corrupt) Could not open C:\hiberfil.sys Could not check C:\msc\msc707\nast\misc\sssalter\mmsrs2.doc (corrupt) Could not check C:\msc\msc707\nast\misc\sssalter\rflagd.doc (corrupt) Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf 2 boot sectors swept. 38754 files swept in 47 minutes and 53 seconds. 10 errors were encountered. 10 viruses were discovered. 10 files out of 38754 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 5 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
04.02.2007, 16:32
Ehrenmitglied
Beiträge: 29434 |
#6
wende cleanup an
http://virus-protect.org/cleanup.html dann sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
1. Hijackthis-Logfile
Logfile of HijackThis v1.99.1
Scan saved at 15:06:24, on 3.2.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Johannes\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Johannes\iPod mini\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Helmut\Desktop\Protecus.de\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Johannes\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Johannes\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razertra] C:\Johannes\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Web Camera
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [msupdtwiz] C:\WINDOWS\msupdtwiz.exe s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bat audio] C:\DOKUME~1\Helmut\ANWEND~1\CAKEWA~1\WEB MESS DENT.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Johannes\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Johannes\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Johannes\iPod mini\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
2. CleanUp ausgeführt.
3. Combofix ausgeführt.
"Helmut" - 07-02-03 15:27:57 Service Pack 2
ComboFix 07.02.03 - Running from: "C:\Dokumente und Einstellungen\Helmut\Desktop\Protecus.de"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\SVKP.sys
((((((((((((((((((((((((((((((( Files Created from 2007-01-03 to 2007-02-03 ))))))))))))))))))))))))))))))))))
2007-01-29 01:19 <DIR> d-------- C:\Programme\Power Tab Software
2007-01-26 22:54 <DIR> d-------- C:\Programme\iTunes
2007-01-26 22:53 <DIR> d-------- C:\Programme\QuickTime
2007-01-17 18:37 <DIR> d-------- C:\Programme\Apple Software Update
2007-01-12 08:33 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-11 22:16 <DIR> d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\NetPumper
2007-01-11 22:14 <DIR> d-------- C:\Programme\NetPumper
2007-01-11 22:14 <DIR> d-------- C:\Programme\cakewayroad
2007-01-11 22:14 <DIR> d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\cakewayroad
2007-01-11 22:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Wma Mpeg Wave 64
2007-01-09 19:30 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-01-09 19:10 <DIR> d-------- C:\Programme\Sierra
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-02-03 15:26 -------- d-------- C:\Programme\mozilla firefox
2007-02-02 16:06 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-01 15:55 -------- d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\adobeum
2007-01-31 19:04 17400 --a------ C:\DOKUME~1\Helmut\Anwendungsdaten\wklnhst.dat
2007-01-29 01:19 -------- d---s---- C:\DOKUME~1\Helmut\Anwendungsdaten\microsoft
2007-01-26 23:09 -------- d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\apple computer
2007-01-18 19:37 -------- d--h----- C:\Programme\installshield installation information
2007-01-09 15:36 -------- d-------- C:\Programme\java
2007-01-08 21:12 -------- d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\skype
2007-01-07 18:29 -------- d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\utorrent
2007-01-01 10:44 -------- d-------- C:\Programme\online-dienste
2006-12-25 12:15 -------- d-------- C:\Programme\generic
2006-12-23 18:14 -------- d-------- C:\Programme\bearshare
2006-12-12 22:50 -------- d-------- C:\Programme\windows media connect 2
2006-12-05 20:44 -------- d-------- C:\DOKUME~1\Helmut\Anwendungsdaten\adobe
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"bat audio"="C:\\DOKUME~1\\Helmut\\ANWEND~1\\CAKEWA~1\\WEB MESS DENT.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"FinePrint Dispatcher v5"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"pdfFactory Pro Dispatcher v2"="\"C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fppdis2a.exe\" /source=HKLM"
"AceGain LiveUpdate"="C:\\Programme\\AceGain\\LiveUpdate\\LiveUpdate.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"razertra"="C:\\Johannes\\Razer\\razertra.exe"
"SoundMan"="SOUNDMAN.EXE"
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE USB PC Web Camera"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"msupdtwiz"="C:\\WINDOWS\\msupdtwiz.exe s"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Ares"
"hkey"="HKCU"
"command"="\"C:\\Johannes\\Ares\\Ares.exe\" -h"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMusicClient]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="eMusicClient"
"hkey"="HKLM"
"command"="C:\\Johannes\\Winamp\\eMusic\\eMusicClient.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Update"="vpc32.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Microsoft Update"="vpc32.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Schrottkiste#LOTRBFME (I)]
Shell\AutoRun\command Z:\Setup.exe
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AD11FE5690B67A86.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
********************************************************************
catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-02-03 15:31:21
C:\ComboFix2.txt ... 06-10-24 16:47
4. Logfiles
System 32
Datentr„ger in Laufwerk C: ist Johannes Netter
Volumeseriennummer: 24BD-7969
Verzeichnis von C:\WINDOWS\system32
03.02.2007 15:26 12.686 wpa.dbl
29.01.2007 15:24 364.912 FNTCACHE.DAT
09.01.2007 19:30 98.304 CmdLineExt.dll
09.01.2007 15:36 9.132 jupdate-1.5.0_10-b03.log
03.01.2007 00:19 10.980.776 MRT.exe
12.12.2006 22:52 16.832 amcompat.tlb
12.12.2006 22:52 23.392 nscompat.tlb
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
03.11.2006 10:02 8.282.112 wmploc.dll
03.11.2006 09:56 99.840 wmpshell.dll
03.11.2006 09:55 275.968 wmerror.dll
03.11.2006 09:54 8.192 asferror.dll
02.11.2006 17:02 483.328 actskn45.ocx
02.11.2006 11:51 43.008 wpdshextres.dll
Systemtemp
Datentr„ger in Laufwerk C: ist Johannes Netter
Volumeseriennummer: 24BD-7969
Verzeichnis von C:\DOKUME~1\Helmut\LOKALE~1\Temp
Windows
Datentr„ger in Laufwerk C: ist Johannes Netter
Volumeseriennummer: 24BD-7969
Verzeichnis von C:\WINDOWS
03.02.2007 15:26 0 0.log
03.02.2007 15:26 1.756.430 WindowsUpdate.log
03.02.2007 15:26 159 wiadebug.log
03.02.2007 15:26 50 wiaservc.log
03.02.2007 15:25 2.048 bootstat.dat
03.02.2007 15:24 32.620 SchedLgU.Txt
01.02.2007 16:50 51 RRBATOM_1440
29.01.2007 01:15 54.156 QTFont.qfn
28.01.2007 12:45 182.202 wmsetup.log
26.01.2007 23:50 227 system.ini
26.01.2007 23:50 887 win.ini
26.01.2007 23:08 1.409 QTFont.for
26.01.2007 22:54 121 GEARInstall.log
25.01.2007 21:53 79 BRPP2KA.INI
25.01.2007 21:53 462 brwmark.ini
12.01.2007 08:34 178.137 iis6.log
12.01.2007 08:34 398.902 comsetup.log
12.01.2007 08:34 237.718 ntdtcsetup.log
12.01.2007 08:34 56.657 ocmsn.log
12.01.2007 08:34 457.509 tsoc.log
12.01.2007 08:34 1.374 imsins.log
12.01.2007 08:34 4.795 KB929969.log
12.01.2007 08:34 613.371 ocgen.log
12.01.2007 08:34 59.299 msgsocm.log
12.01.2007 08:34 1.142.166 FaxSetup.log
12.01.2007 08:34 482.002 setupapi.log
11.01.2007 19:48 4 Twain001.Mtx
11.01.2007 19:48 217 TWAIN.LOG
11.01.2007 19:48 156 Twunk001.MTX
09.01.2007 19:15 372.767 DirectX.log
06.01.2007 14:33 476 nsw.log
31.12.2006 19:28 358.711 setupact.log
15.12.2006 14:07 1.393 imsins.BAK
15.12.2006 14:07 10.679 KB925398.log
15.12.2006 14:06 11.049 KB926255.log
15.12.2006 14:06 65.324 updspapi.log
15.12.2006 14:06 10.884 KB923694.log
12.12.2006 22:53 114.470 spupdsvc.log
12.12.2006 22:51 3.517 wmsetup10.log
12.12.2006 22:51 5.577 KB926239.log
12.12.2006 22:50 4.012 MSCompPackV1.log
12.12.2006 22:50 18.177 wmp11.log
12.12.2006 22:49 26.497 WMFDist11.log
12.12.2006 22:49 316.640 WMSysPr9.prx
12.12.2006 22:48 12.037 Wudf01000Inst.log
11.12.2006 19:48 9.204 ModemLog_Motorola USB Modem.txt
09.12.2006 13:56 40 ?Ö
09.12.2006 12:03 23.702 ie7_main.log
09.12.2006 12:03 51.194 ie7.log
09.12.2006 12:02 10.767 IDNMitigationAPIs.log
09.12.2006 12:01 10.468 NLSDownlevelMapping.log
09.12.2006 12:01 7.459 KB915865.log
09.12.2006 12:00 4.875 KB914440.log
09.12.2006 12:00 21.860 KB920213.log
09.12.2006 12:00 10.694 KB904942.log
17.11.2006 15:07 16.683 KB923980.log
17.11.2006 15:07 16.701 KB924270.log
17.11.2006 15:06 18.160 KB922760.log
Temp
Datentr„ger in Laufwerk C: ist Johannes Netter
Volumeseriennummer: 24BD-7969
Verzeichnis von C:\WINDOWS\temp
Down
Keine Angaben für die letzten drei Monate.
C
Datentr„ger in Laufwerk C: ist Johannes Netter
Volumeseriennummer: 24BD-7969
Verzeichnis von C:\
03.02.2007 15:46 0 sys.txt
03.02.2007 15:46 852 down.txt
03.02.2007 15:45 119 tmp.txt
03.02.2007 15:44 17.689 system.txt
03.02.2007 15:44 136 systemtemp.txt
03.02.2007 15:40 106.307 system32.txt
03.02.2007 15:31 10.241 ComboFix.txt
03.02.2007 15:25 804.835.328 hiberfil.sys
03.02.2007 15:25 3.145.728.000 pagefile.sys
26.01.2007 23:50 211 boot.ini
06.01.2007 17:45 409 TO_InstallLog.txt
5. Beschreibung
Dieser Pfad zu den Viren wird meisens angezeigt:
C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\
Vielen Dank für die Hilfe!