Spyware Detection Alert

#1 Ein freundliches Hallo aus Hamburg!

Tja, leider hat es mich jetzt auch erwischt, aber leider kam ich mit der Hilfe unter "http://board.protecus.de/t26822.htm" nicht weiter.

Bei jedem Boot bekomme ich ein neues Symbol in der Taskleiste. Wenn ich darauf klicke, öffnet sich ein Kontextmenü, in welchem ich "open" oder "ignore" wählen kann. Beim Öffnen erscheint eine "Security Warning" mit der Überschrift "Spyware Detection Alert".

Gemäß einer anderen Website habe ich "Vundofix" laufen lassen. Es wurden drei DLL Dateien gefunden und gelöscht. Danach habe ich das Backup-Verzeichnis gelöscht und den Papierkorb geleert.
Folgende Dateien wurden gelöscht:

C:\WINDOWS\system32\cfhkj.bak1
C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2
C:\WINDOWS\system32\cfhkj.tmp
C:\WINDOWS\system32\jkhfc.dll

"CleanUp" habe ich auch durchlaufen lassen, wie es auf der entsprechenden Website gefordert ist.

"ComboFix" läuft nicht, es erscheint folgende Meldung:

"The tool, ComboFix has been temporarily withdrawn.
The author discovered a rootkit infection that will intefere with ComboFix's running.
This will cause Combofix to be UNSAFE FOR USE on your machine.
Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL
Apologies for any inconvenience caused"

((("DatFind" erzeugt die Scripts gemäß der angehängten Datei.)))

Würde mich sehr freuen, wenn mir von Euch jemand weiterhelfen kann.

Gruß
TrockenEis


*********************************
****** Zweiter Teil ******
*********************************


Habe "SUPERAntiSpyware" laufen lassen und einiges gefunden sowie entfernt. Angehängt habe ich den LOG File (ersetzt den Anhang des ersten Teils).

"ComboFix" läuft allerdings immer noch nicht. Gleiche Fehlermeldung!

Habe noch die aktuellen Ergebnisse von "DatFind" und "HijackThis" gepostet in der Hoffnung, dass mir jemand helfen kann und auf meine Anfrage reagiert.

******* DatFind ******

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\system32

17.02.2007 22:06 2.206 wpa.dbl
17.02.2007 22:05 1.231.628 kspydoc.log
17.02.2007 22:05 0 Sweeper.cfg
17.02.2007 22:04 514.084 aybeg.ini2
17.02.2007 21:05 513.850 aybeg.tmp
17.02.2007 19:53 0 tmp.txt
17.02.2007 19:53 4.806 tmp.reg
17.02.2007 19:08 143 mcrh.tmp
17.02.2007 17:57 498.759 aybeg.bak1
16.02.2007 20:15 409 rstwa.ini
02.02.2007 06:56 1.634 EraserAHS.log
02.02.2007 06:56 28.506 coh.cache
02.02.2007 06:56 15.552 EraserAHS.tlg
25.01.2007 20:25 13.312 BASSMOD.dll
21.01.2007 13:14 48.776 S32EVNT1.DLL
20.01.2007 10:46 14.622 muzika.xm
16.01.2007 20:15 283 setup.rpt
16.01.2007 20:15 1.055 setup.inf
16.01.2007 20:15 161.540 ASTULog.cab
12.01.2007 20:03 2.323.072 TUKernel.exe
11.01.2007 06:34 430.786 perfh009.dat
11.01.2007 06:34 450.662 perfh007.dat
11.01.2007 06:34 73.742 perfc009.dat
11.01.2007 06:34 89.800 perfc007.dat
11.01.2007 06:34 1.058.620 PerfStringBackup.INI
08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log
20.12.2006 21:05 520.192 ati2sgag.exe
17.12.2006 03:50 263.168 ati2dvag.dll
17.12.2006 03:44 118.784 atipdlxx.dll
17.12.2006 03:44 102.400 Oemdspif.dll
17.12.2006 03:44 26.112 Ati2mdxx.exe
17.12.2006 03:44 42.496 ati2edxx.dll
17.12.2006 03:44 110.592 ati2evxx.dll
17.12.2006 03:42 434.176 ati2evxx.exe
17.12.2006 03:42 53.248 ATIDDC.DLL
17.12.2006 03:41 307.200 atiiiexx.dll
17.12.2006 03:35 2.676.672 ati3duag.dll
17.12.2006 03:30 1.289.472 ativvaxx.dll
17.12.2006 03:30 3.107.788 ativvaxx.dat
17.12.2006 03:21 5.304.320 atioglxx.dll
17.12.2006 03:17 241.664 atikvmag.dll
17.12.2006 03:16 303.104 ATIDEMGR.dll
17.12.2006 03:16 17.408 atitvo32.dll
17.12.2006 03:10 315.392 ati2cqag.dll
28.11.2006 20:55 142.347 atiicdxx.dat
23.11.2006 16:45 24.072 uxtuneup.dll
21.11.2006 23:48 6.973 atifglpf.xml
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
09.11.2006 04:03 12.722 atioglgl.xml



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp

17.02.2007 22:26 96 WcesView.log
17.02.2007 22:23 512 ~DF8926.tmp
17.02.2007 22:12 346 jusched.log
17.02.2007 22:08 16.384 Perflib_Perfdata_5e0.dat
17.02.2007 22:08 32.768 ~DFF59E.tmp
17.02.2007 22:08 16.384 Perflib_Perfdata_acc.dat
17.02.2007 22:07 929 WCESLog.log
17.02.2007 22:07 375 WCESCOMM.LOG
17.02.2007 19:59 32.768 ~DFC0B.tmp
17.02.2007 18:07 691.676 _iu14D2N.tmp



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS

17.02.2007 22:13 426.872 WindowsUpdate.log
17.02.2007 22:06 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt
17.02.2007 22:05 0 0.log
17.02.2007 22:05 2.048 bootstat.dat
17.02.2007 22:04 32.628 SchedLgU.Txt
17.02.2007 19:53 285.586 setupact.log
17.02.2007 19:48 690.906 ntbtlog.txt
17.02.2007 15:09 27.159 gc.exe
17.02.2007 15:08 671.539 setupapi.log
16.02.2007 21:33 1.149 wmsetup10.log
16.02.2007 21:33 101.123 wmsetup.log
15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt
10.02.2007 06:29 47 wiaservc.log
10.02.2007 06:29 544 wiadebug.log
09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt
03.02.2007 12:37 904 orun32.ini
21.01.2007 12:39 97.209 iis6.log
21.01.2007 12:39 237.211 comsetup.log
21.01.2007 12:39 145.730 ntdtcsetup.log
21.01.2007 12:39 266.407 tsoc.log
21.01.2007 12:39 1.374 imsins.log
21.01.2007 12:39 36.418 ocmsn.log
21.01.2007 12:39 15.882 KB893803v2.log
21.01.2007 12:39 365.192 ocgen.log
21.01.2007 12:39 33.854 msgsocm.log
21.01.2007 12:39 679.034 FaxSetup.log
17.01.2007 22:33 170 setup.log
16.01.2007 07:45 8.935 KB909394.log
16.01.2007 07:44 12.719 KB894476.log
11.01.2007 06:24 1.374 imsins.BAK
11.01.2007 06:24 135.408 updspapi.log
07.01.2007 21:14 69 NeroDigital.ini
10.12.2006 16:50 27.245 DirectX.log
26.11.2006 15:31 20.010 DPINST.LOG
17.11.2006 23:32 1.072.189.440 MEMORY.DMP
14.11.2006 22:42 57 TUTORI~1.INI
09.11.2006 18:30 36 verypdf.ini
01.11.2006 19:47 0 plclient.INI



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Temp

17.02.2007 22:06 409 WGANotify.settings
17.02.2007 22:06 255 WGAErrLog.txt
17.02.2007 22:06 0 sqlite_MVAbaQ0cTpb6SMu
17.02.2007 22:06 0 CLML_AGENT_LOG1.txt
17.02.2007 22:01 0 win1C.tmp
17.02.2007 21:43 0 win1B.tmp
17.02.2007 21:43 0 win1A.tmp
17.02.2007 21:43 0 win19.tmp
17.02.2007 21:43 0 win18.tmp
17.02.2007 21:41 0 win17.tmp
17.02.2007 21:19 0 win16.tmp
17.02.2007 20:57 0 win15.tmp
17.02.2007 20:35 0 win14.tmp
17.02.2007 20:13 0 win13.tmp
17.02.2007 20:11 0 win12.tmp
17.02.2007 20:09 0 win11.tmp
17.02.2007 20:07 0 winF.tmp
17.02.2007 20:05 0 win9.tmp
17.02.2007 19:46 0 T30DebugLogFile.txt
17.02.2007 19:44 0 winE.tmp
17.02.2007 19:42 1.043 winD.tmp
17.02.2007 19:24 0 winC.tmp
17.02.2007 19:02 0 win8.tmp
23 Datei(en) 1.707 Bytes
0 Verzeichnis(se), 17.035.489.280 Bytes frei



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

-*-*-*- keine Eintragungen aus den letzten drei Monaten -*-*-*-


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\

17.02.2007 22:27 0 sys.txt
17.02.2007 22:27 793 down.txt
17.02.2007 22:27 1.339 tmp.txt
17.02.2007 22:27 13.730 system.txt
17.02.2007 22:27 803 systemtemp.txt
17.02.2007 22:27 120.988 system32.txt
17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt
17.02.2007 22:05 1.072.156.672 hiberfil.sys
17.02.2007 22:05 1.610.612.736 pagefile.sys
17.02.2007 19:53 1.243 rapport.txt
17.02.2007 19:40 462 avenger.txt
17.02.2007 19:34 8.139 datfind.txt
17.02.2007 17:39 1.090 VundoFix.txt
22.01.2007 22:09 216 ASLog.txt
17.01.2007 22:33 0 DBS.TXT
12.01.2007 20:03 410 boot.ini
09.11.2006 18:30 93 pdfinfo.ini

******* HijackThis ******

Logfile of HijackThis v1.99.1
Scan saved at 22:32:47, on 17.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



******* Vielen Dank ******

Ich hoffe, dass sich jemand meldet und mir helfen kann. Bin kein Profi und habe somit relativ wenig Ahnung davon -> also ziemlich LOST.

Gruß
TrockenEis

#2 TrockenEis

««
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\gebya

Files to delete:
C:\WINDOWS\system32\aybeg.ini2
C:\WINDOWS\system32\aybeg.tmp
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\Temp\win1C.tmp
C:\WINDOWS\Temp\win1B.tmp
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\win18.tmp
C:\WINDOWS\Temp\win17.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win15.tmp
C:\WINDOWS\Temp\win14.tmp
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\win11.tmp
C:\WINDOWS\Temp\winF.tmp
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\winE.tmp
C:\WINDOWS\Temp\winD.tmp
C:\WINDOWS\Temp\winC.tmp
C:\WINDOWS\Temp\win8.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

ººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº

Klicke: Start -Ausführen- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für Deine Antwort. Hatte bisher noch folgendes durchgeführt:

*********************
****** Dritter Teil ******
*********************

Habe noch den ewido-online-scan gemacht:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________

Name: TrackingCookie.Etracker
Path: :mozilla.36:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.37:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Etracker
Path: :mozilla.38:C:\Dokumente und Einstellungen\Lutz\Anwendungsdaten\Mozilla\Firefox\Profiles\ae5dat9h.default\cookies.txt
Risk: Medium


Name: TrackingCookie.Serving-sys
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc10.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc13.txt
Risk: Medium

Name: TrackingCookie.Yadro
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc20.txt
Risk: Medium

Name: TrackingCookie.Adnet
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc22.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc23.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc25.txt
Risk: Medium

Name: TrackingCookie.Adrevolver
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc27.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc29.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc30.txt
Risk: Medium

Name: TrackingCookie.Addcontrol
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc31.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc36.txt
Risk: Medium

Name: TrackingCookie.Hotlog
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc42.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc43.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc44.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc50.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc51.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc53.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc59.txt
Risk: Medium

Name: TrackingCookie.Etracker
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc64.txt
Risk: Medium

Name: TrackingCookie.Adnet
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc68.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc71.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc72.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc73.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\RECYCLER\S-1-5-21-3453540986-632477942-3113998640-1010\Dc77.txt
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.PopCap.a
Path: C:\WINDOWS\Downloaded Program Files\popcaploader.dll
Risk: Low



Danach habe ich CounterSpy laufen lassen:


Scan History Details
Start Date: 18.02.2007 01:14:01
End Date: 18.02.2007 02:47:58
Total Time: 93 Min 57 Sec
Detected security risks

Advanced Computer Monitor Commercial Key Logger more information...
Details: Advanced Computer Monitor is a tool for Windows 95/98/ME/NT/2K/XP that records computer activities. It will monitor keystrokes, take screenshots, log web pages visited and programs run. Advanced Computer Monitor can e-mail the logs or the logs can be copied to a network computer or can be viewed on the computer being monitored.
Status: Deleted

Files detected
D:\addon\tts\setup.exe


Packed.Win32.Klone.ab Trojan more information...
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WINRKP32


******* Vielen Dank ******

Werde jetzt noch Deine Tipps erledigen.

Gruß
TrockenEis

*********************
****** Vierter Teil ******
*********************

So, habe jetzt alles andere auch durchgeführt.

Die Entfernung der Dateien aus dem "temp" Verzeichnis über das Eingabefenster hat jedoch für folgende Dateien nicht funktioniert, da sie gerade verwendet werden:

CLML_AGENT_LOG1.txt

sqlite_psSC7vS1AyFJUhv

******* Vielen Dank bis dahin ******

Was brauchst Du jetzt noch von mir, damit Du weißt, ob alles entfernt ist?

Gruß
TrockenEis

#4 1.
Anwenden vom avengerscript
wenn der Rechner neustartet, erscheint ein log vom Avenger - poste es hier +
noch mal die 6 logs von datfindbat

2.
arbeite das ab und poste das log hier
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

1. Avenger hat eine leere Textdatei nach dem Neustart erstellt.

2. Hier die aktuellen LOGs von DatFind:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\system32

18.02.2007 10:57 2.206 wpa.dbl
18.02.2007 03:41 1.231.790 kspydoc.log
18.02.2007 01:14 0 SBFC.dat
18.02.2007 01:14 0 SBRC.dat
17.02.2007 22:05 0 Sweeper.cfg
10.02.2007 10:24 24.816 SBBD.exe
02.02.2007 06:56 1.634 EraserAHS.log
02.02.2007 06:56 28.506 coh.cache
02.02.2007 06:56 15.552 EraserAHS.tlg
25.01.2007 20:25 13.312 BASSMOD.dll
21.01.2007 13:14 48.776 S32EVNT1.DLL
20.01.2007 10:46 14.622 muzika.xm
16.01.2007 20:15 1.055 setup.inf
16.01.2007 20:15 283 setup.rpt
16.01.2007 20:15 161.540 ASTULog.cab
12.01.2007 20:03 2.323.072 TUKernel.exe
11.01.2007 06:34 430.786 perfh009.dat
11.01.2007 06:34 73.742 perfc009.dat
11.01.2007 06:34 450.662 perfh007.dat
11.01.2007 06:34 89.800 perfc007.dat
11.01.2007 06:34 1.058.620 PerfStringBackup.INI
08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log
28.12.2006 16:13 516.832 capicom.dll
20.12.2006 21:05 520.192 ati2sgag.exe
17.12.2006 03:50 263.168 ati2dvag.dll
17.12.2006 03:44 118.784 atipdlxx.dll
17.12.2006 03:44 102.400 Oemdspif.dll
17.12.2006 03:44 26.112 Ati2mdxx.exe
17.12.2006 03:44 42.496 ati2edxx.dll
17.12.2006 03:44 110.592 ati2evxx.dll
17.12.2006 03:42 434.176 ati2evxx.exe
17.12.2006 03:42 53.248 ATIDDC.DLL
17.12.2006 03:41 307.200 atiiiexx.dll
17.12.2006 03:35 2.676.672 ati3duag.dll
17.12.2006 03:30 1.289.472 ativvaxx.dll
17.12.2006 03:30 3.107.788 ativvaxx.dat
17.12.2006 03:21 5.304.320 atioglxx.dll
17.12.2006 03:17 241.664 atikvmag.dll
17.12.2006 03:16 303.104 ATIDEMGR.dll
17.12.2006 03:16 17.408 atitvo32.dll
17.12.2006 03:10 315.392 ati2cqag.dll
28.11.2006 20:55 142.347 atiicdxx.dat
23.11.2006 16:45 24.072 uxtuneup.dll
21.11.2006 23:48 6.973 atifglpf.xml
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
09.11.2006 04:03 12.722 atioglgl.xml



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp

18.02.2007 12:56 336 WcesView.log
18.02.2007 12:50 512 ~DF2A96.tmp
18.02.2007 12:46 131.072 ~DF7DDD.tmp
18.02.2007 12:23 0 JETB9B5.tmp
18.02.2007 12:21 0 hs~7.tmp
18.02.2007 11:03 865 jusched.log
18.02.2007 11:00 16.384 Perflib_Perfdata_13e4.dat
18.02.2007 11:00 32.768 ~DFAECA.tmp
18.02.2007 10:59 16.384 Perflib_Perfdata_a90.dat
18.02.2007 10:58 375 WCESCOMM.LOG
18.02.2007 10:58 2.312 WCESLog.log
18.02.2007 04:03 32.768 ~DF63BF.tmp
18.02.2007 03:46 32.768 ~DF337A.tmp
17.02.2007 22:08 32.768 ~DFF59E.tmp
17.02.2007 19:59 32.768 ~DFC0B.tmp



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS

18.02.2007 11:02 451.988 WindowsUpdate.log
18.02.2007 10:56 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt
18.02.2007 10:56 0 0.log
18.02.2007 10:56 2.048 bootstat.dat
18.02.2007 10:55 32.628 SchedLgU.Txt
18.02.2007 03:47 285.646 setupact.log
17.02.2007 22:51 672.021 setupapi.log
17.02.2007 19:48 690.906 ntbtlog.txt
17.02.2007 15:09 27.159 gc.exe
16.02.2007 21:33 1.149 wmsetup10.log
16.02.2007 21:33 101.123 wmsetup.log
15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt
10.02.2007 06:29 47 wiaservc.log
10.02.2007 06:29 544 wiadebug.log
09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt
03.02.2007 12:37 904 orun32.ini
21.01.2007 12:39 97.209 iis6.log
21.01.2007 12:39 237.211 comsetup.log
21.01.2007 12:39 145.730 ntdtcsetup.log
21.01.2007 12:39 266.407 tsoc.log
21.01.2007 12:39 1.374 imsins.log
21.01.2007 12:39 36.418 ocmsn.log
21.01.2007 12:39 15.882 KB893803v2.log
21.01.2007 12:39 365.192 ocgen.log
21.01.2007 12:39 33.854 msgsocm.log
21.01.2007 12:39 679.034 FaxSetup.log
17.01.2007 22:33 170 setup.log
16.01.2007 07:45 8.935 KB909394.log
16.01.2007 07:44 12.719 KB894476.log
11.01.2007 06:24 1.374 imsins.BAK
11.01.2007 06:24 135.408 updspapi.log
07.01.2007 21:14 69 NeroDigital.ini
10.12.2006 16:50 27.245 DirectX.log
26.11.2006 15:31 20.010 DPINST.LOG
17.11.2006 23:32 1.072.189.440 MEMORY.DMP
14.11.2006 22:42 57 TUTORI~1.INI
09.11.2006 18:30 36 verypdf.ini
01.11.2006 19:47 0 plclient.INI



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Temp

18.02.2007 10:57 409 WGANotify.settings
18.02.2007 10:57 255 WGAErrLog.txt
18.02.2007 10:56 0 sqlite_BmVYLUbqumOpqSd
18.02.2007 10:56 0 CLML_AGENT_LOG1.txt
18.02.2007 10:55 0 T30DebugLogFile.txt



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

-*-*-*- Keine Einträge in den letzten drei Monaten -*-*-*-

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\

18.02.2007 12:57 0 sys.txt
18.02.2007 12:57 796 down.txt
18.02.2007 12:57 499 tmp.txt
18.02.2007 12:57 13.730 system.txt
18.02.2007 12:57 1.045 systemtemp.txt
18.02.2007 12:57 121.141 system32.txt
18.02.2007 11:02 774 SBCSTray.log
18.02.2007 10:56 1.072.156.672 hiberfil.sys
18.02.2007 10:56 1.610.612.736 pagefile.sys
18.02.2007 03:59 1.426 avenger.txt
18.02.2007 03:35 1.335 VundoFix.txt
18.02.2007 01:05 25.818 ewido-report.log
17.02.2007 22:31 7.879 datfind.txt
17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt
17.02.2007 19:53 1.243 rapport.txt
22.01.2007 22:09 216 ASLog.txt
17.01.2007 22:33 0 DBS.TXT
12.01.2007 20:03 410 boot.ini
09.11.2006 18:30 93 pdfinfo.ini

3. ComboScan läuft gerade.

Vielen Dank

Gruß
TrockenEis

#6 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\gc.exe
C:\WINDOWS\system32\SBBD.exe

poste hier die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier das ComboScanLog:

ComboScan v20070212.14 run by Schiko on 2007-02-18 at 13:04:22
Computer is in Normal Mode.
--------------------------------------------------------------------------------

System Restore was disabled; re-enabling.
Failed to create restore point: System Restore is disabled (service is not running).
Performed disk cleanup.



-- End of ComboScan: finished at 2007-02-18 at 13:10:10 -------------------------

---------------------------------------------------------------
VirusTotal - 1
---------------------------------------------------------------

Complete scanning result of "gc.exe", received in VirusTotal at 02.18.2007, 13:14:38 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.18.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.18.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.18.2007 no virus found
DrWeb 4.33 02.18.2007 no virus found
eSafe 7.0.14.0 02.18.2007 Win32.Polipos.sus
eTrust-Vet 30.4.3410 02.18.2007 no virus found
Ewido 4.0 02.18.2007 no virus found
Fortinet 2.85.0.0 02.18.2007 PossibleThreat!024271
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.18.2007 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 02.18.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.18.2007 no virus found
NOD32v2 2068 02.18.2007 no virus found
Norman 5.80.02 02.16.2007 W32/Suspicious_U.gen
Panda 9.0.0.4 02.17.2007 Suspicious file
Prevx1 V2 02.18.2007 Dropper.Payload
Sophos 4.14.0 02.18.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious
Symantec 10 02.18.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 novirusacked/Upack

Aditional Information
File size: 27159 bytes
MD5: 9318b3f2c9009e4858fb9612ae7c9f3a
SHA1: 1b6704de61c9afda95ce4c77a268f4677e6521d0
packers: UPack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=550d77920179
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


---------------------------------------------------------------
VirusTotal - 2
---------------------------------------------------------------

Complete scanning result of "SBBD.exe", received in VirusTotal at 02.18.2007, 13:20:32 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.18.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.18.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.18.2007 no virus found
DrWeb 4.33 02.18.2007 no virus found
eSafe 7.0.14.0 02.18.2007 no virus found
eTrust-Vet 30.4.3410 02.18.2007 no virus found
Ewido 4.0 02.18.2007 no virus found
Fortinet 2.85.0.0 02.18.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.18.2007 no virus found
Kaspersky 4.0.2.24 02.18.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.18.2007 no virus found
NOD32v2 2068 02.18.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 no virus found
Prevx1 V2 02.18.2007 no virus found
Sophos 4.14.0 02.18.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.18.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus found

Aditional Information
File size: 24816 bytes
MD5: c98a1d575b8f39fd1c893d34e9e94ae1
SHA1: 9b042859dba6251199be1ce407024e11bb25b99f



Gruß
TrockenEis

#8 Avenger

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{613E7B70-5380-4063-A060-C147AB994C02}

Files to delete:
C:\WINDOWS\gc.exe

Folders to delete:
C:\Programme\CrackZ-and-SerialZ-Sniper
C:\WINDOWS\uninstall

-----------------------------------------------------------------------

»»
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hier das Avenger LOG:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qtpncrfk

*******************

Script file located at: \??\C:\WINDOWS\system32\neblqavw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\gc.exe deleted successfully.
Folder C:\Programme\CrackZ-and-SerialZ-Sniper deleted successfully.
Folder C:\WINDOWS\uninstall deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{613E7B70-5380-4063-A060-C147AB994C02} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Rest folgt!

Gruß
TrockenEis

#10 poste also das log von sdfix
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier das LOG von SDFix



SDFix: Version 1.66

Run by Schiko - 18.02.2007 @ 13:54:26,17

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...



Gruß
TrockenEis

#12 Avenger
kopiere rein:

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe

Files to delete:
C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe

»»
dann poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Wow, was ein Aufwand ... Herzlichen Dank für Deine Zeit - Du bist ein Engel!!!

Hier das Avenger LOG:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wohioyvq

*******************

Script file located at: \??\C:\WINDOWS\system32\oikbrsrj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not delete registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe
Deletion of registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


... und die DatFind LOGs ...

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\system32

18.02.2007 14:27 2.206 wpa.dbl
18.02.2007 03:41 1.231.790 kspydoc.log
18.02.2007 01:14 0 SBFC.dat
18.02.2007 01:14 0 SBRC.dat
17.02.2007 22:05 0 Sweeper.cfg
10.02.2007 10:24 24.816 SBBD.exe
02.02.2007 06:56 1.634 EraserAHS.log
02.02.2007 06:56 28.506 coh.cache
02.02.2007 06:56 15.552 EraserAHS.tlg
25.01.2007 20:25 13.312 BASSMOD.dll
21.01.2007 13:14 48.776 S32EVNT1.DLL
20.01.2007 10:46 14.622 muzika.xm
16.01.2007 20:15 1.055 setup.inf
16.01.2007 20:15 283 setup.rpt
16.01.2007 20:15 161.540 ASTULog.cab
12.01.2007 20:03 2.323.072 TUKernel.exe
11.01.2007 06:34 430.786 perfh009.dat
11.01.2007 06:34 73.742 perfc009.dat
11.01.2007 06:34 450.662 perfh007.dat
11.01.2007 06:34 89.800 perfc007.dat
11.01.2007 06:34 1.058.620 PerfStringBackup.INI
08.01.2007 18:21 9.074 jupdate-1.5.0_10-b03.log
28.12.2006 16:13 516.832 capicom.dll
20.12.2006 21:05 520.192 ati2sgag.exe
17.12.2006 03:50 263.168 ati2dvag.dll
17.12.2006 03:44 118.784 atipdlxx.dll
17.12.2006 03:44 102.400 Oemdspif.dll
17.12.2006 03:44 26.112 Ati2mdxx.exe
17.12.2006 03:44 42.496 ati2edxx.dll
17.12.2006 03:44 110.592 ati2evxx.dll
17.12.2006 03:42 434.176 ati2evxx.exe
17.12.2006 03:42 53.248 ATIDDC.DLL
17.12.2006 03:41 307.200 atiiiexx.dll
17.12.2006 03:35 2.676.672 ati3duag.dll
17.12.2006 03:30 1.289.472 ativvaxx.dll
17.12.2006 03:30 3.107.788 ativvaxx.dat
17.12.2006 03:21 5.304.320 atioglxx.dll
17.12.2006 03:17 241.664 atikvmag.dll
17.12.2006 03:16 303.104 ATIDEMGR.dll
17.12.2006 03:16 17.408 atitvo32.dll
17.12.2006 03:10 315.392 ati2cqag.dll
28.11.2006 20:55 142.347 atiicdxx.dat
23.11.2006 16:45 24.072 uxtuneup.dll
21.11.2006 23:48 6.973 atifglpf.xml
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
09.11.2006 04:03 12.722 atioglgl.xml




Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\DOKUME~1\Schiko\LOKALE~1\Temp

18.02.2007 14:30 192 WcesView.log
18.02.2007 14:29 16.384 Perflib_Perfdata_f20.dat
18.02.2007 14:29 32.768 ~DF1215.tmp
18.02.2007 14:28 375 WCESCOMM.LOG
18.02.2007 14:28 16.384 Perflib_Perfdata_464.dat
18.02.2007 14:28 4.163 WCESLog.log
18.02.2007 14:15 346 jusched.log
18.02.2007 14:13 6.727 radarcache-default-1.gif
18.02.2007 14:11 32.768 ~DF148B.tmp
18.02.2007 13:32 32.768 ~DFBA29.tmp
18.02.2007 11:00 32.768 ~DFAECA.tmp




Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS

18.02.2007 14:26 470.701 WindowsUpdate.log
18.02.2007 14:26 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt
18.02.2007 14:26 0 0.log
18.02.2007 14:26 2.048 bootstat.dat
18.02.2007 14:25 32.628 SchedLgU.Txt
18.02.2007 13:47 881.948 ntbtlog.txt
18.02.2007 03:47 285.646 setupact.log
17.02.2007 22:51 672.021 setupapi.log
16.02.2007 21:33 1.149 wmsetup10.log
16.02.2007 21:33 101.123 wmsetup.log
15.02.2007 17:44 1.994 ModemLog_Standard Modem over IR link.txt
10.02.2007 06:29 47 wiaservc.log
10.02.2007 06:29 544 wiadebug.log
09.02.2007 21:13 9.015 CodeWallet Pro 2006 for Windows Mobile Setup Log.txt
03.02.2007 12:37 904 orun32.ini
21.01.2007 12:39 97.209 iis6.log
21.01.2007 12:39 237.211 comsetup.log
21.01.2007 12:39 145.730 ntdtcsetup.log
21.01.2007 12:39 266.407 tsoc.log
21.01.2007 12:39 36.418 ocmsn.log
21.01.2007 12:39 1.374 imsins.log
21.01.2007 12:39 15.882 KB893803v2.log
21.01.2007 12:39 365.192 ocgen.log
21.01.2007 12:39 33.854 msgsocm.log
21.01.2007 12:39 679.034 FaxSetup.log
17.01.2007 22:33 170 setup.log
16.01.2007 07:45 8.935 KB909394.log
16.01.2007 07:44 12.719 KB894476.log
11.01.2007 06:24 1.374 imsins.BAK
11.01.2007 06:24 135.408 updspapi.log
07.01.2007 21:14 69 NeroDigital.ini
10.12.2006 16:50 27.245 DirectX.log
26.11.2006 15:31 20.010 DPINST.LOG
17.11.2006 23:32 1.072.189.440 MEMORY.DMP
14.11.2006 22:42 57 TUTORI~1.INI
09.11.2006 18:30 36 verypdf.ini
01.11.2006 19:47 0 plclient.INI



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Temp

18.02.2007 14:27 409 WGANotify.settings
18.02.2007 14:26 0 sqlite_4P9sh3PBBAv8PPR
18.02.2007 14:26 0 CLML_AGENT_LOG1.txt
18.02.2007 14:26 255 WGAErrLog.txt
18.02.2007 13:28 0 T30DebugLogFile.txt



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\WINDOWS\Downloaded Program Files


-*-*-*- Keine Einträge in den letzten drei Monaten -*-*-*-



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C4D-987C

Verzeichnis von C:\

18.02.2007 14:31 0 sys.txt
18.02.2007 14:31 590 down.txt
18.02.2007 14:31 499 tmp.txt
18.02.2007 14:31 13.686 system.txt
18.02.2007 14:31 865 systemtemp.txt
18.02.2007 14:31 121.141 system32.txt
18.02.2007 14:27 1.204 SBCSTray.log
18.02.2007 14:26 1.072.156.672 hiberfil.sys
18.02.2007 14:26 1.610.612.736 pagefile.sys
18.02.2007 14:25 3.094 avenger.txt
18.02.2007 13:02 7.072 datfind.txt
18.02.2007 03:35 1.335 VundoFix.txt
18.02.2007 01:05 25.818 ewido-report.log
17.02.2007 22:13 1.828 SUPERAntiSpyware Scan Log.txt
17.02.2007 19:53 1.243 rapport.txt
22.01.2007 22:09 216 ASLog.txt
17.01.2007 22:33 0 DBS.TXT
12.01.2007 20:03 410 boot.ini
09.11.2006 18:30 93 pdfinfo.ini


Vielen Dank!!!

Gruß
TrockenEis

#14 schau noch mal selbst in der registry nach, ob das noch vorhanden ist:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|

C:\Dokumente und Einstellungen\Schiko\Lokale Einstellungen\Temp\win1CE.tmp.exe

falls ja: loeschen

dann den Rechner neustarten

»»
dann sollte wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#15 In der Registry war die Datei noch vorhanden, Temp-Verzeichnis nicht mehr.

Ganz herzlichen Dank!!!

Du bist klasse!!!



Gruß
TrockenEis