|
Log-Analyse und Auswertung: Infiziertes System direkt nach NeuinstallationWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.08.2005, 16:40 | #1 |
| Infiziertes System direkt nach Neuinstallation Ich habe gestern abend mit dem Online-ActiveScan von Panda einen Scan durchgeführt, der zutage brachte, dass in der Registry Hinweise auf die Spyware homesearchassistant zu finden seien (Report: Adware:adware/cws.homesearchasisstant Windows Registry). Außerdem fand er die Datei "gendel.exe" Ich habe dann verschiedenes versucht, den Müll loszuwerden (Löschen von Hand, Registrierung durchsuchen), aber zumindest homesearch erwies sich als resistent. Also habe ich das Backup wieder aufgespielt, das ich gemacht hatte, als ich im April mein System neu aufgesetzt hatte. Ergebnis: Homesearch war immer noch in der Registry laut Panda. Danach habe ich die C-Platte formatiert und wieder das Backup aufgespielt. Wieder meldete Panda die infizierte Registry. Jetzt wollte ich sichergehen, dass nicht schon mein Backup infiziert war, habe den Rechner ausgeschaltet, danach von Diskette gebootet, C:-Platte formatiert, Windows neu aufgespielt, gerade mal Zone-Alarm aufgespielt, um nicht ganz ungeschützt ins Netz zu gehen und dann Panda laufen lassen: immer noch findet er diese Infizierung. Ich bin mit meinem Latein jetzt echt am Ende und frage mich: Spinnt Panda, oder hab ich da irgendwas Grundlegendes nicht verstanden? Hier daher das Logfile von HijackThis in der Hoffnung, dass mir jemand einen Tip geben kann: Logfile of HijackThis v1.99.1 Scan saved at 17:24:53, on 14.08.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\PROMISE\FASTTRAK\RAIDEUTILITY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: FastCheck Monitoring Utility.lnk = C:\Programme\Promise\FastTrak\RAIDeUtility.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab Ich habe ein altes Athlon 600 - System mit 2 Festplatten. Eine Platte (80GB) ist in 3 Partitionen unterteilt (C:, E: für alle Daten und F: für meine Backups. Die D: Partition ist ein RAID-0 Array von 40GB, auf dem ich mal Spiele hatte, die ich aber alle gelöscht hab. Formatiert hab ich jeweils nur die C:-Partition. Das RAID-Array funktioniert mit einem alten Promise FastTrak66-Controller. Für irgendwelche Tips, was ich tun kann, bzw. was an der Panda-Meldung dran ist, wäre ich sehr dankbar! |
14.08.2005, 19:39 | #3 |
| Infiziertes System direkt nach Neuinstallation IE5 ist nur der Stand nach der Neuinstallation. Ich hab dann direkt nach der Installation, sobald ich den Rechner wieder "internetfähig" gemacht hatte (Modemtreiber installieren, Zugang konfigurieren, provisorisch Zone Alarm drauf), den Panda Online Scanner laufen lassen und wieder dieselbe Meldung über besagte Infizierung gefunden.
__________________Auf dem alten System war IE6, sämtliche Patches waren stets eingespielt. Im Explorer habe ich konsequent mit dem Zonen-System gearbeitet, wenn ich nicht eh Firefox verwendet habe. Außerdem lief AntiVir und SpyBot. SpyBot habe ich auch laufen lassen, hat aber (angeblich) nix gefunden. Putzigerweise meldete er zuletzt (das hab ich damals erst für'n Programmfehler gehalten) bei der Immunisierung, dass alle Produkte jetzt geblockt seien, wenn man das aber kontrolliert hat, waren immer 3 Produkte, die doch noch nicht geblockt waren... Ich hab aber nicht rausgekriegt, welche das waren. Ich lade jetzt Ad-Aware und SpyBot mal auf das neue System drauf und lass sie laufen. Das Ergebnis poste ich dann. Danke schon mal für die erste Antwort. |
14.08.2005, 20:27 | #4 |
| Infiziertes System direkt nach Neuinstallation SpyBot macht auf dem neuen System Ärger nach der Installation. Beim Versuch die Signaturen zu updaten, kam folgende Fehlermeldung: "Failed to load c:\Programme\SpyBot_Search_Destroy\unzdll.dll" Zunächst war dann noch ein manuelles Update möglich, dann aber nicht mehr. Auf dem alten System war übrigens noch BitDefender Free und F-Prot DOS drauf, hatte ich vergessen. Mindestens 1x pro Woche habe ich von AntiVir und Bitdefender alles scannen lassen, jeweils ohne Ergebnis Ad-Aware hat tatsächlich was gefunden (Alexa). Ich habe Ad-Aware das dann fixen lassen, und ein erneuter Scan ergab nix mehr. Braucht ihr den Log (der ist nämlich monsterlang)? |
14.08.2005, 23:07 | #5 |
| Infiziertes System direkt nach Neuinstallation Nachdem der Versuch mit der kompletten Neuinstallation das Problem nicht behoben hat, bin ich nun doch noch mal den Schritt zurück, habe erneut von Diskette gebootet, die C:-Platte formatiert und das Backup meiner Neuinstallation von April 2005 zurückgespielt. Auf dieser Version ist bereits IE6, Office etc. inkl. der damals verfügbaren Patches und Servicepacks installiert. Ich habe das System jetzt erneut mit AntiVir mit den aktuellsten Signaturen gescannt - kein Fund. SpyBot mit neuen Signaturen - kein Fund. Ad-Aware installiert, Signaturen geupdatet - 8 Funde, sämtl. im Zusammenhang mit "Alexa". Ich habe Ad-Aware die Funde fixen lassen. Falls es gelänge, dieses System wieder sauber zu kriegen, wäre das sehr viel praktischer, da ich nicht erst alles wieder einzeln aufspielen müsste (zumal ja, wie beschrieben, der Versuch einer kompletten Neuinstallation auch nix gebracht hat). Die Funde des Onlinescans ActiveScan von Panda schienen mir übrigens im Zusammenhang zu stehen mit der "User32.dll" im Ordner C:\Windows\System. Vielleicht hilft der Hinweis ja auch weiter. Hier außerdem der HijackThis-Log des Systemzustands nachdem Ad-Aware die "Alexas" gefixt hat: Logfile of HijackThis v1.99.1 Scan saved at 23:52:08, on 14.08.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDUL2.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDHLP.EXE C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE\SCHEDULE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost; F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [PowerQuest Startup Utility] C:\Programme\PowerQuest\PartitionMagic5\UTILITY\MMOVER32\PQINIT.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [Acronis Schedule] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule\schedule.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe" O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: WISO Börse Zeitsteuerung.lnk = ? O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O15 - Trusted Zone: http://www.google.de O15 - Trusted Zone: http://www.telepool.de O15 - Trusted Zone: http://*.web.de O15 - Trusted Zone: http://www.dab-bank.com O15 - Trusted Zone: http://www.cortalconsors.de O15 - Trusted Zone: http://www.dokfest-muenchen.de O15 - Trusted Zone: http://www.fidmarseille.org O15 - Trusted Zone: http://info.consors.de O15 - Trusted Zone: http://www.acronis.com O15 - Trusted Zone: http://www.docaviv.co.il O15 - Trusted Zone: http://www.berlinale.de O15 - Trusted Zone: http://www.chicagofilmfestival.com O15 - Trusted Zone: http://institute.sundance.org O15 - Trusted Zone: http://www.ffm-montreal.org O15 - Trusted Zone: http://www.hotdocs.ca O15 - Trusted Zone: http://www.dokfestival-leipzig.de O15 - Trusted Zone: http://www.filmfestamiens.org O15 - Trusted Zone: http://www.bpi.fr O15 - Trusted Zone: http://w3.artepro.com O15 - Trusted Zone: http://www.kino-im-sprengel.de O15 - Trusted Zone: http://www.filmportal.de O15 - Trusted Zone: http://www.handelsblatt.com O15 - Trusted Zone: http://www.amazon.de O15 - Trusted Zone: http://www.albrech.com O15 - Trusted Zone: http://www.amd.com O15 - Trusted Zone: http://www.ednet-ag.de O15 - Trusted Zone: http://www.tradesignal.com O15 - Trusted Zone: http://www.warrants.bnpparibas.com O15 - Trusted Zone: http://www.ftd.de O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2...t-2-7-0-18.cab |
15.08.2005, 00:49 | #6 |
| Infiziertes System direkt nach Neuinstallation Diesen Eintrag könntest du fixen: F1 - win.ini: run=hpfsched Ansonsten sehe ich keine Auffälligkeiten.
__________________ --> Infiziertes System direkt nach Neuinstallation |
16.08.2005, 13:07 | #7 |
| Infiziertes System direkt nach Neuinstallation Danke für die rasche Antwort! Ich habe hpfsched allerdings vorerst noch nicht gelöscht, denn nach meinen Recherchen hat hpfsched mit meinem Drucker zu tun: http://forums1.itrc.hp.com/service/f...threadId=95164 Trotzdem fixen? Ist irgendwie bekannt, dass sich da sonst was versteckt? Allerdings habe ich mittlerweile eine ganze Menge unternommen, um den/die laut Panda Active Scan Registry-Eintrag/äge zu finden und zu beseitigen, allerdings erfolglos. Ich habe also: 1. Das System bereinigt. - Über Start->Systemsteuerung->Internetoptionen/Java - Systemprogramme / Datenträgerbereinigung - Acronis Privacy Expert 2. Im abgesicherten Modus habe ich laufen lassen (in der Reihenfolge & alle Prg jeweils vorher geupdatet): - CWShredder - about:Buster - Ad-Aware - SpyBot S&D - eScan Die haben aber alle nix gefunden und nix entfernt. 3. Dann im abgesicherten Modus RegCleaner laufen gelassen. 4. Dann im abgesicherten Modus CleanUp. 5. Dann im abgesicherten Modus Acronis Privacy Expert. 6. Dann neu gebootet und die Online Scanner von F-Secure und eTrust laufen lassen. Beide nix gefunden oder beanstandet. 7. Heute morgen dann wieder im abgesicherten Modus (wieder in der Reihenfolge und geupdatet): - CWShredder - X-Cleaner - SpySweeper - RegCleaner - CleanUp - Spider - Acronis Privacy Expert. 8. Dann neu gebootet und den Panda Active Scan wieder laufen lassen, und der findet immer noch irgendwo in der Registry den Quatsch. Die Beanstandung scheint jedes Mal im Zusammenhang mit der user32.dll aufzutreten. Nachdem all die anderen Scans nix ergeben haben, war ich schon geneigt, bei dem Panda Ergebnis an einen Fehlalarm zu glauben. Nun scheint dieses Ding, wenn man es komplett entfernen will, allerdings sehr hartnäckig zu sein, wie man diversen Foren im Netz entnehmen kann, z.B.: http://www.computing.net/security/ww...rum/12346.html http://www.supportcave.com/Coolwebsearch.html http://www.silentrunners.org/sr_cwsremoval.html Daher dürfte Panda wohl Recht haben. Allerdings habe ich bisher keins der Symptome auf meinem Rechner gehabt, von denen andere User berichten. Ich surfe mittlerweile zwar meist mit Firefox, aber wenn ich den IE benutze (z.B. für die Online Scans wg. Active X), ist er mir bisher noch nie auf andere Seiten entführt worden, noch sind irgendwelche Popups aufgegangen. Das kann daran liegen, dass ich Java und Active X standardmäßig deaktiviert habe und beides nur auf den vertrauenswürdigen Seiten zulasse (die Liste dieser Seiten hab ich übrigens kontrolliert und dort eigentlich nix gefunden, was definitiv nicht von mir stammt). Das kann aber auch daran liegen (das wäre die für mich angenehmere Variante), dass der Dreck sich entweder nicht voll auf meinen Rechner geladen hat, oder dass er zumindest nicht aktiv ist. Wie schätzt ihr das ein? Eine Sache, die mir in diesem Zusammenhang nicht so richtig gefällt, ist die Tatsache, dass ich in der Version 1.4. von SpyBot den Rechner nicht mehr komplett immunisieren kann. Wenn ich Immunisieren durchführe, meldet er 2017 Produkte seien nun blockiert. Wenn ich dann "Check again" mache, meldet er 2014 Produkte seien blockiert, 3 sollten noch blockiert werden. Diese 3 lassen sich aber nicht blockieren (und ich hab keine Ahnung, wie ich rausfinden kann, um welche 3 es sich handelt). Ist das als Programmfehler bekannt, oder ist das in der Tat seltsam? Was ich außerdem sehr, sehr seltsam finde, ist dass mein Versuch scheiterte, den Rechner neu aufzusetzen: Ausschalten, C:\-Platte formatieren (format c, Win98 von der Original CD neu aufspielen, Raid-Controller-Treiber, Grafikkartentreiber, Soundblaster-Treiber von den Originalmedien installieren, Modem installieren (Original CD), Internet-Zugang konfigurieren (Original CD), ZoneAlarm installieren (von der der Daten-Partition (E, die ich nicht mit formatiert habe). Danach Panda Online Scan, und das Ding war noch in der Registry wie zuvor. Deswegen als erstes Posting auch der Log von meinem System mit IE5 ohne jegliche Updates. Nach meiner bescheidenen Logik sollte die Installation von ZoneAlarm eigentlich die einzige Möglichkeit gewesen sein, dass das Ding überlebt, oder muss ich den Formatierungsvorgang mit speziellen Parametern durchführen, die bspw. auch den Bootsektor noch extra behandeln? Was muss ich beachten, wenn ich das System neu aufsetzen will und sicher sein will, dass da definitiv kein Dreck mehr irgendwo sich einnistet. Kann das Ding noch woanders sitzen? Man wird ja paranoid und fragt sich (als nur mittel erfahrener Computernutzer) nach dieser Erfahrung, ob sich das evtl. sogar irgendwo im BIOS verstecken kann (doch eigentlich nicht, oder?) Tschuldige für so blöde Fragen, aber die Erfahrung mit der gescheiterten Neuinstallation hat doch für Verunsicherung gesorgt. Was würdet ihr mir also raten: Auf sich beruhen lassen, weil ja keine Symptome da sind. Gibt es noch irgendwelche Möglichkeiten, den Dreck aus der Registry zu entfernen (auch manuell)? Das System neu aufsetzen? Wenn letzteres: Was soll ich dann tun, um sicher zu sein, dass alles weg ist? Vielen Dank schon jetzt für eure Antworten! |
Themen zu Infiziertes System direkt nach Neuinstallation |
adware, button, check, explorer, festplatte, frage, gelöscht, hijack, hijackthis, infizierte, internet, internet explorer, links, logfile, löschen, microsoft, neu, neu aufgesetzt, programme, registry, rundll, rundll32.exe, software, spyware, system, system neu, ungeschützt, windows |