Hallo,

ich habe mir zum ersten mal seit ich denken kann einen schädling eingefangen und ich bin auch noch selber schuld! (ja, ich habe einen keygen benutzt!)

Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe würde seiten wie w*w.paid2click.com o.ä. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgeführt. Mit unlocker kann ich die datei beim systemstart zwar löschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdächtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht...

Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehörigen prozesse sind aber wohl noch aktiv.

Also hier mal mein HJT Log - - danke für die hilfe schon mal:
-------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 12:15:09, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE
C:\Programme\DirectUpdate v4\DUControl.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\Acronis TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\POP Peeper\POPPeeper.exe
C:\Programme\Skype\Skype.exe
C:\Programme\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\WINDOWS\Config\IEXPLORE.EXE
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\DiskeeperWorkstation\DKService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwst.exe
C:\Programme\Dantz Retrospect 7.0\retrorun.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programme\Mediafour\MacDrive\MacDrive.exe" /runonce
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\Media Center\DMDownload.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E25AB208-F78B-49B1-9672-E665DCF47DE7}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\BlackMoon FTP Server\BMFTPRealTimeStats.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: DirectUpdate engine (DirectUpdate) - http://w*w.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\DiskeeperWorkstation\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Hide Files and Folders (HideFilesAndFolders) - Unknown owner - C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\retrorun.exe
O23 - Service: Retrospect Helper - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\rthlpsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
---------------------------------------------------------------------------

Also nochmals 1000 dank schon mal und grüße aus SH
Matt

Hallo,
überprüfe mal die Datei c:\windows\system32\directx.exe (falls vorhanden) hier und poste das Ergebnis.
Die ldr64.dll (O20 Eintrag?) sollte eine Bagle Variante gewesen sein. Das dick markierte ist der ganz normale Windows Explorer.

Spricht eigentlich irgendetwas dagegen ein sauberes Image von Acronis zurückzuspielen, oder ist das nur aus Spass auf dem System?


Grüße Wildone

Hi,

danke für deine schnelle antwort und deinen tipp. Werd ich gleich mal testen.

Das dick markierte war gar nicht der eintrag, den ich meinte. Ich hab's jetzt geändert...

Gegen Acronis spricht natürlich nix. Geiles tool, nur ist - wie sollte es auch anders sein - mein image nicht wirklich auf einem aktuellen stand. Ich hab lediglich ein recht generisches image, das mir die leidige installation von windows und der grundausstattung der programme erspart.

Ich sach ja, an meiner misere bin ich ganz und gar selber schuld

Naja, dank und grüße erstmal
Matt

***UPDATE***

Hier noch das ergebnis von dem online-scan:

AntiVir 6.34.0.53 03.20.2006 PCK/PESpin
Avast 4.6.695.0 03.20.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 PCK/PESpin
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 suspicious
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.17.2006 no virus found
Panda 9.0.0.4 03.19.2006 Suspicious file
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found

Hallo,
ja, die hätte ich tatsächlich fast übersehen. Beende mal den Prozess C:\WINDOWS\Config\IEXPLORE.EXE im Taskmanager und überprüfe die zugehörige Datei ebenfalls bei virustotal.

Wenn es dumm läuft musst du trotzdem auf das alte Image zurückgreifen oder komplett platt machen.
Edit
Jetzt sind wir schon soweit,wenn Ikarus recht hat war es das mit deinem System, da komplette Fernsteuerung von dritten möglich. Aber da bisher nur ein Virenscanner darauf anschlägt wird es etwas sehr neues sein, schicke die Datei mal wie hier beschrieben ein paar AV Herstellern (Kaspersky, Symantec, F-Secure (der bei dir ja, neben dir, auch versagt hat) usw.) Leider wird die Antwort ein/zwei tage dauern, deswegen sollten wir mit der Bereinuigung noch kurz weitermachen, da du ev. gerade andere auch ansteckst und das muss ja nicht unbedingt noch tagelang der Fall sein.


Grüße Wildone

Hi nochmal...

so, hab jetzt die iexplore.exe nochmal testen lassen:

This is a report processed by VirusTotal on 03/20/2006 at 13:52:28 (CET) after scanning the file "IEXPLORE.EXE" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 PCK/PESpin
Avast 4.6.695.0 03.20.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 PCK/PESpin
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 suspicious
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.17.2006 no virus found
Panda 9.0.0.4 03.19.2006 Suspicious file
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found

und was sagt uns das?

Ich kann den netzwerkverkehr mit der Sygate FW unterbinden oder ist das nicht alles?

Grüße
Matt

Hallo,
Softwarefirewalls können recht simple getunnelt werden, wenn mal etwas unter Adminrechten auf dem System ist, ist das Kind im Brunnen.
Und außerdem kann Mytob (falls sich der Verdacht bestätigt) auch Systemdateien verändern, und ich, und auch sonst niemand, weiß nicht welche Veränderungen vorgenommen wurden.
Wenn du die Dateien abgeschickt hast, löschst du mal deine Temp Dateien mit Cleanup! und untersuchst dann dein System mit datfind.bat und postest die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren!



Grüße Wildone