Hallo,

ich bin neu hier, habe aber schon oft nach Ratschlägen im Forum geschaut und auch oft Lösungen gefunden. Dafür leider noch nicht.

Seit etwa 2 Tagen startet meine explorer.exe nach Hochfahren immer wieder neu. So ist also ein normales Arbeiten nicht mehr möglich. Sogar im abgesicherten Modus passiert das. Eine Systemwiederherstellung vor diesem Zeitpunkt ist nicht möglich.

Meiner Meinung nach liegt das an einer Datei Namens "appdrvrem01.exe". Diese habe ich zwar aus dem System32-Ordner gelöscht, aber in der Reg ist sie scheinbar noch und ich weiß nicht, wie ich sie dort weg bekomme.

Aber hier trotzdem mein Logfile: vielleicht findet ihr ja was anderes.

Danke schonmal im Voraus!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:31, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\devolo\wlansetup\wlanwatchdog.exe
C:\Programme\devolo\wlansetup\wpaspl\wpasvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - h**p://www.king.com/ctl/kingcomie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224352007593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220289432263
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - h**p://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - h**p://driveragent.com/files/driveragent.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} - h**p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: devolo WLAN Watchdog (WLANWATCHDOG) - devolo AG - C:\Programme\devolo\wlansetup\wlanwatchdog.exe
O23 - Service: wpa_supplicant service (WPASVC) - Unknown owner - C:\Programme\devolo\wlansetup\wpaspl\wpasvc.exe

--
End of file - 6694 bytes

Hallo,

kannst du bitte ein Logfile vom aktuellen HijackThis erstellen und es auch bitte in einen eigenen Ordner (C:\Programme\Hijackthis) speichern und von dort starten (evtl. davor noch umbenennen, zB in askdnmcvöla.exe)?

Danke

Habe das neue Logfile oben einkopiert. Kann die .exe leider nicht in Programme speichern, weil mein explorer abschmiert und das Fenster dadurch zugeht.

Das Logfile sieht in Ordnung aus.

Arbeite bitte noch zu Analysenzwecken diese beiden Tools durch:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

1. 
2. 

• Kopiere den Text, der im Kommandozeilenfenster steht.
• Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

IceSword:

Code: Alles auswählenAufklappen

ATTFilter

IceSword FileReg plugin [version 1.20]

Find out 1 disk.
>mount c 0
Find some error, maybe it is inconsistent between memory and volume. Go on(y/n)?

n
Cannot mount the partition.
Please flush the disk and try again.
>search
Must mount one partition first.
>end
Unrecognized command.
>mount c 0
Mount OK.
Volume serial number: CCFA0B6E
Volume path name: C:
>search
Please wait...
Hidden file: \Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\
Firefox\Profiles\q3fg0gda.default\cookies.sqlite-journal
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\01\11-{4CF96C95-6BC9-
A7B7-E40E-40B2E728FEF8}-v1-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v11-Downloaded
.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\18\18-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v18-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v18-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\19\30-{98C38B7D-B4FB-
4D39-B5B4-6980C4E9E9BB}-v19-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v30-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\19\31-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v19-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v31-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\20\32-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v20-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v32-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\21\33-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v21-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v33-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\22\34-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v22-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v34-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\23\35-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v23-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v35-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\24\36-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v24-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v36-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\25\37-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v25-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v37-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\26\38-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v26-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v38-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\27\39-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v27-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v39-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\28\40-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v28-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v40-Downloade
d.frx
Hidden file: \Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anw
endungsdaten\Microsoft\Messenger\***\SharingMetadata\***\DFSR\Staging\CS{4CF96C95-6BC9-A7B7-E40E-40B2E728FEF8}\29\41-{0E107670-6C4D-
44DA-8AC9-EB906C16A502}-v29-{0E107670-6C4D-44DA-8AC9-EB906C16A502}-v41-Downloade
d.frx
Hidden file: \System Volume Information\MountPointManagerRemoteDatabase
Hidden file: \System Volume Information\tracking.log
Done.
>
         

Das Log sieht schonmal Ok aus.

Und hier der zweite:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1398
Windows 5.1.2600 Service Pack 2

14.11.2008 20:09:22
mbam-log-2008-11-14 (20-09-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 173873
Laufzeit: 1 hour(s), 51 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\efcApPFU.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ljJCrOgf.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38cc5a31-734d-4e25-beac-247bbdf47e54} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{38cc5a31-734d-4e25-beac-247bbdf47e54} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjcrogf (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{38cc5a31-734d-4e25-beac-247bbdf47e54} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcappfu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efcappfu -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\efcApPFU.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\UFPpAcfe.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\UFPpAcfe.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJCrOgf.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E04BWVKO\CA7VUJQH (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBrOGXN.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

ComboFix:

ComboFix 08-11-12.02 - Administrator 2008-11-14 20:29:25.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Neu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\regedit.exe
c:\windows\system32\taskmgr.com
c:\windows\system32\wanpacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 20:24 . 2005-10-10 13:00 153,600 --a--c--- c:\windows\system32\dllcache\regedit.exe
2008-11-14 20:24 . 2005-10-10 13:00 153,600 --a------ c:\windows\REGEDIT.EXE
2008-11-14 18:15 . 2008-11-14 18:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-14 18:15 . 2008-11-14 18:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-14 18:15 . 2008-11-14 18:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-14 18:15 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-14 18:15 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-13 06:19 . 2008-11-13 06:23 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-13 06:19 . 2008-11-14 20:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-12 21:33 . 2008-11-12 21:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Safer Networking
2008-11-12 21:32 . 2008-11-12 21:32 <DIR> d-------- c:\programme\Safer Networking
2008-10-31 17:12 . 2008-10-31 17:12 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-10-31 06:14 . 2008-07-12 08:18 3,851,784 --a------ c:\windows\system32\D3DX9_39.dll
2008-10-31 06:13 . 2008-10-31 06:13 <DIR> d-------- c:\windows\Logs
2008-10-30 06:25 . 2008-10-30 06:25 <DIR> d-------- c:\programme\Electronic Arts
2008-10-30 06:25 . 2008-10-30 06:25 <DIR> d-------- C:\ProgramData
2008-10-29 20:21 . 2008-10-29 20:21 <DIR> d-------- c:\programme\TVAnts
2008-10-25 16:52 . 2008-10-25 16:52 <DIR> d-------- c:\programme\Windows Media Components
2008-10-25 16:50 . 2008-10-25 16:50 <DIR> d-------- c:\programme\Kellogg's
2008-10-25 09:47 . 2008-10-25 10:16 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-10-22 21:12 . 2008-10-23 05:23 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Roxio
2008-10-22 21:05 . 2008-10-26 20:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster
2008-10-19 14:42 . 2008-10-19 14:42 <DIR> d-------- c:\programme\MSXML 6.0
2008-10-19 14:35 . 2008-10-19 14:35 <DIR> d-------- c:\programme\MSXML 4.0
2008-10-19 14:33 . 2008-11-13 06:32 1,393 --a------ c:\windows\imsins.BAK
2008-10-18 19:13 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\drivers\bthport.sys
2008-10-18 19:13 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-10-18 18:47 . 2007-07-30 18:20 30,040 --a------ c:\windows\system32\wuapi.dll.mui
2008-10-14 14:59 . 2008-10-14 14:59 <DIR> d-------- c:\dokumente und einstellungen\Neu\Anwendungsdaten\Locktime

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-11-14 19:32 835,616 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-14 19:32 4,791,840 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-14 19:32 38,516 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-14 19:32 3,936 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-13 05:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-11 20:15 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-11-07 17:39 --------- d-----w c:\programme\PokerStars
2008-11-01 10:00 --------- d-----w c:\programme\EA Sports
2008-10-31 16:12 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\temp
2008-10-29 19:15 --------- d-----w c:\programme\SopCast
2008-10-26 19:07 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 18:36 --------- d-----w c:\programme\Windows Live
2008-10-18 18:36 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-18 09:39 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-16 21:32 --------- d-----w c:\programme\Gomez
2008-10-15 17:01 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-10-12 19:31 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SmartLine
2008-10-12 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2008-10-12 12:29 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\T-Online
2008-10-12 12:28 --------- d-----w c:\programme\Gemeinsame Dateien\T-Com
2008-10-05 12:01 --------- d-----w c:\programme\Maxthon
2008-10-03 22:32 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Leadertech
2008-10-03 15:29 --------- d-----w c:\programme\uTorrent
2008-10-03 15:20 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2008-10-03 15:08 --------- d-----w c:\programme\Azureus
2008-09-29 17:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-09-29 16:52 --------- d-----w c:\programme\Messenger Plus! Live
2008-09-28 15:00 --------- d-----w c:\programme\TVUPlayer
2008-09-28 15:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-09-24 17:03 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Pro Cycling Manager 2008
2008-09-22 16:36 --------- d-----w c:\programme\ICQ6
2008-09-21 17:12 --------- d-----w c:\programme\ArtMoney
2008-09-21 17:11 --------- d-----w c:\programme\Total Video Converter
2008-09-21 17:09 --------- d-----w c:\programme\Cyanide
2008-09-21 16:41 --------- d-----w c:\programme\VisualRoute Lite Edition
2008-09-21 09:31 --------- d-----w c:\programme\Windows Desktop Search
2008-09-20 16:53 --------- d-----w c:\programme\UberIcon
2008-09-20 16:37 --------- d-----w c:\programme\Registry System Wizard
2008-09-17 19:44 --------- d-----w c:\programme\Microsoft Virtual PC
2008-09-17 18:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Locktime
2008-09-17 18:43 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Locktime
2008-09-17 04:21 --------- d-----w c:\programme\Easy-Shutdown
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2005-10-10 15360]
"UberIcon"="c:\programme\UberIcon\UberIcon Manager.exe" [2007-08-17 159744]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-09-14 157592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-07 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-07 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Verknüpfung mit GomezPEER.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Verknüpfung mit GomezPEER.lnk
backup=c:\windows\pss\Verknüpfung mit GomezPEER.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a--c--- 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-11-07 07:00 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"<NO NAME>"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Cyanide\\Tour de France saison 2008 - Der Offizielle Radsport Manager\\PCM.exe"=
"c:\\Programme\\Cyanide\\Tour de France saison 2008 - Der Offizielle Radsport Manager\\Autorun\\Exe\\Autorun.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\devolo\\wlansetup\\wlansetup.exe"=
"c:\\Programme\\devolo\\wlansetup\\faqroutersetup.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\portfwd\\portfwd.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\utorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-07-25 2915944]
R2 BT848;Conexant's BtPCI WDM Video Capture;c:\windows\system32\DRIVERS\BT848.sys [2007-07-20 371349]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 TUSB1150;devolo WLAN USB Stick;c:\windows\system32\DRIVERS\tusb1150.sys [2006-06-26 494848]
S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2004-05-10 33959]
S2 WLANWATCHDOG;devolo WLAN Watchdog;c:\programme\devolo\wlansetup\wlanwatchdog.exe [2006-08-04 202240]
S2 WPASVC;wpa_supplicant service;c:\programme\devolo\wlansetup\wpaspl\wpasvc.exe [2006-06-07 352256]
S3 a2e11F;a2e11F;c:\windows\system32\a2e11F.sys [2007-07-30 185824]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-28 4352]
S3 DTAG;Teledat Fast Ethernet 100 PCI Windows Driver;c:\windows\system32\DRIVERS\DTAGND51.sys [2002-05-29 38528]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]
S3 qcusbmdm;Qualcomm Proprietary USB Driver (PID 3197);c:\windows\system32\DRIVERS\qcusbmdm.sys [2003-03-10 59632]
S3 qcusbser;Qualcomm Diagnostic Port 3197;c:\windows\system32\DRIVERS\qcusbser.sys [2003-03-10 59632]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8be64833-58af-11dd-b085-0018e7352128}]
\Shell\AutoRun\command - G:\pushinst.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-NapsterShell - c:\programme\Napster\napster.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-SpywareTerminator - c:\programme\Spyware Terminator\SpywareTerminatorShield.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\q3fg0gda.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\q3fg0gda.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF -: plugin - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF -: plugin - c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS0810164_SUA_900\npoctoshape.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\np32asw.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 20:35:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\explorer.exe
-> c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
-> c:\programme\UberIcon\UberIcon.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\imapi.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\locator.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-14 20:44:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-14 19:44:01

Vor Suchlauf: 17 Verzeichnis(se), 18.926.874.624 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 19,018,956,800 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=AlwaysOff

238 --- E O F --- 2008-11-13 05:35:04

Führe jetzt noch bitte dieses Tool aus:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Also das Problem scheint nicht mehr zu bestehen. Es läuft alles wieder

Aber ihr könnt ja nochmal schauen, ob wirklich alles in Ordnung ist.

Falls ja, dann schonmal tausend Dank!

Oben habe ich das Combo-File eingetragen.

Sieht gut aus, mir sind aber die Dateien suspekt, die Combofix gelöscht hat.
Kannst du mir bitte die C:\QooBox an silent_shark@gmx.de senden?

Danke

Sind gerade raus.

Danke Dir.
Behalte bitte das Verhalten deines Rechners im Auge und melde dich ggf., falls etwas ungewöhnliches passiert, etc.

mfg

Aber sonst passt alles bis jetzt??

Ich werde mich melden und ich hoffe/denke, dass du mit den geschickten Dateien nix schlimmes anstellst ;-)

Danke nochmal..

Keine Sorge, bis jetzt passt alles.

Nur die von CF gelöschten Dateien bereiten mir Sorgen.
Ich schau die mir mal genauer an und melde mich hier, wenn ich was genaueres weiß.

mfg

Geh mal bitte Start => Ausführen => regedit (eingeben und Enter drücken)

Nebenbei versuch bitte, den Taskmanager zu öffnen.