Brauch Hilfe bei Spyware Verseuchung
 

Hallo, bin neu hier und brauche Hilfe. Ich nutze das Internet noch nicht lange, habe also auch noch keine Ahnung.
Ich habe gleich mehrere Probleme. Die Startseite about:blank läßt sich nicht löschen, habe mir dafür die Datei SpSeHjfix112.exe gezogen, damit kann ich die Startseite jedoch nur im abgesicherten Modus löschen. Desweiteren habe ich etwas über die Dateien atmclk.exe und dcomcfg.exe gelesen, bin aber nicht dahintergestiegen für was diese da sind, auch der Kaspersky meckert diese nicht an. Außerdem habe ich seit kurzem, sobald ich ins Netz gehe und z. B. unter Google etwas suche, ein Fenster mit dem Text: "Wenn Sie Informationen an "Internet" senden, besteht die Möglichtkeit, dass Informationen für andere sichtbar sind. Möchten Sie die Dateien senden?". Erst wenn ich mit "Ja" bestätige, kann ich fortfahren. Von da an blinkt ein gelbes Dreieck in der Taskleiste, welches mich auf Spyware oder Virusinfektion beanchrichtigt. Dieser Text ändert sich manchmal bei der nächsten Sitzung. Momentan steht da etwas da von "iworm_attck_v122.02a". Damit verbunden wird der Seitenaufbau gebremst, teilw. flieg ich ganz raus, manchmal werden Seiten gesperrt mit dem Hinweis, ich sollte die Site h**://www.systemdoctor.com besuchen. Öffne ich den Internetexplorer, und gebe nichts ein, gelange ich nach einer gewissen Zeit auf h**p://www.safetyuptodate.net/
Das wäre zunächst erstmal alles, was mir aufgefallen ist.
Was kann ich tun?
Hier ist mein hijackthis logfile, ich kann damit nur wenig anfangen, ob sich das mal jemand anschauen könnte.
Vielen Dank im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 09:20:37, on 07.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\TBRIDGE\Flatbed.exe
C:\WINNT\system32\atmclk.exe
C:\WINNT\system32\dcomcfg.exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\PELMICED.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\WINNT\system32\internat.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\Siemens\Gigaset USB Stick 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Stick 108\OdHost.exe
C:\WINNT\System32\SCardSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F3 - REG:win.ini: load=C:\Progra~1\TBridge\Flatbed.exe
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINNT\system32\hpC5FA.tmp (file missing)
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINNT\system32\hp100.tmp
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINNT\system32\hp100.tmp
O2 - BHO: (no name) - {FB36C755-6140-49B6-BB1E-9E3C25E7B0E6} - C:\WINNT\system32\winsta32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136443494234
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD13114-ECC4-4D7B-95D5-E4982E20B506}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFEE52B-AFD9-425B-B403-169640924A4C}: NameServer = ***
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Hallo ivan81,

lass folgende Dateien bei Virustotal auswerten:
Poste danach das Ergebnis hier!
dann gehe weiter wie folgt:

1.) Lade dir dieses Tool --> SmitfraudFix und führe es wie beschrieben aus!

2.) Fixe mit HijackThis folgende Einträge im abgesicherten Modus:
3.) Neustart und ein neues Hijacklog posten!

Gruß
Daniel

Hallo ivan81

Da sind wir schon zwei. ich hab es mir auch eingefangen. :mad:
Ich habe mir von PC Welt Spyware Doctor runter geladen.
Jetzt hab ich erstmal Ruhe.
Ich werde mir die Vollversion kaufen damit soll ´s ja von der Platte gehen.

http://www.pcwelt.de/downloads/datenschutz/sicherheit/111479/index.html

Aber über einen Tipp von einem richtigen PC Profi wäre ich auch dankbar!;)

Wenn der Inhalt der tour.reg nicht zu lang ist, poste ihn bitte mal.
(Rechtsklick -> Öffnen mit -> Vorhandene Programme bla -> Texteditor)

mfg,
Markus

Edit:

Dieses Programm wurde speziell dafür entwickelt auf fremden Systemen diesen "scheinvirus" zu installieren und ihn dann gegen den Erwerb einer Lizenz wieder zu entfernen. Es geht auch mit dem Smitfrauffix -> sogar kostenlos.

Wenn du diese Tips nicht wahrnimmst nehme ich stark an du vertrittst dieses unseriöse Programme und möchte dem betreffenden Moderator gerne eine Sperrung zwecks Gefährdung (nach Bestem Gewissen) vorschlagen.

mfg,
Markus

Vielen dank an Daniel !!!

Nun ist es weg :D

Glaubst du es, oder weißt du es?

Poste bitte nochmal ein aktuelles Hijacklog, dann wissen wir es!

EDIT:

Hallo Markus :zzwhip:

Zunächst erstmal vielen Dank, dass ihr Euch meinen Problemen gewidmet habt. Mit SmitraudFix hat konnte ich die Startseite ändern, auch die atmclk.exe und dcomcfg.exe sind weg.
Die angegeben Einträge habe ich gefixt.
Hier das aktuelle Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 09:27:22, on 08.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\TBRIDGE\Flatbed.exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\PELMICED.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\WINNT\system32\internat.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\Siemens\Gigaset USB Stick 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Stick 108\OdHost.exe
C:\WINNT\System32\SCardSvr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Internetsicherheit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
F3 - REG:win.ini: load=C:\Progra~1\TBridge\Flatbed.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136443494234
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Bei virustotal wurde bei der c:\winnt\tour.reg nichts bemeckert
Hier der Inhalt dieser Datei:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Discover Tour]
"SourcePath"="c:\\DISCOVER"
"DirectMusicPath"="c:\\DISCOVER\\music"

Bei C:\WINNT\system32\winsta32.dll kam folgendes heraus:

AntiVir 6.34.1.37 06.08.2006 ADSPY/Stud.A.1
Authentium 4.93.8 06.08.2006 no virus found
Avast 4.7.844.0 06.06.2006 Win32:Trojano-3384
AVG 386 06.07.2006 Adware Generic.LRH
BitDefender 7.2 06.08.2006 Trojan.Downloader.Agent.RG
CAT-QuickHeal 8.00 06.07.2006 no virus found
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.72.31 06.07.2006 no virus found
eTrust-Vet 12.6.2248 06.08.2006 no virus found
Ewido 3.5 06.07.2006 Downloader.Small.cgu
Fortinet 2.77.0.0 06.08.2006 W32/Small.CGU!tr
F-Prot 3.16f 06.07.2006 no virus found
Ikarus 0.2.65.0 06.07.2006 AdWare.Stud.A
Kaspersky 4.0.2.24 06.08.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4779 06.07.2006 potentially unwanted program Adware-KeenValue
Microsoft 1.1441 06.08.2006 no virus found
NOD32v2 1.1585 06.07.2006 Win32/Adware.BHO.AA
Norman 5.90.17 06.07.2006 W32/Stud.B
Panda 9.0.0.4 06.07.2006 Adware/KeenValue
Sophos 4.06.0 06.08.2006 no virus found
Symantec 8.0 06.08.2006 no virus found
TheHacker 5.9.8.156 06.08.2006 Adware/Stud.a
UNA 1.83 06.06.2006 Adware.Stud
VBA32 3.11.0 06.07.2006 suspected of Trojan-Downloader.Agent.49

Das ist doch sicherlich nichts Gutes, was tun?

Des weiteren habe ich seit heute die Meldung "Wiederherstellung des Active Desktop" auf meinem Desktop. Nun weiß ich nicht, ob das schon wieder was Neues ist, oder mit diesem Vorangegangenem etwas zu tun hat. Im Windows Explorer habe ich mehrere Dateien gefunden, welche heute erstellt wurden ~dfa*.tmp. Diese lassen sich nicht löschen, auch nicht im abgesicherten Modus, kann es sein, dass diese etwas damit zu tun haben, wenn ja, wie bekomme ich diese los?
Vielen Dank im Voraus.

Zunächst erstmal vielen Dank, dass ihr Euch meinen Problemen gewidmet habt. Mit SmitraudFix hat konnte ich die Startseite ändern, auch die atmclk.exe und dcomcfg.exe sind weg.
Die angegeben Einträge habe ich gefixt.
Hier das aktuelle Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 09:27:22, on 08.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\TBRIDGE\Flatbed.exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\PELMICED.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\WINNT\system32\internat.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\Siemens\Gigaset USB Stick 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Stick 108\OdHost.exe
C:\WINNT\System32\SCardSvr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Internetsicherheit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
F3 - REG:win.ini: load=C:\Progra~1\TBridge\Flatbed.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136443494234
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Bei virustotal wurde bei der c:\winnt\tour.reg nichts bemeckert
Hier der Inhalt dieser Datei:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Discover Tour]
"SourcePath"="c:\\DISCOVER"
"DirectMusicPath"="c:\\DISCOVER\\music"

Bei C:\WINNT\system32\winsta32.dll kam folgendes heraus:

AntiVir 6.34.1.37 06.08.2006 ADSPY/Stud.A.1
Authentium 4.93.8 06.08.2006 no virus found
Avast 4.7.844.0 06.06.2006 Win32:Trojano-3384
AVG 386 06.07.2006 Adware Generic.LRH
BitDefender 7.2 06.08.2006 Trojan.Downloader.Agent.RG
CAT-QuickHeal 8.00 06.07.2006 no virus found
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.72.31 06.07.2006 no virus found
eTrust-Vet 12.6.2248 06.08.2006 no virus found
Ewido 3.5 06.07.2006 Downloader.Small.cgu
Fortinet 2.77.0.0 06.08.2006 W32/Small.CGU!tr
F-Prot 3.16f 06.07.2006 no virus found
Ikarus 0.2.65.0 06.07.2006 AdWare.Stud.A
Kaspersky 4.0.2.24 06.08.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4779 06.07.2006 potentially unwanted program Adware-KeenValue
Microsoft 1.1441 06.08.2006 no virus found
NOD32v2 1.1585 06.07.2006 Win32/Adware.BHO.AA
Norman 5.90.17 06.07.2006 W32/Stud.B
Panda 9.0.0.4 06.07.2006 Adware/KeenValue
Sophos 4.06.0 06.08.2006 no virus found
Symantec 8.0 06.08.2006 no virus found
TheHacker 5.9.8.156 06.08.2006 Adware/Stud.a
UNA 1.83 06.06.2006 Adware.Stud
VBA32 3.11.0 06.07.2006 suspected of Trojan-Downloader.Agent.49

Das ist doch sicherlich nichts Gutes, was tun?

Des weiteren habe ich seit heute die Meldung "Wiederherstellung des Active Desktop" auf meinem Desktop. Nun weiß ich nicht, ob das schon wieder was Neues ist, oder mit diesem Vorangegangenem etwas zu tun hat. Im Windows Explorer habe ich mehrere Dateien gefunden, welche heute erstellt wurden ~dfa*.tmp. Diese lassen sich nicht löschen, auch nicht im abgesicherten Modus, kann es sein, dass diese etwas damit zu tun haben, wenn ja, wie bekomme ich diese los?
Vielen Dank im Voraus.