Hi, bin bin Neuling mit recht herzlich wenig Ahnung vom PC - naja, vlt etwas mehr als es sich jetzt anhört, aber nicht ausreichend !
Seit geraumer Zeit kommt bei mir kein Speed mehr Zustande, wenn ich mit WinMX Filme und Musik sauge - bzw. auch was ich zum Tausch anbiete, bekommt absolut kein vernünftiges UL-Speed.
Mein Rechner /Pentium IV - 2 GHz / 512 Ram) läuft jetzt fast ein Jahr ohne komplette Neuinstallation sämtlicher Software - und wenn möglich soll das so weitergehen
Hier im Forum bin ich auf Begriffe, wie : Hi-Jack, Ad-aware (hatt ich schon vorher) und escan gestoßen. escan hat gefunden, was mein mcAffee Virenscanner unt meine Zonelab-Firewall nicht geschafft haben: aber nur einen einzigen Wurm, den ich gleich gelöscht habe. Gab auch keine Verbesserung bei Up-und Download
Hier mal mein Hijack-Protokoll:
Logfile of HijackThis v1.99.0
Scan saved at 10:33:08, on 31.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Rudolf\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi1.ebay.de/aw-cgi/ebayISAPI.dl ... ayssince=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [vCatch] C:\PROGRA~1\COMMON~2\vCatch\VCatch.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA987DC-1551-4611-8E03-F058795A6B5B}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mir sagt sowas garnichts: vlt Dir ?
Bin für jede Hilfe dankbar.

Hallo@Rudi-i400

CommonSearch Vcatch - "antivirus" software which actually bundles spy/adware itself!

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{E0E899AB-F487-11D5-8D29-0050BA6940E3}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

{CC90CDA0-74A0-45b4-80EF-D89CA8C249B8}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Gehe in die REGISTRY

Start<Ausfuehren<regedit

loesche alles mit rechtsklick, was mit der Malware zu tun hat:

HKEY_CURRENT_USER\software\commonsearch
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\vcatch
HKEY_LOCAL_MACHINE\software\bargains\addataupdatequeryurl
HKEY_LOCAL_MACHINE\software\bargains\addataversion
HKEY_LOCAL_MACHINE\software\bargains\binary
HKEY_LOCAL_MACHINE\software\bargains\buildnumber
HKEY_LOCAL_MACHINE\software\bargains\cbsearchengineflag
HKEY_LOCAL_MACHINE\software\bargains\configupdatequeryurl
HKEY_LOCAL_MACHINE\software\bargains\configversion
HKEY_LOCAL_MACHINE\software\bargains\firsthit
HKEY_LOCAL_MACHINE\software\bargains\firsthiturl
HKEY_LOCAL_MACHINE\software\bargains\idleminutesthreshold
HKEY_LOCAL_MACHINE\software\bargains\lastcbtime
HKEY_LOCAL_MACHINE\software\bargains\lastquerytime
HKEY_LOCAL_MACHINE\software\bargains\maindir
HKEY_LOCAL_MACHINE\software\bargains\maxdailycapperuser
HKEY_LOCAL_MACHINE\software\bargains\maxdomaincap
HKEY_LOCAL_MACHINE\software\bargains\mincountofurlsbetweentwoads
HKEY_LOCAL_MACHINE\software\bargains\minminutesbetweentwoads
HKEY_LOCAL_MACHINE\software\bargains\partnerid
HKEY_LOCAL_MACHINE\software\bargains\partnername
HKEY_LOCAL_MACHINE\software\bargains\servername
HKEY_LOCAL_MACHINE\software\bargains\serverpath
HKEY_LOCAL_MACHINE\software\bargains\serverport
HKEY_LOCAL_MACHINE\software\bargains\trace
HKEY_LOCAL_MACHINE\software\bargains\tracepath
HKEY_LOCAL_MACHINE\software\bargains\uninstall
HKEY_LOCAL_MACHINE\software\bargains\uninstallurl
HKEY_LOCAL_MACHINE\software\bargains\uniquekey
HKEY_LOCAL_MACHINE\software\bargains\uniquekeyurl
HKEY_LOCAL_MACHINE\software\bargains\updatequeryduration
HKEY_LOCAL_MACHINE\software\bargains\updatequeryfailedduration
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\vcatch - the personal virus catcher
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\vcatch - the personal virus catcher
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\vcatch - the virus catcher\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\vcatch - the virus catcher\uninstallstring
HKEY_USERS\s-1-5-21-1409082233-1390067357-1801674531-500\software\commonsearch

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKCU\..\Run: [vCatch] C:\PROGRA~1\COMMON~2\vCatch\VCatch.exe

PC neustarten

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Versuche folgende Dateien zu finden und zu loeschen:

vcatch.exe: adp.exe, vctadpi7099.exe, iucmore.dll, ucmtsaie.dll, anticipator.dll, mcact.dll, install.log, vcsetupnew.reg

wenn du die dll nicht geloescht bekommst, poste es mir

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

Hi, Nikita

danke erstmal für die Hilfe - aber ich bin gleich beim ersten Schritt gescheitert !?
Regsrch.vbs gestartet - nach 47 sec. ein Ergebnis - aber ums dann mit der Bestätigung in Wordpad zu öffnen komt folgendes Kommentar von meinem Rechner:
Windows Script host
Skript: C:\Dokumente und Einstellungen......\Temporäres Verzeichnis 2 für Regsrch.zip\Regsrch.vbs
Zeile : 76
Zeichen : 1
Fehler: warten auf Prozess nicht möglich
Code 80020009
Quelle WshShellRun

Ich probier jetzt mal die weiteren Schritte und melde mich dann wieder

Mfg Rudi

mit der zweiten Zeile für Regsrch das gleiche Ergebnis.
Hätte ich die Zeilen ohne die Klammern reinkopieren sollen ?

In der Registry finde ich keinen der Einträge, die du mir beschrieben hast !?
Hier nochmal das im Moment aktuelle Hijack-log:
Logfile of HijackThis v1.99.0
Scan saved at 14:54:34, on 01.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Rudolf\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi1.ebay.de/aw-cgi/ebayISAPI.dl ... ayssince=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Rudolf\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA987DC-1551-4611-8E03-F058795A6B5B}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich arbeite grade nach dem try and fail Prinzip - ziehe alle möglichen tools und lasse sie über meinen Rechner Rennen - naja, jetzt nicht mehr, jetzt bekomme ich ja hier Hilfe.
Über TweakPower war ich heute früh schonmal in der registry - 499 Einträge !!! Nachdem ich frei Schnauze ca.150 rausgelöscht hatte, hatte ich mir schonwieder die ersten Probleme gebaut - T-Online-Banking hat nicht mehr funktionier - hab ich aber wieder hingekriegt - letztes Update deinstalliert und danach neu installiert - das Update - läuft wieder
Im Moment läuft Searc+Destroy - hat schon 4 Ergebnisse !!!
Poste das Endergebnis anschließend

Mfg und Tausend Dank für die Hilfe
Rudi

Hi,

hab jetzt nochmal geziehlt nach den Dateien gesucht: die einzige, die auftaucht ist die <install.log> und das gleich 12 mal !
Soll ich die wirklich alle löschen ??
Spybot hat gut gearbeitet - 16 Einträge gefunden und zerstört.
Und heute gleich nochmal einer : doubleclick
Was mir jetzt auch noch sorgen macht: csrss.exe !?
Läuft und belegt sprunghaft immer wieder 60-80% CPU
Was ist das ?

Mfg Rudi

Hallo@Rudi-i400

Du hast ja schon den escan geladen, wie ich sehen konnte.
-----------------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Rudolf\LOKALE~1\Temp\mwavscan.com" /s

PC neustarten-->in den abgesicherten Modus
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

[*]Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Hallo Nikita,

abermals tausend Dank für Deine Unterstützung !
Die zweite Zeile O3 - Toolbar........(no file) war nicht mehr drin !?
Die anderen beiden hab ich abgehakt
Dann gings in den abgesicherten Modus - stundenlang ! - und hier das mwav-Ergebnis:
Wed Feb 02 22:05:58 2005 => Scanning File C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\W1UZOHQZ\infected6xz[1].gif [**]
Thu Feb 03 13:44:37 2005 => File C:\Dokumente und Einstellungen\Rudolf\Eigene Dateien\Rezepte Archiv.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken.
Thu Feb 03 13:54:14 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Feb 03 15:27:40 2005 => File D:\download\My_shared_folder\winmx\mx-tools\fg140.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Und die Zusammenfassung:
Thu Feb 03 16:01:59 2005 => ***** Scanning complete. *****

Thu Feb 03 16:01:59 2005 => Total Files Scanned: 96652
Thu Feb 03 16:01:59 2005 => Total Virus(es) Found: 7
Thu Feb 03 16:01:59 2005 => Total Disinfected Files: 0
Thu Feb 03 16:01:59 2005 => Total Files Renamed: 0
Thu Feb 03 16:01:59 2005 => Total Deleted Files: 0
Thu Feb 03 16:01:59 2005 => Total Errors: 18
Thu Feb 03 16:01:59 2005 => Time Elapsed: 02:29:39
Thu Feb 03 16:01:59 2005 => Virus Database Date: 2005/01/28
Thu Feb 03 16:01:59 2005 => Virus Database Count: 117012

Thu Feb 03 16:01:59 2005 => Scan Completed.

Thu Feb 03 16:14:39 2005 => Virus Database Date: 2005/01/28
Thu Feb 03 16:14:39 2005 => Virus Database Count: 117012
Thu Feb 03 16:14:52 2005 => AV Library Unloaded (3)...



escan hab ich zwar runtergeladen, aber halt noch nicht gekauft - also wie beseitige ich jetzt die Viren ? Jeweils die genannte Datei löschen ?


Bis bald
mfg Rudi

Logfile of HijackThis v1.99.0
Scan saved at 16:53:18, on 03.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Rudolf\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cgi1.ebay.de/aw-cgi/ebayISAPI.dl ... ayssince=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA987DC-1551-4611-8E03-F058795A6B5B}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo@Rudi-i400

nun musst du manuell alles loeschen.

C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\ <----leere diesen Ordner (loesche nicht die index.dat)

C:\Dokumente und Einstellungen\Rudolf\Eigene Dateien\Rezepte Archiv.exe

D:\download\My_shared_folder\winmx\mx-tools\fg140.exe

Hallo Nikita,

hab vor kurzem schon die Killbox runtergeladen, aber selbst damit bekomme ich :
C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\
nicht gelöscht !!
Die beiden anderen Dateien kein Problem - aber dieser Ordner echt zum verzweifeln !
Weißt Du Abhilfe ?
Und weißt Du noch was zu meinem Problem mit csrss.exe ?

Mfg Rudi

Du solltest den Ordner LEEREN, nicht den Ordner loeschen.

C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\ <----leere diesen Ordner

da sind die temporaeren Dateien drin.

prinzipiell loesche:
W1UZOHQZ\infected6xz[1].gif


csrss - csrss.exe - Process Information
Process File: csrss or csrss.exe
Process Name: Microsoft Client/Server Runtime Server Subsystem

Description:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated.

http://support.microsoft.com/?kbid=555021
Csrss.exe uses 100% of the CPU When you Right-Click an item in Explorer
Author: Brian Desmond MVP
COMMUNITY SOLUTIONS CONTENT DISCLAIMER

so, nun zum Virus:
der eSca hat nichts dergleichen angezeigt. Du kannst aber noch online-Scann machen
Note: csrss.exe is also process which is registered as the W32.Netsky.AB@mm worm, the W32.Webus Trojan, Win32.Ladex.a and more.


McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm

-----------------------------------------------------------------------------------------------
und mache unbedingt die WindowsUpdates, also lade SP2, falls du eine gueltige XP-Version hast.
Ohne die Sicherheitsupdates ist es heutzutage sehr gefaehrlich im Net.........

Hallo Nikita,

ich hatte das mit dem leeren schon verstanden - aber nachdem bei einigen gleich Fehlermeldungen kamen, hab ich versucht schlau zu sein : index.dat kopiert (in eine Ordner außerhalb) versucht, C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\
zu löschen - was nicht geklappt hat - und hätte den Ordner dann neu angelegt und index.dat wieder reinkopiert
Hier mal der Inhalt von

C:\Dokumente und Einstellungen\Rudolf\Lokale Einstellungen\Temporary Internet Files\Content.IE5

10 Ordner:
<3YGW5ST>
-> manta_W0QQcombineZyQQfromZR14QQfromZR9QQsalocatedincountryZQ2d15QQsorecordsperpageZ50QQsorecordstoskipZ200QQsosortorderZ2QQsosortpropertyZ2QQsotex[1].
<C16745I17>
-à hurra – hab grad mal Dateien gefunden, die ich löschen kann – u.a. infected6xz[1].gif – die hätte eigentlich in einem anderen (hier im letzten) Ordner sein sollen ! und 6 die ich nicht löschen kann ->
1611324,tid=start-center[1]
adneti-i[2]
CAIJWT2H (hier als Datei)
hover[1]
McFreeScan[1]
newsticker[1]
<CDQ7SH2R>
->
Gerade frisch von Außen Saubergemacht brauchte knapp 2Std
<GX4NAVWD>
è noch ne erfolgsserie – bis auf die eine alles gelöscht->
è runapplication[1]
<HS4B95SD>
->
Gerade frisch von Außen Saubergemacht brauchte knapp 2Std
<K72T0TUV>
leer
<K96JWVGF>
leer
<KZNVY0H9>
->
_W0QQgotopageZ1QQsassZaero1Q2e6QQsorecordsperpageZ50QQsosortpropertyZ1[1].
<U12HWNS7>
è wieder Erfolg !! bis auf die Eine ->
è beitrag-14559[1]
<W1UZOHQZ>
leer
Und die index.dat von Nero

Mit Kommentaren, was ich beim Inhalt abtippen noch so alles erreicht habe : u.a. die
W1UZOHQZ\infected6xz[1].gif
die in
C16745I17
und nicht in
W1UZOHQZ
war !!
Aber mit Datei suchen, hatte ich sie vorher auch nicht gefunden !
Das einige im Moment nicht zu löschen sind, liegt wohl auch an dem McAffee - online-scan ) (mach halt gern mehrere Sachen gleichzeitig) und dem Forum hier.

csrss.exe-> Dein link
http://support.microsoft.com/?kbid=555021
ist super - meine englisch-Kentnisse leider nicht ;-(
Aber damit bin ich auch weitergekommen, ohne alles zu verstehen - ich kann schon englisch nur nicht sonderlich gut -
Ich hab einen neuen Benutzer mit admin-rechten angelegt und dabei ein Benutzerkonto entdeckt, das ich weder angelegt, noch bisher überhaupt je gesehen hatte !! Habs auch gleich gelöscht.
Wenn ich gleich neustarte, lösch ich das noch aktuelle von mir hier auch und arbeite in Zukunft mit dem neu angelegten - eigene Dateien sind bereits gesichert
Ist eh ne komische Sache mit den Benutzerkonten - ich hatte nie welche eingerichtet und auf einmal waren sie da, beim hochfahren !
Meist nur meins, das eine und abundzu auch mal noch eins für einen Administrator, das ich nie genutzt habe.

So - McAffee-online läuft noch - anschließend Neustart
Dann Versuch ich noch, die anderen Dateien aus dem
C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\
zu löschen, bevor ich wieder online gehe!

Ach ja - SP2 will sich bei mir nicht installieren lassen - Probleme mit dem Product-Key bisher die ersten, aber das schon seit SP2 zu bekommen ist - bis dahin hats mit dem online-update immer einwandfrei geklappt
Werd wohl dochmal n andern Product-Key offiziell erwerben müssen
((((((((((

Bis dann und abermals Danke, Danke, Danke

Rudi

So, bin jetzt als neuer Benutzer auf meinem Rechner
Und die anderen/bisherigen Benutzer gelöscht
Online Virenscan mit mc-affee ohne ergebnisse
anschließende Beseitigung des Problemordners
C:\DOKUME~1\Rudolf\LOKALE~1\TEMPOR~1\Content.IE5\
nicht möglich - der betroffene benutzer existiert ja auch nicht mehr

aktuelle hijack-log
Logfile of HijackThis v1.99.0
Scan saved at 11:56:31, on 4.2.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Rudi-i400\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] C:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... -0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Spybot hat allerdings gleich beim ersten Lauf wieder was neues gefunden - und beseitigt
Werde versuchen mir schnellstmöglich xp SP2 zu beschaffen !

csrss.exe -> scheint jetzt ruhe zu geben !

Vielen Dank und gelobt sei Nikita
Wenn Du mal Probleme in Bezug aufs Auto hast, melde Dich bei mir !
Stehe mit Rat und Tat beiseite und in Deiner Schuld

Mfg Rudi

Hallo@Rudi-i400

Das Log ist sauber

Hallo Nikita,
hallo alle anderen, die dieses Problem verfolgt haben und evtl zur Behebung eigener Probleme genutzt haben,

Die Schattenseite des Erfolgs:
Eigene Dateien soll man absichern bei der Neueinrichtung eines Benutzers, bzw. vor der Beseitigung des bisherigen ! Soweit so gut - T-Online (es sei verflucht !) liegt nicht auf der Festplatte im Bereich eigene Dateien.

ABER ES REAGIERT AUF NEUE BENUTZER !

eMails der letzten Jahre weg ! Einfach nicht mehr da.
Beim Starten von T-Online als "Neuer Benutzer" fragt es die Anmeldedaten, wie bei einer Neueinrichtung ab und im eMail Bereich ist einzig und allein die T-Online mail für neue Benutzer.
Banking das gleiche: Konten müssen neu eingerichtet und abgefragt werden, wenn man was wissen will.

Ich hoffe mal dies hilft dem ein oder anderen den gleichen Fehler zu vermeiden.

Mfg Rudi