Trojaner

Hallo,

den Virenscann im abgesicherten Modus durchführen.
Vorher AntiVir aktuallisieren.

Den Virenscan sowie die anderen Programme lasse ich grundsätzlich screenen, wenn der Computer nicht online ist = abgesicherter Modus?
Upgedatet wird von mir so etwa 1-2x pro Woche.

1)Wenn ich Antivir "so" drüberlaufen lasse findet das Programm nichts. Wenn ich danach "Arbeitsplatz" anklicke - ohne dass der Computer online war gibt es die folgende Meldung: (löschen funktioniert nicht)
C:\DOKUME~1\BEATE\LOKALE~1\TEMP\SP.DLL
Ist das Trojanische Pferd TR/StartPage.qr.DLL

2) Spybot-Search findet gibt jedem Screen folgende 5 Funde an:
DSO Exploit
HKEY_USERS.Default\Software\Microsoft\Windows\Current Version\Internet Setting\Zones\0\1004!=W=3HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Current Version\Internet Setting\Zones\0\1004!=W=3
HKEY_USERS\S-1-5-21-759711341-31895644-4006208383-1007\Software\Microsoft\Windows\Current Version\Internet Setting\Zones\0\1004!=W=3
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\Current Version\Internet Setting\Zones\0\1004!=W=3
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\Current Version\Internet Setting\Zones\0\1004!=W=3
Auch die  werden jedesmal trotz updaten wieder gefunden und lassen sich nicht löschen!

3) Weil der Internetexplorer mit seinen Sicherheitslücken wohl der Angriffspunkt dieser Trojaner ist, bin ich inzwischen auf Firefox umgestiegen und benutze den IE nicht mehr. Kann er mir trotzdem weiter Ärger machen (ich würde ihn ja deinstallieren, wenn das ginge!)?

Ich bin ratlos!  

 ???

... wenn der Computer nicht online ist = abgesicherter Modus?

1)C:\DOKUME~1\BEATE\LOKALE~1\TEMP\SP.DLL
Ist das Trojanische Pferd TR/StartPage.qr.DLL

2) Spybot-Search findet gibt jedem Screen folgende 5 Funde an:
DSO Exploit

Hallo,

nicht online ist nicht abgesicherter Modus !
In den abgesicherten Modus kommst du wenn du die F8-Taste drückst beim Windows-Start. Auch öfters drücken, dann in dem Menü "abgesicherter Modus wählen". Anschließend den Virenscann laufen lassen.

Auch das löschen von SP.DLL sollte im abgesicherten Modus möglich sein.

DSO Exploit ist ein kleiner Bug in Spybot.

Hallo,

jetzt habe ich meine o.g. Virus- und Spywareprogramme im wirklich ABGESICHERTEN Modus (Danke für die Aufklärung) drüberlaufen lassen, aber wie auch im UNabgesicherten Modus haben sie nichts gefunden!
Die in meiner ersten mail beschriebene Meldung kommt nur beim Anklicken von "Arbeitsplatz" oder "Eigene Dateien" und das auch nur im unabgesicherten Modus, nicht im abgesicherten .... und so konnte ich auch keinen Versuch starten, das Ding im abgesicherten Modus zu löschen (was im unabgesicherten Modus ja nicht geht - hab' ich schon tausendmal versucht) ...

Ist es vielleicht eine "fehlerhafte Fehlermeldung" oder was kann es sonst bedeuten?

 ???

Mach unbedingt mal den IE sauber : Cookies , Dateien(1x mit , 1x ohne Haken) , Verlauf !!!

Hallo,

ich bin kein Computerexperte, werd' im Laufe meines Problems und der netten Hilfe aber vielleicht noch zu einem.
Also: den Internetexplorer benutze ich garnicht mehr, lässt sich aber nicht deinstallieren... Cookies hatte ich beim IE alle gesperrt.
Und Dateien mit und ohne Haken -  welche, wie und wo????
 ??? ??? ??? ??? ??? ??? ??? ??? ??? ???

IE-Sicherheitseinstellungen

Hallo Paranoia !

Dieser gemeldete Trojaner dürfte sehr wahrscheinlich
der Troj/StartPa-EI sein. Schau dir dazu an:
 http://www.sophos.de/virusinfo/analyses/trojstartpaei.html

Troj/StartPa-EI ist eine DLL, die zahlreiche Registrierungsschlüssel im Zusammenhang mit Einstellungen für die Startseite verändert!

Du solltest zunächst die Übetragenen Programmdateien, Temporären Internetdateien usw. löschen (dies ist völlig gefahrlos).
Gehe auf Start-->ausführen--> dort cleanmgr  eingeben und mit OK bestätigen.
Dann dort alles anhaken und bereinigen lassen.

Evlt. kann ein Online-AV-Scanner wie Panda, F-Secure oder TrendMicro etc. das Problem (teilweise) beheben.
Geh auf http://malware.bul-online.de/av_onlinescan.php
und suche dir dort einen oder zwei aus.
Erfolgschancen = 50:50.

Aufgrund der zahlreichen Registrierungsschlüsseln kommt letztlich dann nur noch hijackthis in Frage.
Lade es dir dann hinterher die aktuelle Version 1.99 von www.hjt.klaffke.de  oder hijackthis.de herunter und poste das komplette HJT-Logfile.
Dann sehen wir weiter,was noch zu tun ist.

Tausend Dank,
 
nur bin ich zu doof....und zu ängstlich beim Löschen, denn was kann ich problemlos löschen? (Wenn der IE danach nicht mehr läuft, macht das nix - Firefox)

Der Logfile sieht so aus:
Logfile of HijackThis v1.99.0
Scan saved at 19:59:58, on 10.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cleanmgr.exe
C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Beate\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Beate\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {E2EFF42D-0442-4CBE-B2AD-228642F3279C} - C:\WINDOWS\System32\nlfo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C53D21AB-F298-41B8-818F-A975152064F8} (FTPUploader Control (Printeria Generic)) - http://tools.printeria.de/ftpuploader_printeriagen.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF6D11A8-E9FD-4858-9577-1703E1821CE6}: NameServer = 213.36.80.1 213.36.80.1
O18 - Filter: text/html - {2582FEB6-D5CC-4B85-9E39-14469D8B640E} - C:\WINDOWS\System32\nlfo.dll
O18 - Filter: text/plain - {2582FEB6-D5CC-4B85-9E39-14469D8B640E} - C:\WINDOWS\System32\nlfo.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo !

Zunächst solltest Du dir nochmals Hijackthis herunterladen. Vorab einen neuen festen Ordner (z.B. unter Eigene Dateien)anlegen und dort hinein dann HJT packen.
Dies ist wichtig für das Anlegen der Backups (kann immer was schief gehen und immer gut,wenn man einen Schritt zurück kann). Du hast es unter Temp\Temporäres Verzeichnis 1 angelegt. Das reicht für die Analyse völlig, aber da hast du leider keine Backups, wenn du diese Temps löscht.
Diese solltest Du vor dem fixen sowieso alle löschen wie oben gesagt--> also:
gehe auf Start-->ausführen--> dort cleanmgr  eingeben und mit OK bestätigen.
Dann dort alles anhaken und bereinigen lassen, dass ist völlig ungefährlich.

Dann solltest Du folgende Einträge (nachdem Du einen festen HJT-Ordner angelegt hast) fixen/löschen:

Fixe 1.)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Beate\LOKALE~1\Temp\sp.dll/sp.htm

Fixe 2.)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Beate\LOKALE~1\Temp\sp.dll/sp.html

3.)     Bitte überprüfe vorher mit
       http://virusscan.jotti.org
     (hier prüfen 10 AV-Scanner gleichzeitig)

   die nlfo.dll  (z.B. auch per Windows-Suche,
   wenn du sie so nicht findest) diesen Eintrag

    O2 - BHO: (no name) -          {E2EFF42D-0442-4CBE-B2AD-228642F3279C} - C:\WINDOWS\System32\nlfo.dll.

   Es ist nichts zu finden, ob gut oder böse
  (könnte evlt. von Adobe Photoshop sein, muß
   aber nicht).

   Wenn die Virenscanner nichts finden, dann auch
   nicht fixen.
   Wenn sie einen Virus melden (Name merken!), dann
   auf jeden Fall auch den o.g.  Eintrag
   02 - BHO usw. fixen.

Fixe 4.) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

Fixe 5.)  O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

6. Nur wenn oben unter Punkt 3 ein Virus gemeldet
   wird, dann auch diesen Eintrag fixen:
         O18 - Filter: text/html - {2582FEB6-D5CC-4B85-9E39-14469D8B640E} - C:\WINDOWS\System32\nlfo.dll

7. Nur wenn oben unter Punkt 3 ein Virus gemeldet
   wird, dann auch diesen Eintrag fixen:
O18 - Filter: text/plain - {2582FEB6-D5CC-4B85-9E39-14469D8B640E} - C:\WINDOWS\System32\nlfo.dll

Mache nach dem fixen auf jeden Fall noch mal eine AV-Scan (auch mit einen der o.g. Online-AV-Scannern als Gegenkontrolle, sind ja alle kostenlos).
Wenn alles ok ist, dann bist du den Quälgeist los. Ansonsten nochmals ein neues HJT posten.

Viel Erfolg.

PS: und am Ende auf SP2 updaten!  Hilft nicht für alle
    Surfprobleme, aber schützt mehr als nur SP1 .
    Allein zum Besuch der Windowsupdate-Seite benutze
    ich noch meinen IE, sonst auch nie mehr.

Hallo,
erst mal tausend Dank für die nette Hilfe von allen Seiten!
Gewisse Erfolge sind schon nachzuweisen, ich bekomme (zunächst?) keine Warnungen mehr, aber...
die IE Startpage lässt sich ums Verrecken nicht umstellen: die verschiedenen Optionen diesbezüglich unter "Internetoptionen" sind alle gegraut und es steht da noch der sch... about blank..........

Was kann ich tun?

Hallo Paranoia !
Einige Fortschritte sind offenbar da, dass lässt hoffen!

Neben den o.g. Tipps (vielleicht nochmals den einen oder anderen Scan im abgesicherten Modus) dann nochmals eine neue HJT-Logfile posten um zu sehen, was noch da ist.

Hallo Richard!

Ich kann's noch nicht so ganz glauben, aber das Ding ist  anscheinend weg !? (Wobei's die letzten Male erst nach einigen Stunden Betrieb wieder aufgetaucht ist...)

Im abgesicherten Modus hab' ich nochmal AntiVir und Adaware (die beide noch 'was gefunden haben) sowie Spybootsearch und dem CWS-Shredder (die nix gefunden haben) suchen lassen. Jetzt lässt sich auch die IE-Starseite wieder umstellen! SP2 ist jetzt auch installiert...

Mit dem Löschen der temporären Internetdateien hat das mit Start-->ausführen--> dort cleanmgr  eingeben und mit OK bestätigen nicht geklappt. Es kam danach keine Meldung mehr, aufgehängt hatte er sich aber nicht... Vielleicht lag's daran, dass ich vor dem Tipp von Dir die temp.Dateien sowie die sämtliche Cookies etc. über die Option im IE gelöscht hatte?

Jedenfalls GANZ HERZLICHEN DANK und die Androhung, dass ich mich wieder melde, falls das Teil doch nochmal auftauchen sollte!

   

Hallo,

jetzt doch noch das letzt logfile als Nachtrag:
(warum HJT noch in einem Temp Verzeichnis ist verstehe ich nicht...aber egal)

Muß ich mir noch Sorgen machen?

Logfile of HijackThis v1.99.0
Scan saved at 13:26:17, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Beate\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C53D21AB-F298-41B8-818F-A975152064F8} (FTPUploader Control (Printeria Generic)) - http://tools.printeria.de/ftpuploader_printeriagen.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF6D11A8-E9FD-4858-9577-1703E1821CE6}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo...so schnell trifft man sich wieder :-)

Und sehe:
1.) eine absolut saubere HJT-LogFile  und
2.) SP2
Hervorragend gemacht....alles sauber (und das bleibt
hoffentlich lange so)!
Nur wenn du willst, kannst du auch die HJT199 auch manuell löschen, indem Du dich durchhangelst über die C:\DOKUMENTE UND EINSTELLUNGEN\Beate\LOKALE~1\Temp\Temporäres Verzeichnis 3  und dort per rechtsklick dann HJT199 herauslöscht. Aber muss nicht sein.

Seit gestern gibt's sowieso die  ganz neue Version
HJT 1.99.1 (die du hoffentlich nie brauchst :-) )
z.B. bei www.hijackthis.de usw.
Ganz vorsichtige Leute laden diese sich sowieso rein vorsichtshalber herunter(zb. unter den Eigenen Dateien einen eigenen HTJ-Ordner). Es gibt einige Viren etc.,die bereits den Download verhindern und man nur mit einigen Tricks und Umbenennung wieder zum Erfolg kommt.

Die Temps über die Option im Internetexplorer zu löschen oder über Start-->ausführen--> dort cleanmgr eingeben usw.  führt zum gleichen Ergebnis. Deswegen konntest du da nichts neues mehr finden.

In diesem Sinne happy surfing :-)